Enterprise Watch
最新ニュース

NIerのネットワンがPCI DSSに注力するワケ-「当社には地図のようなもの」


営業推進グループ セキュリティ事業推進本部長の山崎文明氏
 カード加盟店からの情報流出を守るために技術的要件が定められているPCI DSS。VISAやMasterCardなどカードブランドを中心に、業界共通の基準として普及が進められている。その本来の目的にとどまらず、さらに大きな視点でPCI DSSをとらえ、自社のサービスに取り込もうとするのがネットワンシステムズ株式会社(以下、ネットワン)である。

 なぜ、NIerのネットワンがPCI DSSなのか。営業推進グループ セキュリティ事業推進本部長の山崎文明氏に、同社のPCI DSSに対する姿勢や思いを聞いた。


―ネットワンではPCI DSSをどのようにとらえていますか?

山崎氏
 PCI DSS自体はカード業界の基準ですが、考え方そのものは一般企業にも十分通用するし、必要なものだと思っています。日本のセキュリティ政策は、ポリシー策定が中心。考え方の枠組みが整えられても、実際の技術レベルでは企業ごとにまちまちで進められてきました。

 例えばエンタープライズには、原価情報、新製品情報、特許情報など保護すべき情報が多くありますが、それらを関連会社、子会社、取引会社で共有する場合、社外にはポリシーの順守を要求してきたにすぎません。ところがポリシーは、企業ごとに異なります。それぞれの価値観でリスクを分析して、それぞれの許容範囲にとどめ置くものとして策定されるのがポリシーなのです。

 従って、別々の企業で情報を共有すると、等価であるはずの情報が、異なるセキュリティレベルの中で扱われることになります。これは非常に危険な状況といえます。

 そこでPCI DSSのような具体的な対策基準が役に立つのです。中核となるエンタープライズがしっかりと対策の基盤を整え、それを関係する会社に求めていくというのがあるべき姿。これを推し進めていけば、「Enterprise Data Security Standards」にも至る、というのが当社の考えです。


―セキュリティの解説書としても使えるという声もありますしね。

山崎氏
 そうですね。水準が高く、さまざまな企業に有効なPCI DSSは、全体を高い水準へ押し上げてくれるものです。特に日本発の多国籍企業にとっては有効性の高いものだと思います。

 先ほど、重要な情報が企業ごとに異なるセキュリティレベルの中で扱われているのが問題といいましたが、ここに海外現地法人などが加わると、さらに危険な話になってきます。日本発の多国籍企業は特に、現地法人のマネジメントに慣れていません。ほとんどが現地のコンサルタントに頼り切ってしまっているのが現状で、優秀なコンサルタントに当たればいいが、低コスト・低品質でセキュリティ実装を行っているケースもあったりします。

 対して米国ではもっと厳密で、現地法人が製品を導入する際、バイヤーズリストというものを渡して、ここに書いてある製品の中から選びなさい、といったことを実践しています。とても有効なやり方だと思います。まず、セキュリティの水準がある一定のレベルを下回らなくなります。また、どこの国の現地法人にも同じことをやるので、特定製品に対するノウハウがどんどん蓄積されていきます。

 日本法人も多国籍法人への対応力を高めていく必要があるでしょうね。


―そうしたことにもPCI DSSが有効ということですね。そういう考えの下でネットワンとしては、具体的にどういったサービスを提供しているのでしょうか。

山崎氏
 先ほどの多国籍企業向けにグローバルコンサルティングも提供していますが、当社のサービスとしては「ギャップ分析」が特徴的です。PCI DSSや「ISO 18028」といった基準をベースに独自調査表を作成し、現状とのギャップのアセスメントを行います。


―ISO 18028はあまりなじみがありませんが?

山崎氏
 日本ではまだあまり聞かれませんね。内容はネットワークセキュリティに関するマネジメント規格で、今後、ISMSのネットワーク部分を切り出して強化した「ISO 27033」へと移行が予定されています。

 当社の主要顧客であるキャリアは、WANも見なければならないなど、若干PCI DSSでは遠いところもある。そこでもっとネットワークに近い基準はないかと探したら、ISO 18028が見つかったんです。

 具体的には、ネットワークを72の領域に分割して、それぞれにマネジメントを確立しているか見ていく手法です。管理しなくてはいけないレイヤを「アプリケーション」「サービス」「インフラ」の3つに、守るべきデータの種類を「トランザクションデータ」「設定ファイル」「ルーティング情報」の3つに定めています。その上で、機密性・可用性・完全性を実現するための対策を8つ定義しているのが特徴で、3×3×8で72領域に分割されます。

 ISO 18028では、ネットワークセキュリティはこのどれかに当てはまる、という考え方を採用しています。72領域を1つ1つ見ていくことで、網羅的にセキュリティ対策を行うことが可能なんですが、この72の領域に、実はPCI DSSのネットワークまわりの要件がすべて当てはまるのです。

 今までセキュリティは、その時その時の課題に対する個別対応として実装されてきました。このため網羅性に欠けてしまった感がありますが、ISO 18028やPCI DSSをギャップ分析に使うことで、こうした課題を解消できます。

 実はこれが、NIerの当社がなぜPCI DSSなのか、という答えでもあるんですよ。当社にとって、PCI DSSは地図のようなものなんです。


―地図、ですか?

山崎氏
 はい。当社はNIerとして事業や取り扱い製品を拡充してきましたが、顧客からあれもやってほしい、これもやってほしい、という要望を受ける時があるんですね。そうした要望に応えて、どこまで手を伸ばすべきなのか。当社自身が迷ってしまった経緯がありました。そのとき、網羅性の高いPCI DSSは、その判断基準になると気づいたんです。つまり、PCI DSSという具体的な基準があるのだから、ここに書いてあることには対応しよう、と考えれば良いのではないかというわけです。ログ管理アプライアンスやウイルス対策アプライアンスなど取り扱い製品を広げてきましたが、PCI DSSがそのスコープを明確にしてくれました。どこへどのくらい進むべきかを教えてくれたのです。


―サービスとしては、ギャップ分析に加えて実装支援なども行っているのですよね?

 はい。PCI DSS準拠支援サービスの中で、「対策支援サービス」というものを提供しています。コンサルからシステム構築・運用・教育までニーズに応じて包括的な支援を行っており、こうしたサービスをしっかりメニュー化しているのが強みですね。また、PCI DSSに対応したら、訪問審査機関(QSA)などの審査をパスしなければなりませんが、審査が入ったときにこれを出せば大丈夫という書類のひな形を提供するサービスも行っています。


―PCI DSSを地図にビジネス領域を広げているから、いま、包括的なPCI DSSの支援が行えているというわけですか。

 はい。こうしたサービスを提供することによって、「確実にQSAの審査をパスさせる!」と約束できるのです。


―ありがとうございました。



URL
  ネットワンシステムズ株式会社
  http://www.netone.co.jp/

関連記事
  ・ ネットワン、PCI DSS v1.2に対応した「新PCI DSS準拠支援サービス」(2008/11/13)
  ・ 「PCI DSS v1.2」改訂ポイント、最も重い変更は「DMZのログの扱い」(2008/11/13)


( 川島 弘之 )
2008/11/14 10:50

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.