PR

問題はホスティングしているシステム

 やっかいだと思われるのは,サーバーの運用をデータセンターにアウトソースしているケースである。特にホスティング・サービスを利用しているECサイトの場合,自社の都合ではどうにもならない部分がたくさんある。

 それに関して,あるデータセンターの運用責任者から次のようなエピソードを聞いた。

 「ウチのデータセンター上で運営されているセキュリティ事業者が,セキュリティ診断サービスの一環で,あるECサイトに疑似攻撃を実施した。すると,そのサイトを運用しているデータセンターから『そちらのサーバーから攻撃を受けている』という苦情が来た」。

 要件11.2を満たすには,セキュリティ診断サービスを受ける必要がある。だが,そのサービスを受けることでデータセンターから苦情が来るようでは,話が進まない。事前に知らされていない限り,疑似攻撃と本物の攻撃を区別することは不可能なので,データセンターの苦情も,もっともである。

 そこで,セキュリティ診断サービスを展開するeCUREは,データセンターに対するPCIDSSの啓蒙活動を2007年から始めた。PCIDSSに賛同するデータセンターをリスト化する。賛同するデータセンターは,疑似攻撃元のIPアドレスのポートを空けておくといった対処をすることになる。

 ただし「大手データセンターの中にも,賛同を得られていないところがある」(eCURE 代表取締役CEO 沖田貴史氏)。疑似攻撃であっても手法によってはシステム・ダウンにつながるものもあるため,どのような疑似攻撃を受けるのかが分からないのであれば,賛同しないという判断にも一理ある。

 また,賛同を得られたところであっても「共有サーバーに対する疑似攻撃には腰が引けるところが多い」(セキュリティ診断ツール「HACKER SAFE」を販売する三和コムテック 営業部 営業企画部長 斎藤晴美氏)という。共有サーバー上では複数の事業者のアプリケーションが稼働している。あるECサイトの脆弱性をつぶすためにサーバーを停止して,別のECサイトの事業に影響を与えることを恐れるのである。もちろん,脆弱性を見つける努力を怠ったり,見つかった脆弱性をほったらかしにしてよいのかという,本末転倒の議論にはなるのだが。

 実際のところ,セータセンターのセキュリティ強度はどうなのだろう。現状でPCIDSSの基準を満たせるベルにあるのだろうか。面白い調査結果がある。日経SYSTEMSが2007年9月号と同10月号で「データセンターのセキュリティ検証実験」という記事を掲載した。事業者同意の上,データセンター3社の本番環境に疑似攻撃を仕掛けてみて,どの程度の脆弱性が見つかるのかを試してみたのである。結果は以下のようになった。

 調査した1万項目の脆弱性能のうち,61項目で「脆弱性あり」という診断が下った(3社合計)。その大半は一般的なレベルで危険性も少ないものだっが,中には,システムへの侵入につながりかねない危険なものもあった。データセンターがこれらを常時認識し,つぶし続けるという努力がなければ,ECサイトがPCIDSSの基準を満たすこともできなくなるのだ。

 データセンター上で運営しているECサイトのように,自社のシステム資産だけで基準を満たせない場合を想定し,PCIDSSでは「付録A ホスティング・プロバイダへのPCIDSSの適用」を定めている。ビザ・インターナショナルの井原氏は「ECサイト運営会社は,付録Aを含め基準を満たしているデータセンターと契約を結ばなければならない」と言う。データセンターからすればPCIDSSの基準を満たしていなかったり,満たしていることを証明できなかったりする事業者は,ECサイト運営会社に逃げられるリスクを負うことになるわけである。

 PCIDSSの基準を満たしていると認められるには,認定審査機関による認定を受けなければならない。今のところ,日本国内に拠点を持つ認定会社はNTTデータ・セキュリティ,BSIマネジメントシステムジャパン,ヒル・アンド・アソシエイツ・ジャパンの3社しかないが,これは今後急速に増えていきそうだ。ISMSの認定審査機関にPCIDSSの認定審査機関の資格を取ってもらおうという動きがあるからだ。ISMSの認定審査機関は20社強あるが,このうち何社かから「既に申込が始まっている」(ビザ・インターナショナル 井原氏)と言う。

 VISAやMasterといったカード・ブランド会社は,PCIDSSを普及するためのプログラムを展開している。例えば,ビザ・インターナショナルが展開するAISプログラムでは,自己問診診断,脆弱性診断,訪問審査を用意し,取引件数に応じて必須にしたり,推奨したりしている。このプログラムに参加するだけでPCIDSSの認定を取得できるわけではないが,年4回義務づけられている脆弱性診断を無償で受けられるといったメリットがある。既に国内でも「年間のトランザクションが60万件を超える大規模な企業については,AISプログラムへの参加が一巡した」(ビザ・インターナショナルの井原氏)という。三井住友カードや楽天がPCIDSSの認定を取得したという記事が報道されている(関連記事12)。

 PCIDSSは,現時点では国内での認知も低く,ISMSに比べて普及しているとは言えない。が,今後普及する可能性があり,普及したときに情報システムに与えるインパクトは大きい。

■変更履歴
「要件6.2を満たすには,セキュリティ診断サービスを受ける必要がある」との表記がありましたが,正しくは「要件11.2を満たすには,セキュリティ診断サービスを受ける必要がある」です。お詫びして訂正します。本文は修正済みです。 [2008/2/26 14:45]