コンプライアンスは必要だが不正防止にとっての十分条件ではない(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

コンプライアンスは必要だが不正防止にとっての十分条件ではない(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

ネットワークセキュリティの分野に詳しい CA Technologies の Russell Miller氏が、コンプライアンスとセキュリティの違いについて考えます。今春、PCIDSSに準拠していた米プロセッサ企業から、大規模なクレジットカード情報漏えい事件が発生しています。

--

米国のクレジットカード決済代行事業者Global Paymentsでの大規模なセキュリティ侵害では、150万件のカード情報が流出したと伝えられています。今回の報道は、「セキュリティ」と「コンプライアンス」の違いを浮き彫りにするだけでなく、管理者アカウントの扱いに関する基本的なことを思い出させてくれます。

この一件を受け、VISAは取引のある「店舗・銀行間決済代行事業者リスト」からGlobal Paymentsを削除したようです。ということは、情報漏えいが発生した時点では、Global PaymentsはPCIに準拠していると見なされていたわけです。これは、コンプライアンスとセキュリティの違いを物語っています。様々な要件や法令に準拠する必要はありますが、それだけでは必ずしも十分ではありません。コンプライアンス・プログラムとは別に、セキュリティ・リスクを理解し、それに対応する必要があるのです。これが不十分だと、Global Paymentsのように深刻な事態を招くことになります。3月30日付けWall Street Journalによれば、Global Paymentsの株価は9%値を下げた後、売買停止となりました。

ガートナー社のアナリストであるAvivah Litan氏によれば、ハッカーがナレッジベース認証の質問に対する答えを推測して管理者アカウントに侵入したようですが、このことから、Global Paymentsが特権アイデンティティ管理の基本原則を理解していなかったことも分かりました。管理者アカウントには、通常のユーザアカウントより高いセキュリティ基準を設定する必要があるだけでなく、根本的に異なる扱いを適用しなければなりません。

・適切な追跡、統制、アカウンタビリティが実践されるようにするには、ユーザが管理者アカウントに直接アクセスするのではなく、「パーソナル」アイデンティティへの認証とログインを経てからアクセスするようにしなければなりません。

・特権アカウントは必ずと言ってよいほど共有されているので、アクセスを可能にする「ナレッジベースの質問」を設けるのは非常に間違ったやり方です。

さらに、特権アカウントであっても「最低限の特権しか与えない」という原則に従う必要があります。Global Paymentsが詳細を公表することはないかもしれませんが、暗号化されていないクレジットカード情報にアクセスするにしろ、各種システムからその情報をエクスポートするにしろ、今回侵入されたアカウントは本当に特権を必要としていたのか疑問に思います。

PCI認定審査員がGlobal PaymentsのPCI準拠を認めていたということから、「PCIの要件は、特権アカウントを十分に保護するものであるべき」という議論に発展してほしいものです。また、ビジネスを守るために必要なものは要件や基準に教えてもらうのではなく、それぞれのリスク許容度にもとづき、各社が自らのセキュリティニーズを見極めるべきなのです。

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×