コンプライアンスは必要だが不正防止にとっての十分条件ではない(CA Security Reminder) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

コンプライアンスは必要だが不正防止にとっての十分条件ではない(CA Security Reminder)

特集 特集

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

ネットワークセキュリティの分野に詳しい CA Technologies の Russell Miller氏が、コンプライアンスとセキュリティの違いについて考えます。今春、PCIDSSに準拠していた米プロセッサ企業から、大規模なクレジットカード情報漏えい事件が発生しています。

--

米国のクレジットカード決済代行事業者Global Paymentsでの大規模なセキュリティ侵害では、150万件のカード情報が流出したと伝えられています。今回の報道は、「セキュリティ」と「コンプライアンス」の違いを浮き彫りにするだけでなく、管理者アカウントの扱いに関する基本的なことを思い出させてくれます。

この一件を受け、VISAは取引のある「店舗・銀行間決済代行事業者リスト」からGlobal Paymentsを削除したようです。ということは、情報漏えいが発生した時点では、Global PaymentsはPCIに準拠していると見なされていたわけです。これは、コンプライアンスとセキュリティの違いを物語っています。様々な要件や法令に準拠する必要はありますが、それだけでは必ずしも十分ではありません。コンプライアンス・プログラムとは別に、セキュリティ・リスクを理解し、それに対応する必要があるのです。これが不十分だと、Global Paymentsのように深刻な事態を招くことになります。3月30日付けWall Street Journalによれば、Global Paymentsの株価は9%値を下げた後、売買停止となりました。

ガートナー社のアナリストであるAvivah Litan氏によれば、ハッカーがナレッジベース認証の質問に対する答えを推測して管理者アカウントに侵入したようですが、このことから、Global Paymentsが特権アイデンティティ管理の基本原則を理解していなかったことも分かりました。管理者アカウントには、通常のユーザアカウントより高いセキュリティ基準を設定する必要があるだけでなく、根本的に異なる扱いを適用しなければなりません。

・適切な追跡、統制、アカウンタビリティが実践されるようにするには、ユーザが管理者アカウントに直接アクセスするのではなく、「パーソナル」アイデンティティへの認証とログインを経てからアクセスするようにしなければなりません。

・特権アカウントは必ずと言ってよいほど共有されているので、アクセスを可能にする「ナレッジベースの質問」を設けるのは非常に間違ったやり方です。

さらに、特権アカウントであっても「最低限の特権しか与えない」という原則に従う必要があります。Global Paymentsが詳細を公表することはないかもしれませんが、暗号化されていないクレジットカード情報にアクセスするにしろ、各種システムからその情報をエクスポートするにしろ、今回侵入されたアカウントは本当に特権を必要としていたのか疑問に思います。

PCI認定審査員がGlobal PaymentsのPCI準拠を認めていたということから、「PCIの要件は、特権アカウントを十分に保護するものであるべき」という議論に発展してほしいものです。また、ビジネスを守るために必要なものは要件や基準に教えてもらうのではなく、それぞれのリスク許容度にもとづき、各社が自らのセキュリティニーズを見極めるべきなのです。

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×