MENU

    決済サービスのセキュリティに必要なアベイラビリティとは

    情報セキュリティの3要素「C.I.A.」とは

    −Webでビジネスをすることが当たり前の時代になってきていますが、情報セキュリティにおいてもっとも基本的な考え方というのは何でしょうか?

    蔵本雄一氏 情報セキュリティには3つの要素がありまして、それぞれの頭文字をとって「C.I.A」という言葉があります。とても簡単に解説すると、CはConfidentiality(コンフィデンシャリティ:機密性)、これは情報を勝手に見られたりしないことです。IはIntegrity (インテグリティ:完全性)で情報が改ざんされたりしないこと、ここまでは誰でも想像が付くと思います。そしてAがAvailability (アベイラビリティ:可用性)、これは「持続的に利用できる」ことを意味しています。ビジネスにおけるセキュリティではこの3要素を高いレベルでバランスよく組み立てて行くことが求められます。

    −具体的にはどのようなものとして考えるとよいでしょうか。

    蔵本氏 Webサービスを展開している会社であれば、フロントエンドの背後の顧客情報などが入ったデータベースが漏洩しないように、機密性の確保やホームページが改ざんされないように完全性の確保、サーバがダウンしないように「アベイラビリティ(可用性)」の確保が該当しますね。 特にアベイラビリティは、ECサイトなどを運営しているのであれば、利益に直接関わってきます。

    例えば、時間単価で1億円稼いでいるサーバを運営しているのであれば、1時間ダウンしたら単純に1億円の含み損が出るわけです。なので、まずはWeb担当者はサーバが時間あたりどのくらいマネタイズできているのかを出しておくことが基本となります。これなしに「最近こういう攻撃が流行してますからセキュリティの予算をください」と上層部に言ってもまず通りません。

    −なるほど。では、上層部にどのように説明すればよいのですか?

    蔵本氏 簡単です。「このサーバは1億円稼ぐので、100万円かけて守りましょう!」と言えば、経営者は「100万円で1億円守れるなら安いものだ」となるわけです(笑)勘違いしてはいけないのは、経営者にとって一番重要な価値は会社の経営の成功であって、それは多くの場合「お金」で判断されるのです。

    また、最近は「ビジネスイネーブラーとしてのセキュリティ」ということも言われています。皆さんセキュリティというと「ルール」や「ポリシー」を定めて何事も禁止する方向でイメージしますが、セキュリティを確保しながらビジネスの目的を達成するという考え方が重視されるようになっています。

    −ビジネスイネーブラーをもう少しわかりやすく言うと?

    蔵本氏 例えば、仕事で使うノートブックを会社の外に持ち出せば生産効率が上がるという話がよくありますが、オフィスから持ち出せば盗難紛失のリスクがあります。かといって、それが怖いから持ち出すべきではないという意見が出ますが、それではビジネスは成長しません。だったら、最初からしっかりと盗難紛失対策を施したノートブックを持ち出せばいいじゃないかというのがビジネスイネーブラーの基本的な考え方です。

    これをWebに当てはめれば、新しいサービスを展開する際に「これをやったら狙われるからやめよう」という発想ではなくて「適切なセキュリティ対策を施した上でやってみよう」とならなくてはいけません。これはWebサービスの作り手全般に求められることだと思います。

    セキュリティに関する判断は担当者が独自に行うのではなく、経営者に適切なコミュニケーション手法で伝える必要があると蔵本氏

     

    活かされなかった震災の教訓

    −中小企業のセキュリティ対策の現状はいかがでしょう?

    蔵本氏 予算的にやむを得ないところもあるのですが、見ている範囲では悲惨ですね。セキュリティ対策にもいろいろありますが、基本的にはOSやソフトを最新の状態にしておけば脆弱性を突く攻撃からは大体防げるものなのです。

    製造業の分野では「State of Art相当(現時点で最高峰の状態にしておく)」という要件を目にすることも珍しくありません。これはITの分野からするとざっくりした要件に見えるかもしれませんが、命や健康に関わる製造業では、「最高のセキュリティを施したい」という考えがあるので、このような要件が出て来ます。「常に最新、最高の状態」は理想的ですが、ITの分野ではアプリケーションとの互換性などの理由から最新の状態にできないという状態が往々にして発生し、OSなどを古いまま使っている状態が散見されます。

    Webサーバであればバックアップを用意した冗長構成をとり、スタンバイ機で検証した後に本番機へ適用したり、運用中のサーバにパッチを適用したりサーバのアプリケーションのバージョンを新しくする際にも、ダウンタイムを極力減らし、アベイラビリティを確保しながら最新の状態に更新していくという運用をしっかりと検討し、ビジネスへの影響を最小限にしながらもセキュリティ強度を高める努力は非常に重要です。

    −マルウェアへの対策だけが「セキュリティ」だと考えている人も多いですが、そうではないということですね。

    蔵本氏 アベイラビリティの侵害に対策が取られていないという意味では、その原因が、ニュースにもなった「WannaCry」などのマルウェア感染であろうが地震でマシンが壊れていようが同じことです。さらに言えば、2011年の震災の後にはBCP(事業継続計画)の重要性が盛んに語られましたが、最近はそうした考え方もすっかり薄れてしまっているように感じます。企業の存続にはアベイラビリティが重要だという震災の教訓があまり活かされていないように見えるのは残念です。

     

    決済情報の管理にもアベイラビリティの観点を

    −Webビジネスのセキュリティにおいてアベイラビリティが重要というお話は理解できました。決済系のサービスを作る上でも同じことが言えそうですね。

    蔵本氏 決済系の話でいうと、最近は経済産業省から出されたクレジットカード情報の取り扱いに関する通達が話題になっていますね。簡単に言うと、顧客の決済に関する重要な情報は事業者が保持しないような仕組みにするか、「PCI-DSS(Payment Card Industry Data Security Standard)」というセキュリティの国際基準に準拠して情報をしっかり保護するかのどちらかを選びなさいという話です。

    クレジットカード決済を伴う取引では、事業者にクレジットカード情報の非保持化に対応するか、国際セキュリティ基準であるPCI-DSSへの準拠が求められている

    クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017 http://www.meti.go.jp/press/2016/03/20170308003/20170308003.html

    クレジット決済のセキュリティ基準は通常の情報セキュリティ基準よりも詳細かつ具体的であることが多い。そのため、セキュリティポリシー策定の際にも役立つ

    日本カード情報セキュリティ協議会 http://www.jcdsc.org/pci_dss.php

    −PCI-DSSとは何ですか?

    蔵本氏 これはセキュリティベンダーではなく、クレジットカードなどペイメントカード系のベンダーが集まって作ったセキュリティに関する基準です。

    クレカの情報のやりとりには何回パスワードを間違えたら何秒間ロックされるとか、いろんな細かい規約があるのですが、ここで用いられている監査基準はとても具体的なため、IT系など他の業種でもセキュリティポリシーを考える上で参考にされています。

    少なくとも、ここに書かれいているルールをきちんと遵守していれば、本来保持してはいけないクレジットカードのセキュリティコードまで流出するといった事態は避けられるはずなのです。

    −重要だけど不必要な情報は持たないようにするか、セキュリティポリシーをしっかりと定めて運用するかのどちらかを選べということですね。情報漏洩のようなトラブルで事業が止まってしまっては、まさにアベイラビリティが侵害されてしまいますね。

    蔵本氏 決済系に限った話ではありませんが、中小企業が高度なシステムのインフラを自社内のサーバでオンプレミスで構築することにも無理があります。

    僕自身が車両の脅威分析という事業をする中小企業の経営者なのでわかるのですが、中小企業がインフラの構築や維持管理に時間や人員を割くのは正直無駄です。なぜなら、それは僕らの本業ではないからです。自社にサーバを置いて、情報漏洩しないようセキュリティ対策をしたり、ダウンしないように専任で人を貼り付ける暇があったら、本来の仕事に専念したほうがよいです。

    アベイラビリティを確保するためには、MicrosoftのAzureやAmazonのAWSなどクラウド上でサービスを構築していくのがこれからの流れになるでしょうね。システムをどう作ればという課題に対して、少なくとも中小企業に関しては「クラウドで一択」というのが僕の回答です。

     

    セキュリティは経営層とのコミュニケーションが大切

    −セキュリティ意識は重要と頭ではわかっていても、それを実践に移すのはなかなか難しそうですね。

    蔵本氏 セキュリティポリシーを定めることは重要ですが、それが100個あったら人間には覚えることはできません。それにもし「USBメモリーで書類をコピーするな」というルールを定めても、やる人はやります。だとしたらルールでやってほしくないことは事前にできないようにしておくということが大切です。この例ではUSBメモリーを挿しても認識しない設定にしておくということですね。

    −そのためには、やはりセキュリティを増強するための予算を得ることが必要ですね。

    蔵本氏 重要なのは先ほど述べたように、セキュリティによって得られるメリットを定量的に出すということです。ECであれば時間単価あたりの売り上げ、静的なサイトであったら時間あたりの訪問者やページの滞在率や直帰率を広告効果に置き換えて考えることができます。Web担当者であれば、自社のサービスの価値がいくらで換算できるのかはわかると思いますので、それが止まることで失われる価値を示せばよいのです。

    一番良くないのは、その担当者がセキュリティ対策をするかしないかという判断を勝手にしてしまい、自分だけでセキュリティ対策を実施するチャンスを握りつぶしてしまうことです。仮に100万円のセキュリティ対策費が高いかどうかを判断し、投資するかを決定するのはあくまで経営陣なのですから。

    −セキュリティをマーケティング的な観点で捉えるというのはなかなか新鮮です。

    蔵本氏 セキュリティもマーケティングも根本は共通しています。セキュリティ対策の必要性をIT用語ではなく、経営層にもきちんと伝わるようビジネスの用語として伝えるテクニックが重要です。

     

    蔵本雄一
    合同会社WHITE MOTION 最高経営責任者 大手SIでアンチウイルスの開発に携わり、その後マイクロソフト株式会社(現 日本マイクロソフト株式会社)でセキュリティエンジニアとして従事した蔵本氏。現在は自動車のサイバーセキュリティ企業WHITE MOTIONを経営している。筑波大学非常勤講師等の講師経験を活かし、日本CISO協会主任研究員、公認情報セキュリティ監査人、CISSPとして人材育成にも貢献している
    「もしも社長がセキュリティ対策を聞いてきたら 入門編」

    [著]蔵本雄一 [出版社]日経BP社 [価格]1,944円

    社内のWeb担当者やセキュリティ担当者が実際に遭遇するさまざまなシーンを想定し、経営層とセキュリティ対策に関するコミュニケーションを取るための方法が29のケーススタディを通じて解説されている

    Web制作
    • URLをコピーしました!

    関連記事

    目次