クレジットカード業界だけじゃない！
あなたの会社でも活かせるPCI DSS

一般企業など、業界以外の組織にとっても有効なPCI DSS

さて前回の当コラムでは、「PCI DSS」についてご紹介しました。
※前回のコラムはこちら

皆さんもその概要について、ご理解いただけたかと思います。ところで以下の「PCI DSSの12の要件」、あなたの組織では、要件をいくつクリアしているでしょうか？　

今回は、この12の要件の中から特にリスクの大きいものとして、「ぜい弱性対策」と「情報漏えい対策」に関連した要件に着目し、その準拠を支援する効果的な対策について、トレンドマイクロの視点からご紹介します。

ひとたびWebサイトの改ざんやその結果として情報漏えいが発生すると、企業は大きなダメージを受けることになります。Webサイトが改ざんされた場合、まずは当該サイトとそれに付随するサービスを停止し、原因の究明と問題箇所の修正を行わなければなりません。この作業はセキュリティ対策を専門とする第三者に依頼することも多く、そのためのコストが必要になるほか、サービスを停止している間の機会損失も発生します。さらに個人情報の漏えいが発生した場合、クレジットカードの再発行や登録に関する費用、顧客への補償など、莫大なコストがかかってしまいます。例えば、某大手通販会社で個人情報漏えいが発生した際には、テレビやラジオの番組を1カ月、ネット通販を2カ月休止しましたが、この会社が被った損害は、機会損失額だけで約150億円にのぼるといわれています。またそれ以外にも、企業イメージの失墜や自社ブランドカードの発行権喪失など、コスト以外の面でも大きなダメージを受けることを覚悟しなくてはならず、最終的には経営問題に発展する可能性もあるのです。それゆえ、インターネットでサービスを提供している企業のみならず、個人情報を扱っている企業・団体であればどこでも、PCI DSSに準じたセキュリティ対策をとることが急務といえるでしょう。

もしろん、見つかった脆弱性に対しては、ベンダーも対策パッチを作成・提供します。しかし脆弱性が明らかになってからベンダーがパッチを作成・検証するまでにはある程度の時間が必要です。さらに、たとえばWebサイトを公開しているサーバであれば、複数のアプリケーションやサービスが動作しているため、OSやひとつのアプリケーションにパッチを当てることで他のアプリケーションに悪影響が出る可能性があり、十分な検証の後に、パッチを当てるという手順をとらざるを得ません。よってこの間、サーバは無防備な状態のまま置かれることになります。

こうした現状を解決する手段として効果的なのが、トレンドマイクロの「DeepSecurity（仮称）」です。DeepSecurity（仮称）は、ネットワーク上でパケットを監視するネットワーク型に対して、ホストコンピュータにインストールするタイプのインテリジェントファイアウォールで、IDS/IPS機能、Webアプリケーション・ファイアウォール（WAF）、システム改ざん検知、ログ分析機能を実装したワンパッケージセキュリティ製品となっています。ファイアウォールはレイヤー2、3、4レベルでの制御が可能で、公開Webサーバなど、一般に必要とされるプロファイルに沿ったルール（プリセットルール）があらかじめ定義されているため、運用も容易です。

※日本での提供は年内を予定

DeepSecurity（仮称）の最大の特長といえるのが、「仮想パッチ」の提供です。狙われるポートに対してセキュリティ対策を施すことで、ベンダーからのパッチが公開される前でも攻撃をブロックする、これが｢仮想パッチ｣の考え方です。また、IDS/IPS機能を提供する「Deep Packet Inspection（DPI）」では、発見されたぜい弱性情報に基づいて「プリセットルール」がトレンドマイクロから配信されるため、簡単にぜい弱性対策が可能です。さらに、被害の多い「クロスサイトスクリプティング」や「SQLインジェクション」などの攻撃も、WAF機能によって防ぐことができます。WAFにもプリセットルールが配信されるため、最新の攻撃にも対処できます。

そこで情報漏えい対策、特に企業内部からの漏えい対策として有効なのが「Trend Micro LeakProof（LeakProof）」です。「LeakProof」はファイルの属性だけでなく、コンテンツを参照した情報の機密性の判断によって、機密情報の漏えいを防止する製品で、アプライアンスとVA（Virtual Appliance：仮想アプライアンス）の2種類の形態で提供されています。守るべき機密情報の種類によって、特定のフォルダにファイルを置くだけで機密情報として登録するフィンガープリント方式に加え、正規表現、キーワードの3つの方法が利用可能です。この中のフィンガープリントは、フリーフォーマットなど、文書内に特定のルールが存在しない、いわゆる構造化されていないデータに対し、ファイル内から特徴的な部分を抜き出して判別する機能で、機密情報の定義や把握を容易に行うことができます。さらに、住所やメールアドレス、電話番号といった個人情報の定義に役立つテンプレートもあわせて提供されます。

大容量化・低価格化によって機密情報の漏えい経路となりやすいUSBメモリの管理機能も充実しています。品番やシリアル番号で指定されたUSBメモリのみ使用を許可する、「ホワイトリスト」という考え方です。もちろん、書き込みの際の暗号化機能も搭載しています。
そして最も重要な機能は、機密情報をUSBメモリに書き込もうとしたり、メールで送信しようとしたときに、「LeakProof」が表示するポップアップ機能です。この機能によって、フォレンジックでなくリアルタイムで情報漏えいを監視できるため、機密情報の漏えいを水際で食い止めることが可能なのです。
このように、漏えい対策としてだけでなく、社員に「見張られていること」「見守られていること」を印象づけることができ、安心感を与えると同時にセキュリティ意識の向上を啓発することも可能になっています。

もうひとつ、「Trend Micro Internal Threat Assessment（TMITA）」もご紹介しましょう。企業のネットワークの現状を把握できるTMITAは、情報漏えい対策をはじめ包括的なセキュリティ対策のうえで効果的なサービスです。TMITAは、企業の社内ネットワークに4週間、専用装置を設置し、不正プログラム有無やその振る舞いを検知するもの。このサービスによって「自社ネットワークの問題点の可視化」「自社ネットワークでのウイルスの活動状況の可視化」「自社ネットワークへのウイルスの侵入経路の可視化」が可能になります。

まとめとして、繰り返しになりますが、PCI DSS策定の主目的は、クレジットカード加盟店や決済代行事業者を対象としたものですが、その考え方や対策の方法は一般企業においてもそのまま通用するといえます。お使いの環境をPCI DSSの12項目に照らし合わせていただき、現在のセキュリティ対策を見直す材料としてみてはいかがでしょうか？

付録：利用する側にも対策は必要

インターネットでサービスを提供している企業が、PCI DSSが求めている対策を実施することは大切ですが、一方で利用する側の企業にも自己防衛が必要です。

今日では、これまでのウイルス対策だけでなく、自社の状況を正確に把握するとともに、新しい脅威からPC、ネットワークを守るための適切なセキュリティ対策を導入することが必要です。ここまで説明してきた新しいセキュリティ対策に加え、新バージョンとなりクラウドサービス「SPN：Smart Protection Network」に完全対応した「ウイルスバスター Corp.10」、3つのフィルタと仮想パッチを提供するIDSおよびIPS機能に特化したプラグイン「侵入防御ファイアウォール（IDF）」、WSS（Web Security Service）にも、ぜひご注目ください。