コンプライアンスは必要だが不正防止にとっての十分条件ではない（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

ネットワークセキュリティの分野に詳しい CA Technologies の Russell Miller氏が、コンプライアンスとセキュリティの違いについて考えます。今春、PCIDSSに準拠していた米プロセッサ企業から、大規模なクレジットカード情報漏えい事件が発生しています。

--

米国のクレジットカード決済代行事業者Global Paymentsでの大規模なセキュリティ侵害では、150万件のカード情報が流出したと伝えられています。今回の報道は、「セキュリティ」と「コンプライアンス」の違いを浮き彫りにするだけでなく、管理者アカウントの扱いに関する基本的なことを思い出させてくれます。

この一件を受け、VISAは取引のある「店舗・銀行間決済代行事業者リスト」からGlobal Paymentsを削除したようです。ということは、情報漏えいが発生した時点では、Global PaymentsはPCIに準拠していると見なされていたわけです。これは、コンプライアンスとセキュリティの違いを物語っています。様々な要件や法令に準拠する必要はありますが、それだけでは必ずしも十分ではありません。コンプライアンス・プログラムとは別に、セキュリティ・リスクを理解し、それに対応する必要があるのです。これが不十分だと、Global Paymentsのように深刻な事態を招くことになります。3月30日付けWall Street Journalによれば、Global Paymentsの株価は9%値を下げた後、売買停止となりました。

ガートナー社のアナリストであるAvivah Litan氏によれば、ハッカーがナレッジベース認証の質問に対する答えを推測して管理者アカウントに侵入したようですが、このことから、Global Paymentsが特権アイデンティティ管理の基本原則を理解していなかったことも分かりました。管理者アカウントには、通常のユーザアカウントより高いセキュリティ基準を設定する必要があるだけでなく、根本的に異なる扱いを適用しなければなりません。

・適切な追跡、統制、アカウンタビリティが実践されるようにするには、ユーザが管理者アカウントに直接アクセスするのではなく、「パーソナル」アイデンティティへの認証とログインを経てからアクセスするようにしなければなりません。

・特権アカウントは必ずと言ってよいほど共有されているので、アクセスを可能にする「ナレッジベースの質問」を設けるのは非常に間違ったやり方です。

さらに、特権アカウントであっても「最低限の特権しか与えない」という原則に従う必要があります。Global Paymentsが詳細を公表することはないかもしれませんが、暗号化されていないクレジットカード情報にアクセスするにしろ、各種システムからその情報をエクスポートするにしろ、今回侵入されたアカウントは本当に特権を必要としていたのか疑問に思います。

PCI認定審査員がGlobal PaymentsのPCI準拠を認めていたということから、「PCIの要件は、特権アカウントを十分に保護するものであるべき」という議論に発展してほしいものです。また、ビジネスを守るために必要なものは要件や基準に教えてもらうのではなく、それぞれのリスク許容度にもとづき、各社が自らのセキュリティニーズを見極めるべきなのです。

（Russell Miller）

筆者略歴：CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括