PCI DSSのインシデント回避への活用などについて解説(NTTデータ先端技術)

2011年7月26日12:10

NTTデータ先端技術(旧NTTデータ・セキュリティ)は、2011年7月21日、日本オラクルと共同で、「大量情報漏洩~実例から学ぶインシデント対応セミナー」をTKP東京駅八重洲カンファレンスセンターで開催した。

昨今インターネット上で展開するオンラインサービスが攻撃を受け、大量の顧客情報やクレジットカード情報が漏えいする事件が頻発している。また日本の特定企業が標的になる、いわゆる標的型攻撃のターゲットになるリスクが増加している。同セミナーでは、情報漏えい事故への対処方法やペイメントカードの国際セキュリティ基準である「PCI DSS」のインシデント回避への活用などについて両社の担当者が解説した。

講演するNTTデータ先端技術 セキュリティ事業部 PCI推進室 鍋島聡臣氏

まず、日本オラクル テクノロジー製品事業本部 担当ディレクター,CISSP-ISSJP(情報セキュリティ大学院大学 客員研究員)北野晴人氏が、情報保護の在り方と対策を紹介するとともに、PCI DSSの活用方法について説明した。続いて、NTTデータ先端技術 セキュリティ事業部 宮坂肇氏が、セキュリティの脅威に対する動向やセキュリティインシデントの対応を行う専門チーム(SIRT)としての活動事例など、企業におけるインシデント対応について紹介した。

宮坂氏の後を受け登壇したのがNTTデータ先端技術 セキュリティ事業部 PCI推進室 鍋島聡臣氏。同氏は日本カード情報セキュリティ協議会(JCDSC)の事務局長を務めるなど、長年にわたりPCI DSSの普及・啓蒙活動や導入プロジェクトに関わっている。

鍋島氏は、PCI DSSの普及の現状や国内における推進状況を解説。また、PCI DSSの準備に向けカード会員情報の流れをまとめ、範囲を狭める「スコープの把握」や、正当な技術上の制約やビジネス上の制約のために「要件とセキュリティ評価手順」通りに要件を満たすことができない場合に検討できる「代替コントロール」の条件や活用について例を示した。また、同社はペイメントアプリケーション基準である「PA-DSS」の認定を行うPA-QSAとしても活動しているが、同基準の対象となる決済アプリケーションの例やPCI DSSとの関係についても解説した。鍋島氏は、数多くのPCI DSSの審査に携わった経験から、PCI DSS対応が進む組織の共通点は、経営層、現場、システム部門の理解が必要であるとの見解を述べた。その上で、社内での専門家の育成や職位と役割に応じた教育が必要であり、社内の合意形成でスムーズなプロジェクトが実施できると訴えた。

その後、NTTデータ先端技術 オラクル事業部 今野尚昭氏が、セキュリティコンサルティングの事例やセキュリティ対策を診断/アドバイするDBセキュリティ・アセスメントサービスの紹介やOracleデータベースユーザに向けて実施した事例の説明を行った。最後に、NTTデータ先端技術 セキュリティ事業部 佐藤健太氏が、業務環境への利用が増える、iPhoneやAndroid端末などのスマートデバイスの企業利用の動向、特徴やセキュリティ面での脅威について解説するとともに情報資産活用の方法を説明した。

同セミナーは3時間半の長丁場となったが、会場は最後までほぼ満席の状態で、参加者の関心の高さをうかがわせた。

page toppagetop