一定のセキュリティ水準を確保するために、PDCAをまわすだけのISMSをベースにしたアプローチだけでは、限界があることは前回に述べたと思う。しかし、いざ実装基準を作ろうとして、どのような考え方で取り組めば良いのかは疑問として沸いてくることだろう。PCIDSSを手本にするとしても、実装基準の網羅性の確認や表記方法など実装基準の策定にあたって、いくつかの課題があることに気付く。今回は、PCIDSSのベースにあるISO/IEC27033（注1）を紹介するとともに、「網羅性の確保」と「数値基準の明確化」という実装基準を策定する際の2つの要諦について解説する。



　セキュリティポリシーを策定するにしても、要求事項の網羅性が保証されなければ、セキュリティポリシーとして欠陥があると言わざるを得ない。重要な要求事項が漏れていればセキュリティホールを生じる可能性があるわけで、要求事項を決定する上で脅威とその脅威に対する脆弱性を網羅的に認識することは極めて重要である。経験から網羅性を担保することも不可能ではないが、客観性がない網羅性には不安が残る。ベストプラクティス集と呼ばれる国際標準が重宝されるのも、この種の不安を解消するためだ。結果、セキュリティポリシーの策定には、情報セキュリティマネジメントシステムの国際標準である「ISO/IEC27000」が多くの企業・団体のセキュリティポリシーのベースにされている。

　ISO/IEC27000は、マネジメント領域の網羅性を保証するものではあるが、事業継続やネットワークセキュリティなど、個々のマネジメント領域に対するガイドラインとしては、十分とは言えない。そのため、個々のマネジメント領域におけるガイドラインを充足させるため、ISO/IEC27000には次々とガイドラインが追加されている。セキュリティ実装基準に深く関わるネットワークセキュリティに関しては、ISO/IEC CD 27033-1（Information technology -- Security techniques -- IT network security -- Part 1: Guidelines for network security）の追加が予定されている。

　セキュリティ実装基準を策定する場合も網羅的な検討が不可欠で、網羅性を検証する意味でもISO/IEC27033に基づいた現状のセキュリティ対策の整理や実装基準作成の基本とすることが極めて重要である。このコラムの第1回「PCI DSSとは何か」で「PCI DSSの登場の背景にはCNP犯罪（Card Not Present Fraud）と呼ばれるインターネット上の犯罪を防止することを目的としていることを知っておくことは、PCI DSSの要求事項を理解する上で重要であろう。」と書いたが、PCI DSSの各要求事項はISO/IEC27033-1が定義する「ネットワークセキュリティを確保する上でコントロールしなければならない領域」とそれぞれ対応している。

　ISO/IEC27033-1の原典であるISO/IEC18028では、72の領域をカバーすることで網羅性を担保しようとしている。72の領域とは、Security layerとSecurity Plane、Security Dimensionの3軸で表現される立体上に位置する領域をさす。Security Dimension、Security layer、Security Planeはさらにそれぞれ次のように認識される。 つまり、ネットワークのセキュリティ対策は、3つの階層（Security layer）それぞれにおいて管理すべき3つの側面（Security Plane）があり、それぞれの側面に対して８つの検討課題があるとする考え方で、これらを掛け合わせると７２の領域が定義される。この考え方に合わせて現状のセキュリティ対策を再整理すると、どの領域に対して認識が不足しているかが自ずと明らかとなり、今後のセキュリティ対策に対する方向性を確認することができる。

ネットワークのセキュリティ対策を3つの側面から考える