KPMG 熊谷 堅氏インタビュー：業界の枠を超え、セキュリティ強化の指針となるPCI DSS

セキュリティ対策の具体的な規範として各界から注目を集めるPCI DSS

KPMGビジネスアシュアランス シニアマネージャー 熊谷 堅氏

　もともとクレジットカード業界のセキュリティ標準として策定されたPCI DSS（Payment Card Industry Data Security Standard）に、近年急速に他業界からの注目が集まっている。この背景について、KPMGビジネスアシュアランス シニアマネージャーの熊谷 堅氏は、「まず、クレジットカード業界で再認識されたことが理由のひとつにあげられるでしょう。これはVISAを中心とした国際カードブランドによる積極的な推進によるものです。諸外国の活発な動きもこれを後押ししています。また、一般の企業にも関心の高い“最も高価な個人情報”に対するセキュリティ基準であること、最近のWebサイトの脆弱性を突いた攻撃が増えていることなどが、PCI DSSに注目を集める理由と考えられます」と語る。

　特に2006年以降はWebサイトへのアタックが増えてきており、その7～8割をSQLインジェクションやクロスサイト スクリプティングが占めているという。このように業界分野を問わず、ネットワークへの不正アクセスが原因のセキュリティ事故が頻発する中で、PCI DSSがにわかに注目を浴びてきたのは、むしろ自然ななりゆきだといえよう。とりわけ熊谷氏は、PCI DSSがネットワークまわりのセキュリティ対策について詳細に示している点が大きいという。

　「個人情報保護法を契機に多くの企業が情報セキュリティに熱心に取り組むようになってきました。しかし、現状を確認しようとしても、これまではネットワークについて具体的どのように設定すべきかなど、比較する基準が存在していませんでした」。

　その悩みを解決したのが、PCI DSSだったと熊谷氏は評価する。

　「PCI DSSの登場で、一般企業にとってもセキュリティ対策の強度がわかりやすく示されたのです。これをベースに実装することが、一定水準のセキュリティを確保できるという点で、PCI DSSはクレジットカード以外の業界にも大きなメリットがあるといえます」。