ITネットワークセキュリティISO/IEC 18028の概要
最後にISO/IEC 18028について述べておこう。ISO/IEC 18028は情報システムを構成するネットワークのセキュリティについて、管理、運用および利用のための手法を提供することを目的としている。2005年から2006年にかけて第1版が制定されたISO規格である。
この規格は、特にネットワークセキュリティに責任を有する組織を対象として制定されたものであり、ネットワークセキュリティを確立するための考え方、あるいは方法論を示している。あ、ITネットワークセキュリティの確立のための多くの知見を与えてくれるものであり、PCI DSSを理解する上でも重要な指針を与えてくれるはずだ。ISO/IEC 18028-1におけるネットワークの構成要素の分類手法は、PCI DSSの要件との相関が強い。
■ISO/IEC 18028はなぜ作られた?
ISO/IEC 18028が制定された背景には、今日のセキュリティソリューションの複雑化の現状がある(図15)。安全なネットワークを構築するためには、外部の攻撃からネットワークを保護するだけでなく、情報およびサービスの機密性、完全性、可用性、非拒絶性責任担保、信用確保および信頼獲得など、さまざまな業務要件を満足する必要がある。またISMS認証の取得、個人情報保護法あるいは日本版SOX法などの法令への対応、PCI DSSをはじめとする業界基準への対応など、安全なネットワークを構築するための業務要件は増加傾向にあり、このことがセキュリティソリューションの複雑化の一因となっている。
図15 セキュリティソリューションの複雑化
一方で、セキュリティを維持するためには多種多様な製品を組み合わせて利用しなければならないという状況も、セキュリティソリューションの複雑化の一因となっている。個々の製品のセキュリティ機能は、アプリケーションあるいはサービスを含むネットワーク全体にとってきわめて重要であるため、これらの動作整合性の確保が、セキュリティソリューションの成否を左右する要因となっている。
このような背景のもと、エンドツーエンドのセキュリティソリューション全体に対して、適切にセキュリティ機能を組み込むための方法論が必要となり、ISO/IEC 18028が制定されるに至っている。
ISO/IEC 18028 は、ITネットワークセキュリティという総合表題のもとに、5部から構成されている(図16)。特にこのうちのISO/IEC 18028-1は、拡大するネットワークが内包するリスクを整理している。その上でネットワークセキュリティを維持するための要求事項と管理策を講ずるべき領域を明確にするために必要となる一連のプロセスについて述べている。
図16 ISO/IEC 18028の構成
まとめ
以上、ネットワークのセキュリティ管理の視点からPCI DSSの要件解説を行なってきた。各要件の目的とするところは具体的でわかりやすいと思われるが、これだけの量の対策を実施することには困難が伴うものと思われる。
弊社、ネットワンシステムズでは、PCI DSS準拠支援のコンサルティングサービスを提供している。ギャップ分析、文書作成支援、教育訓練、製品実装支援等のサービスを提供しているが、なによりネットワークインテグレータとしての知見が、PCI DSS準拠へのお役に立てるものと信じている。
筆者紹介─豊田祥一
2005年に ネットワンシステムズ 入社。前職において、PKIを導入したインターネットサービスの運用業務設計と運用管理に携わるとともに、個人情報保護法対応、電子認証局構築、等のコンサルティング業務を担当。現職においては、ネットワークベンダーの視点に基づくコンサルティングビジネスを推進。各種PCI DSSに関するセミナー講師も担当。前宮内庁CIO補佐官。
この連載の記事
-
第2回
TECH
PCI DSSのインフラを作る -
第1回
TECH
PCI DSSはなぜ注目される? -
TECH
管理者のためのPCI DSS講座 - この連載の一覧へ
