データ保護と暗号化はイコールではない? − @IT(情報元のブックマーク数)
セキュリティは運用が回って始めて動く、製品を入れて「はい終了」って物じゃないか・・・確かになぁ。
さて、PCI DSSに準拠しようとしたとき、多くの組織で頭を悩ますのは「要件3 保存されたカード会員データを保護すること」でしょう。「暗号化」というキーワードだけが注目されがちですが、ここで求められているのは、暗号化することではなく、保存されたカード会員データを保護すること、つまりカード会員データを容易に判読できない形で保存することで、カード会員データ情報漏えいのリスクを軽減することが目的です。
データ保護と暗号化はイコールではない? − @IT
しつこいようですが、製品を導入することが目的ではありませんし、高価な製品を導入しようとも、適切な運用が伴わなければ、本要件に対応したことにはなりません。
カード情報はどの経路で、どうやって流れるか。これでPCI-DSSの対応範囲もしっかり把握できるし、技術対策も検討できる。
ここで必要とされることは、システム全体を見渡したときに、どのようにカード会員データが流れていくのか、どの部分に蓄積されていくのかを把握していることです。カード会員データに限らず、個人情報などを取り扱うシステムがある場合にも同じことがいえます。システムに対する入力と内部処理、出力までのライフサイクルを把握しておかなければ、その情報を守ることなど到底できません。ここまで把握ができたうえで、要件3に入ることができます。
データ保護と暗号化はイコールではない? − @IT
この質問の回答では「どこにカード会員データが流れており、保存されているのか分からない」「そのカード会員データが本当に必要なのか分からない」ということが多いです。あまりにも散在している場合は、PCI DSS準拠を目指す第1ステップとして、業務分析が必要になるでしょう。
PCI DSSでは暗号化だけじゃなく、複数の技術的対策を採用することが出来るとのことです。
PCI DSSでは、「カード会員データの暗号化」というフレーズが話題になることが多いものの、必ずしも「暗号化」ではなく「カード会員データを判読不可能にする」ことが目標です。その手段として、PCI DSSでは下記の4つの方法が示されています。
データ保護と暗号化はイコールではない? − @IT
(1)トランケーション
トランケーションとは、データの一部を切り捨てることです。適切な位置とけた数でトランケーションすることで、カード会員データと見なさない、とすることができます。
16けたのカード会員番号では、会員を識別するためには先頭の6けたと末尾の4けたを除いた残りの6けたが特に重要なデータであるため、先頭6けた、末尾4けたを残して中央の6けたを切り捨てることで、適切なトランケーションが行われたことになります。もちろん、もっと多くのけたを切り捨ててしまっても問題ありません。ちなみに、最後の1けたのチェックデジットは、そのカード番号が正常なものであることを確認するための「MOD 10」と呼ばれる式で算出される値になっています。
MOD 10では、カード会員番号を右から数えて奇数番目のけたはそのまま、偶数番目のけたはそれぞれ2倍します。2倍して10を超えたものはそこから9を引きます。すべての数を足して、10の倍数になった場合、正しいカード番号、ということが分かります。
ハッシュですな。
(2)一方向ハッシュ
データ保護と暗号化はイコールではない? − @IT
一方向ハッシュは、不可逆の変換を行って、データを判読不可能にする方法です。この方法を使うことで、カード会員データは判読できなくなりますが、不可逆であるため復号することができません。一方向ハッシュはOSのパスワードやファイルの正当性の確認に使われることが多い技術ですが、業務上差し支えなければ、PCI DSS準拠のためにも有効な手段となります。
これは良く分からないなぁ。
(3)インデックストークンとパッド
データ保護と暗号化はイコールではない? − @IT
「インデックストークンとパッド」は、元のカード番号からワンタイムパッドで生成した暗号文を、元のカード番号への参照として使用する方法です。
鍵が脆弱だったり、独自暗号でバックドアがあったりするとアレですからね。
(4)暗号化
そして最後の暗号化ですが、基本的なコンセプトは以下の2点です。データ保護と暗号化はイコールではない? − @IT
- 「強力な暗号化技術」を使用すること
- 適切な鍵管理を伴うこと
暗号化とパフォーマンス。確かに無いと言ったらうそになるがちゃんと、検証してハードも増強してほしいものだ。
筆者が審査を行うときに、カード会員データが平文で保管されているという指摘をした際にまず返ってくる言葉は、以下のようなものです(必ずというわけではありませんが)。
データ保護と暗号化はイコールではない? − @IT
「暗号化処理を入れるとパフォーマンスが追いつかなくなるので暗号化できないのですが……」
それは果たして本当なのでしょうか。技術的な検証は行ったのでしょうか。本当は暗号化を行うことを避けようとしているだけないでしょうか……とまではいいませんが、明らかに平文でカード会員データを持っており、PCI DSSでは明確に「暗号化しなさい」と求めているという状況です。考えるべきは暗号化であり、暗号化を避けるための言い訳を考えることではありません。それだけのセキュリティが求められる情報を取り扱っていると認識すべきなのです。
セキュリティの基本か・・・
カード会員データに限らず、機密性の高い情報を持っていれば、このPCI DSSの考え方を活用していただけるのではないでしょうか。「必要最小限のデータのみ持つ」、そして「持つデータは徹底的に守る」が鉄則です。これはセキュリティの考え方としては、至って当たり前のことなのです。
データ保護と暗号化はイコールではない? − @IT
