SOC事業者がPCI DSSを取得した理由

JSOCの賀川です。

セキュリティサービスを提供する事業者として、最新の脅威や未知の脆弱性、攻撃者の新たな手法を調査研究し、お客様データをどのように守るかを常に考えて行動しています。それだけでなく、私たちが提供するサービスをいかに信頼してもらうかという点も重視しています。セキュリティインシデントが発生した際の迅速な通知、対応支援、関連攻撃の分析調査など、日々発生しているセキュリティオペレーションにおいて通知を受け、対応を行っているお客様においては、その対応内容から評価いただけるかと思います。

一方で、サービスを利用していない段階では評価が難しく、「安心してセキュリティを任せられるのか？」という懸念を持たれることも少なくありません。そこで、JSOCのマネージド・セキュリティ・サービス（MSS）は、第三者による評価として、情報セキュリティマネジメントシステム（ISMS/ISO 27001）認証を2002年に取得し、現在まで継続して更新し続けています。

• 認証登録番号：JQA-IM0038

セキュリティオペレーションを行うSOC事業者として、ある意味当たり前に準拠しておくべきデファクトスタンダードな認証であり、サービス利用前に認証を取得していることを確認いただくことで、一定の安心感と信頼を担保できると考えています。

PCI DSSにも準拠

また、JSOCでは、組織の管理体制に重点を置き、情報の機密性・完全性・可用性の3要素を満たすことを目的としたISMS認証に加え、厳格なセキュリティ要件への適合が求められるPayment Card Industry Data Security Standard（以下、PCI DSS）にも準拠しています。

お客様情報やデータ保護の観点で、SOC事業者として一歩進んだ高いレベルのセキュリティに基づいたサービス提供が行えることを示すため、2022年度に金融業界で求められるセキュリティの水準であるPCI DSSに準拠し、2023年度に準拠を更新しました。SOC事業者が、クレジットカード情報を守るべき基準であるPCI DSSに準拠するのは比較的珍しいのではないでしょうか。

※ 概要 | PCI DSS（カードセキュリティ） | ISO認証 | 日本品質保証機構（JQA）

JSOCは、MSSを提供するにあたり直接クレジットカード情報を取り扱うことはありません。私たちはお客様情報を保護対象としてPCI DSSに準拠しています。ISMS/ISO 27001に対応しているのに、なぜクレジットカード業界におけるグローバルセキュリティ基準であるPCI DSSに準拠する必要があるのか説明します。

PCI DSSに準拠する意味

PCI DSSは、クレジットカード情報および取引情報の保護を目的として、2004年12月に国際ペイメントブランドの5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。

セキュリティリスクの効果的な低減とセキュリティ管理の効率的な運用を目指し、情報保護のための統一的なセキュリティ基準が策定されています。クレジットカード情報の保護を目的として掲げているものの、その内容は具体的なセキュリティ要件を事細かに定めており、データ保護やアカウント保護を含めたセキュリティ全般に対応できるものとなっています。

また、2004年の策定以降、世の中のセキュリティ動向を踏まえ、対応すべき準拠要件の更新が都度行われました。2024年4月現在ではバージョン4.0として要件策定され、毎年の適合審査だけでなく、準拠基準要件に基づいた適切な運用が求められます。専門家の意見が反映された、実践的かつ運用を含めた包括的なセキュリティ対策の導入が求められるため、インシデント発生時における被害の緩和に役立ちます。

※ JSOCは、2024年4月時点でバージョン3.2.1準拠、2024年度内にバージョン4.0準拠予定。

JSOCは、セキュリティ専門家を含めたエンジニア集団であり、サービスを提供するにあたっての心構えや、情報の取り扱いに関する知見、有事における対応に長けています。しかし、システム基盤や運用方法などについて、お客様側からは具体的な内容について確認することは難しいのです。私たちも、おいそれとSOC運用におけるセキュリティ対策情報をオープンにするわけにはいかず、第三者の評価をもってその品質を示す必要がありました。

ただ、「セキュリティ対策をしっかりしています」「責任者は明確です」「データは暗号化しています」と言うことは簡単ですが、世の中で求められている基準に到達しているか、実際に定められたレベルで実装されているかなど、具体的な内容にまで踏み込んだ形で評価を実施しなければ意味がありません。

また、基準を満たした要件が実装されていたとしても、日々移り変わる世の中のセキュリティ基準に追随できていることを、お客様を含め対外的に示すには「セキュリティ対策」の範囲が広すぎることもあり、なかなか難しいのではないでしょうか。そのため、どうしても情報がクローズになりがちです。

そこで、対応要件が厳格かつ明確に定められたPCI DSSに準拠することにより、個別に具体的な情報のオープンが難しい内容についても、対応内容とセキュリティ基準を満たしていることを示せると考えました。当然、準拠するために相応のリソースが必要ですが、対応すべき基準と内容が明確になるので準拠対応するだけの価値があります。

なお、満たすべき各要件は、12の主要要件、セキュリティ要件の詳細、対応するテスト手順、および各要件に関連するその他の情報で構成されています。ここで細かくは触れませんが、基準文書として公開されているので、興味がありましたら目を通してみてください。450ページ以上にもわたる膨大な量で、個々の要件だけでも軽く150項目を超えます。

さらに、それぞれに対して何をどのような情報をもって確認すべきか、エビデンスの取得を含めた運用の必要性まで示されたものとなっていることからも、具体的かつ厳格に定められていることが読み取れるかと思います。それだけ、「セキュリティ対策」は必要なことが多く、かつ常に脅威にさらされる懸念があるのです。

※ Payment Card Industry データセキュリティ基準

PCI DSSに準拠するということは、高度かつ適切な対応を実施する組織・サービスである証とも言えます。PCI DSSに準拠しているという点で、これからサービスの検討をするお客様からも、信用してセキュリティを任せてもらいたいと考える次第です。

JSOCでは、高いセキュリティ技術に基づいた監視・運用サービス提供を強みにしています。その裏付けとなる技術スキルや分析能力などは、テクニカルレポートなどからご確認ください。

おわりに

今回ご紹介した、セキュリティ基準に対する認証・準拠については、直接サービスをご利用いただく上での判断基準となるものではないと思います。しかし、サービスを提供する基盤や運用体制・管理方法を含め、ISMS認証だけでなくPCI DSSにも準拠という、第三者機関による適切な評価に基づいているということを信頼の根拠として捉え、「セキュリティを任せても良い」と考えていただければ幸いです。