製品

情報漏洩対策×PCI-DSS対応

あなたは現代企業システムおけるセキュリティ上の脅威をご存知ですか?
今、行うべき情報漏洩対策やPCI-DSSへの対応は済んでいますか?
ソルパックでは、今必要なセキュリティ上の対策に必要なソリューションをご紹介します!

セキュリティの重要性

企業組織のIT化に伴い、情報資産の有効活用化が可能となっている昨今ですが、それに伴うリスクも増大しています。

そのリスク増大に比例して企業における情報セキュリティの重要性は年々高まっています。 企業は信用を売ります。機密情報・個人情報漏洩はもちろん、セキュリティ対策が不十分のままでは、その企業の信用を著しく低下させます。

自社の情報セキュリティの状態によって今まで築き上げてきた信頼関係を壊してしまうことはどの企業でもおこりえることです。

不正アクセスによる個人情報漏洩が判明 - 文科省
http://www.security-next.com/026977

一口にセキュリティ対策といっても、各企業のコンプライアンス、ネットワーク・システム構成など様々な要因によって対応が変動します。
しかし、どのような環境であろうとも対応するべき内容はあります。
特にIBM i 上のセキュリティの脅威は以下のものが考えられます。

  • ・機密情報の漏洩・個人情報の漏洩
  • ・ウイルス感染※1
  • ・システムの停止※2,3

様々なリスクに対応するにはどのような方法があるのでしょうか。
今回は情報漏洩対策について詳しく説明します。

情報漏洩対策とBsafe

IBM i における情報漏洩のリスク

  • ・ユーザーによる、重要ファイルへのアクセス
  • ・データ転送、FTPを使用したファイルダウンロード
  • ・ユーザーのなりすましによる、情報の抜き出し

IBM i 内部での操作(5250エミュレーターによる操作)か外部からの各種通信による抜き出しが考えられます。

対策の3ステップ

対策の3ステップ

セキュリティを強化したいお客様は以上の3つから始めてみませんか。
さらに次のステップとして、PCI-DSSを紹介します。

セキュリティ基準としてのPCI-DSS

PCI-DSSとは?

カード業界のカード会員様のクレジット情報を安全に守るために定められたクレジット業界のグローバルセキュリティです。
最近では、各要件に対する具体的な対策が記されていることから、カード業界以外にも広がりをみせ、今最も注目されているセキュリティ規格です。

PCI-DSS12の要件

安全なネットワークの構築・維持

要件1:データを保護するためにファイアウォールの導入をし、最適な設定を維持する
要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

要件3:保存されるカード会員データの保護
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備

要件5:アンチウイルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する

強固なアクセス制御手法の導入

要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:コンピュータにアクセスできる各ユーザーに一意のIDを割り当てる
要件9:カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの整備

要件12:すべての担当者の情報セキュリティポリシーを整備する

詳細な要件はこちら。

PCI-DSSでは、ネットワークからファイルアクセス管理、サーバールームの物理的セキュリティなどの企業セキュリティをトータルカバーしています。
ネットワークの構成方法、会社でのポリシー策定で多くは対応できるが、以下の3点は作りこみ、ソフトウェアが必須。

  • ・カードデータの暗号化←OSの暗号化のライセンス+開発
  • ・イベント追跡の自動監査証跡

IBM iでのPCI-DSS対応とBsafe

イベント追跡の自動監査証跡(10条第2項)への対応

PCI-DSS要求 Bsafeでの対応 コメント/Bsafe
機能詳細
10-2 全てのシステム・コンポーネントに対して、以下のイベントを追跡するための自動監査証跡を導入する。
10.2.1 カード会員データに対する、個人ユーザーによる全てのアクセス YES ファイル監査、アプリケーション監査、システム監査
10.2.2 ルートまたはアドミニストレータ権限を持つ個人が行って全ての操作 YES ファイル監査、アプリケーション監査、システム監査、Enforcive管理者監査
10.2.3 全ての監査証跡へのアクセス YES 同上
10.2.4 無効な論理的アクセス試行 YES アプリケーション操作制御
10.2.5 識別あよび認証メカニズムの使用 YES ファイル監査、アプリケーション監査、システム監査、Enforcive管理者監査
10.2.7 システムレベルのオブジェクトの作成と削除 YES システム監査

Enforcive/Enterprise Securityとは

IBM iへのアクセス監視(アプリケーション監査)、各ユーザーの操作履歴(システム監査)、マスタ・トランザクションデータの変更履歴管理(ファイル監査)など、IBM iで行われた全操作を記録可能な製品です。

操作の監視だけでなく、製品独自のプログラムを使用してIBM iへの通信制御(アプリケーション操作制御)をかけることができます。

セキュリティ監査変更などが行える高機能製品クライアントを使用した他社にはない管理者の監視も可能です。

Enforciveはほぼすべての操作がGUIから行えます。
IBM iに慣れていない管理者でも、直感的に操作することが可能です。

情報漏洩対策×PCI-DSS対応製品はこちら


IBM i(AS/400)セキュリティの決定版!

PCIに準拠したファイル転送ツール。IBM i でSFTPを簡単に実装!

お問い合わせ

  • 製品についてお問い合わせ
  • 製品について資料請求
  • 製品のデモのお申込み