CDNetworksは7年連続でPCI DSS(※1)の最高レベルであるレベル 1 認定を受けました。
特に今回は、v.3.1と比較してより厳しい取得条件が課されているv3.2(※2)を適用しています。
この連続取得の背景には、CDNetworksが社会的に最上級のセキュリティ要素の1つであるクレジットカード決済において、標準化されたプロセスと高度な技術水準のセキュリティ対策で、高い信頼性の下に利用できる環境を維持・提供していることが挙げられます。
そこで本ブログでは、PCI DSS認定を維持するためのCDNetworksの日々の取り組みについて簡単にご紹介します。
毎週/セキュリティ会合の開催
毎週開催されるセキュリティ会合を通じて、情報セキュリティチーム以外にもIT室長、研究所長、サービス本部長などが最新のセキュリティ動向を共有しつつ、解決すべき問題点について論議および決定をしています。会議では中心メンバーが参加することで、早い決定と実施が遂行されています。このセキュリティ会合は、数年間に渡って着実に運営され続けているものです。
毎月/セキュリティチェックキャンペーンを実施
セキュリティはソリューションではなく装備でもありません。結論、”人”です。
いくら高価な装備やソリューションを導入しても、社員一人ひとりのセキュリティ対策の心構えが整っていなければ、“自分は問題ない”と考えるものが現れ、その小さなほころびは事故 (インシデント)へと繋がります。
毎月1回、CEOを含めたグローバル全社員を対象とした、最新のセキュリティパッチの適用やアンチウィルスソフトウェアのアップデートなど、各々が利用しているPCのセキュリティレベルのチェック&確認を全社員が実施しています。このセキュリテチェックの結果情報に基づき、各オフィス、並びに個人ごとの達成度や迅速に対応したかなどを調査・分析し、毎月統計結果を公開しています。もちろん、すべてのプロセスを自動化し、社員にセキュリテチェックをさせないことも可能ですが、この方法は”セキュリティチームがやってくれるから私は関係ない”という思考に陥りがちで、むしろ危険です。
毎月/クリーンデスクキャンペーンを実施
毎月1回、社員が退社後の時間帯にセキュリティチームメンバーが社員の席を見回り、物理的なセキュリティポリシーを社員が守っているかどうかを目視で確認しています。
例えば、デスクにラップトップやお客様情報などの重要な機器や書類を放置したまま帰宅していないかどうか、引き出しには鍵がかけられているかどうかなど、全10項目のチェックリストを確認し、守られていない社員には“警告状”をデスク上に置いて指導を行っています。
画像:クリーンデスクキャンペーンのイメージ
継続的/厳格なネットワーク分離運用
いくら最新のセキュリティパッチやセキュリティ装備でモニタリングしても、まだ公開されていないゼロデイ(未知)の脆弱性は存在しており、ネットサーフィンやメールを通して知らないうちにマルウェアに感染したりするものです。
CDNetworksの技術チームは、このような問題を解消するために、物理的なネットワーク分離を実施してサービスを運用しています。これは、CDNプラットフォームにアクセスするためには、インターネットに接続されていない専用のデバイスを利用してアクセスする仕組みです。つまり、物理的にネットワークが分離されているため、もしインターネットに接続している既存のPCがウィルスに感染したとしても、CDNのサービス運用に影響が及ぶことはありません。もちろんアクセスできるユーザは厳格な認証プロセスに添って特定社員のみに限定されており、単純なID/PWだけでなくPKI Key、OTP Keyなど複数の認証を経てアクセスすることができます。
継続的/内部アクセス時にMulti Factor Authentication(MFA)を適用
前述したCDNプラットフォームはもちろん、その他の管理や運用ページなど、内部の主要コンテンツにアクセスする際にはOTP(※3)として代表的なMFA(※4)を導入しています。これを通じて、もしID/PWが外部に漏れる事故があったとしても本人でない場合には、認証を迂回して内部システムにアクセスしようとする行為自体を遮断することができます。これには、OTP発行・解除・再発行などの管理に対して厳しいプロセスに従ったモニタリングおよび運用の実施が必要であり、CDNetworksでは定期的に権限をレビューして変更事項を即時反映しています。
画像:OTP認証作動方式のイメージ
随時/セキュリティ点検 (Security Scan)
前述した定期的なセキュリティチェック以外にも、セキュリティチームではさまざまなソリューションを活用して内部コンテンツおよびサービスインフラに対して脆弱性点検を定期/不定期で実施しています。
例えば、外部に知られたポートはないか、パッチされていないバージョンの低いデーモン(※5)を利用していないか、問題になりそうな点はないかなど、攻撃者の観点から脆弱性を見つけ出し、該当の部署に知らせて即時解決するよう働きかけを実施しています。
また、システム 運営者がデータセンターに装備を設置する際にも、サービス開始前に必ずセキュリティチームからスキャン完了 (合格)したという通知をもらってから開始することができます。
セキュリティ環境は日々変化するため、昨日まで安全だったシステムが、今日突然脆弱性を持ったシステムになってしまうこともあるため、常に最新の情報を把握し、最新基準で脆弱性診断を行っています。
画像:脆弱性点検のイメージ
毎年/外部の専門家によるセキュリティコンサルティング
CDNetworksでは、会社内部に専門のセキュリテチームがいますが、第3者機関から評価を受けてダブルチェックをすべく、毎年外部の専門家からセキュリティコンサルティングを受けています。コンサルティングを受ける数ヶ月の間、外部の専門家が社内に常駐しながら担当者およびセキュリティチームとのone on oneのインタービューなどを通じて会社全体のルールやプロセスを確認し、私たちが気づいていないセキュリティ脆弱性がないかどうかをチェックしつつ、中長期的なマスタープランを考案しています。コンサルティングの総括として、CEOを含む取締役が参加した会合を開き、客観的な評価を共有しています。
また、毎年認証を受けているPCI DSSやISMSなどのセキュリティ認証審査の際にも、審査官を通じて追加フィードバックを受けています。
画像:外部専門家によるセキュリティコンサルティングのイメージ
その他にも、統合モニタリングのためSIEMソリューションの運用、各種セキュリティソリューションの運用、社員に対する定期オンライン/オフラインセキュリティ認識教育、スピアフィッシング(※6)メールの受信時の注意勧告など、持続的に社員のセキュリティ認識を高める活動を行っています。
セキュリティは少しでも怠ると優先順位が下がったり、時には面倒な存在と認識されがちですが、CDNetworksではトップのマネジメント層がセキュリティに対して持続的な関心を持つことで、全社員が常にセキュリティを最優先とすることを意識づけており、単に認証を得るための形式的なペーパーセキュリティではなく、CDNの提供に関わる実質的なセキュリティ改善のために継続的な努力をしています。
※1 PCI DSS:Payment Card Industry Data Security Standardの略、国際的なクレジットカードブランド5社 (AMEX, Discover, JCB, Master, Visa)が「アカウント情報保護」を目的として策定したクレジットカード業界の国際的なセキュリティ基準です
※2 v.3.2:強化されたポイントは、SSL→TLS1.2以降へのアップグレード対応、マルチファクタ認証の使用、PDI DSS基準への年次を通した継続的な準拠、サービスプロバイダ監視の強化など
※3 OTP:ワンタイムパスワードの略、自身のユーザ名とパスワードの他に1度限り有効なパスワードを発行し入力させる安全性の高い認証方法
※4 MFA:マルチファクターオーセンティフィケーション/マルチファクタ認証の略、OTPの1種で、多要素認証とも言う
※5 デーモン:UNIXなどのマルチタスクOSにおいてバックグラウンドプロセスとして動作するプログラム
※6 スピアフィッシング:特定の人物を狙い、偽のメールを送ったりウィルスを仕込んだりしてパスワードや個人情報などを詐取するEメール経由の標的型攻撃
CDNetworksでは、クラウド型セキュリティサービスを提供しています。
サービスの詳細については、以下よりご覧いただけます。
>> お問い合わせはこちら
>> プロダクト詳細はこちら
>> 資料ダウンロードや導入事例などはこちら
株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)