ロゴ


「Grade up(グレードアップ)」では、SSTに関わるみなさまの声と視点を交えながら
SSTの想いや取り組みをお伝えします

対談インタビュー:fjコンサルティング x SST

「クレジットカード」と「Web」のセキュリティ専門家が語る
「セキュリティのこれから」と「変わらないもの」

2020年11月13日更新

「セキュリティのこれから」と「時代が移っても変わらないもの」とは

クレジットカードとWebのそれぞれの分野での「セキュリティのこれから」についてお聞かせください。

瀬田氏:パブリッククラウド上のシステム構築も、従来の仮想化環境よりも少ないリソースでアプリケーションが稼働する環境を構築できる「コンテナ」や、サービスを提供しているAPIだけをつなぎ合わせてアプリケーションを開発する手法が一般化する「クラウド・ネイティブ」へと変わる最中にあります。それに呼応して、セキュリティの考え方も「クラウド・ネイティブ」へと大きく変化していくものと予想しています。言いかえると今までとは違う発想で、起点が少し変わってくる、といったイメージになるでしょうか。その変化をキャッチアップし続けないとならないでしょう。

2021年の半ばに公開予定のPCI DSSの次期バージョン(v4.0)では、これまでのように実装方法を具体的に示すだけでなく、セキュリティ目標を要件ごとに定めて、目標を達成するための実装方法は自由に選べる形にしています。目標以上のセキュリティが必要な企業のニーズにも対応できるようにするという発想からです。

その発想にいたった背景には、前回のバージョンアップからの7年の間で、テクノロジーの進化が激しすぎてPCI DSSの改訂が追いつていないという状況があったと思います。進化に追いつくよりは、柔軟性を持たせて準拠する企業側の自由裁量に合わせていく形に変わっていくところが大きいと思います。柔軟性を持たせて、クラウド・ネイティブ時代にも対応できるセキュリティ基準となることを目指しているのだと考えます。

はせがわ:これからの変化として、1つの仕事、成果物に対して、さまざまな専門家が集まったものが1つのサービスとして提供されるようになっていくと思うんです。そのなかで、セキュリティはすべての軸を横断して、それぞれに対して矛盾がない状態を作らなければならないという課題をクリアすることが求められるでしょう。

クラウドなどはさまざまな専門家が集まった1つのサービスの好例だと思います。従来であれば、自分たちで構築した環境をコントロールできるのが前提でした。セキュリティについても同様です。ところが、自分たちで管掌できない部分が増えてくると、暗中模索のなかでリスクを見極めていかないとなりません。すると、採りうる選択肢に具体的にどれだけのリスクがあるかと問われたときに、その判断は難しいところがあります。すべてコントロールできる環境が必ずしも安全とは限らず、「世界中で広く使われているクラウドのほうが、自前のものより安全です」という考えもできるような、発想の転換が求められるポイントはますます増えていくと思います。それに伴って、何もかも自分たちで判断する能力よりも「判断できるプロに任せる」「どこを任せるべきか判断できる」能力を、いろいろな形で培う必要があるのではないかと、強く感じます。

継続的に地道に対策を積み上げ、攻撃のコストを上げる

その反対に、これからも変わらないと思われる部分はどのような点でしょうか?

瀬田氏:人間の犯罪動機は、未来永劫変わらないでしょう。犯罪者が価値のあるものをより効率的に稼ごうとするのは、いつの時代も同じです。現金にしかお金としての価値がなかった時代には銀行強盗をしていた人たちが、クレジットカード情報や仮想通貨にお金としての価値があり、強盗よりもリスクが小さいとなれば、当然盗む対象は変わります。犯罪をする側の心理が変わらないならば、その心を読むという発想を起点に対策を考えると、その時々に対応したセキュリティ対策を時代が変わっても大きくブレることなく講じられます。犯罪のほとんどの動機は経済的な理由ですので。

はせがわ:攻撃のほとんどは経済的な理由というお話は、まさにそのとおりだと思います。それはすなわち「攻撃者のコストを上げることが、最大の防御になる」といえます。企業が多額の費用を掛けてセキュリティ対策を行い、1年後に追加の対策を講じようとすると「去年の対策は無駄だったのか」と受け取られがちなのですが、そうではなく、去年そこまで対策を行ってあったから、さらに攻撃側のコストを上げるために今年の対策が必要になったわけで、決して無駄になったと思ってほしくないのです。

セキュリティ対策に“これだけ一度入れておけば大丈夫”といえるものはなく、少しずついろいろな対策を地道にやらざるを得ないものばかりで、その1つ1つが攻撃者のコストを上げることになります。攻撃のコストを引き上げ「攻撃してもペイしないWebサイト」を増やしていけば、社会そのもの、Webの世界が安全になっていくでしょう。自分のところには狙われる価値がないとかそういう話ではなくて、Webの世界で攻撃することそのもののコストを引き上げることは、過去から変わらずやっておくべきことなのかなと思います。

瀬田氏:継続的に対策をしているサイトは、攻撃者から見れば効率が悪いからここを攻めるのは止めよう、という発想につながりますね。先日、クレジットカードの不正利用に悩んでいた企業へのインタビューで、ツールを入れて不正利用が劇的に減った話を聞いたのですが、不正利用の兆候を捉えて地道に対策を継続していたら、兆候そのものがほとんどなくなってきたとおっしゃっていました。

はせがわさんのおっしゃるように、継続的に地道に対策を行った結果は、確実に攻撃者に打撃を与えます。それは、経済合理性に合わなくさせるという、的を射た対策だからだと思いますね。


「犯罪者の心理や犯罪動機は、時代を経ても変わらない」という前提にたって考えることで、どの時代にも対応できる「ブレない」セキュリティを講じられると語る、瀬田氏。あらゆる分野でセキュリティが必須になった時代、セキュリティの専門家として「広さ」と「深さ」が同時に求められると語った、CTOのはせがわ。

2人のセキュリティ専門家の対話からは、継続的なセキュリティ対策が確実に攻撃者に打撃を与え、そして安全なインターネットの実現に直結することが、改めて浮き彫りになりました。

対談ゲスト:fjコンサルティング株式会社 瀬田陽介氏
  • fjコンサルティング株式会社 代表取締役CEO。
    2007年〜ISMS認証及びPCI DSS監査機関(QSA)である国際マネジメントシステム認証機構代表。13年同社を退任し、現在はPCI DSS/P2PEなどのPCI基準やキャッシュレスセキュリティのコンサルティング、執筆、講演などを手掛けている。
    BSI Professional Services Japanや株式会社GRCSのアドバイザーも務める。2020年5月からSSTとfjコンサルティングが共同で提供する「【PCI DSS要件6.5対応】『開発者向け年次オンライントレーニングコース』eラーニング」ではオリジナル教材の作成を担当。