このレッスンでは、
社内でできるITセキュリティの具体的な対策について
学習しましょう。
URLフィルタリング
インターネット上には、
業務遂行の妨げになるようなサイトや、
閲覧するだけでもマルウェアに感染してしまうようなサイトがたくさんあります。
そんなつもりはなかったのに、
うっかりアクセスしてしまうことはよくあることです。
URLフィルタリングは、
こうしたサイトにアクセスできないように制限する、
セキュリティ対策の1つになります。
企業においては、
マルウェアの感染を防ぐ目的以外にも、
業務に関係のないサイトの閲覧を制限し、
仕事の生産性を上げるために導入することがあります。
コンテンツフィルタリング
コンテンツフィルタリングも、
ユーザーにとって害のあるWebサイトの閲覧ができないように、
制限することができるセキュリティ対策です。
例えば、不適切なキーワードが含まれているページへのアクセスを
遮断したりすることも可能です。
コンテンツフィルタリングでは、
あらかじめWebサイトにアクセスするときのルールを設定し、
そのルールに沿ったフィルタリングが行われます。
クレジットカードの管理
オンラインショッピングをする機会が増えたことで、
ショッピングをする時にクレジットカードを使用することが
一般的になりました。
しかし、顧客のクレジットカード情報が漏洩してしまうなど、
被害が多発しています。
PCI DSS
もともとは複数あるカード会社が
それぞれセキュリティの基準を定めていましたが、
現在は1つのショップが複数のクレジットカード会社を扱うのが普通です。
カード会社ごとにセキュリティの基準が違う場合、
ショップが対応できません。
そこで、クレジットカード会社や加盟店が、
顧客のクレジットカード情報を安全に取り扱えるように、
基準を1つにまとめたのが
PCI DSS(Payment Card Industry Data Security Standard)です。
国際カードブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が
協力して制定し、運用・管理しています。
PCI DSSの6つの目的、12の要件
PCI DSSには、6つの目的と12の要件が定められていますが、
加盟店はこの要件を守ることが求められます。
安全なネットワークとシステムの構築と維持
要件1 カード会員データを保護するために、
ファイアウォールをインストールして維持する
要件2 システムパスワードおよびその他のセキュリティパラメータに
ベンダー提供のデフォルト値を使用しない
カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5 マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12 すべての担当者の情報セキュリティに対応するポリシーを整備する
PCI DSSは、決済の取り扱い件数により認証レベルが異なり、
レベル1〜レベル4まであります。
レベル1が最上位となり、
年間600万件以上のカード取引を処理する企業が相当します。
レベル1〜3は、四半期ごとのネットーワークスキャンなどが
求められています。
まずは、自社のセキュリティ対策はどの程度まで行われているかを、
確認しましょう。
6つの目的と12の要件を確認して、
自社のセキュリティ対策と照らし合わせ、
違いを把握すると良いでしょう。
URLフィルタリングとコンテンツフィルタリング、
クレジットカードの管理について解説しました。
クレジットカードの管理を怠ると、
顧客にまで被害が及ぶことになるので、
今一度見直してみましょう。
次のレッスンも引き続き、
具体的なセキュリティ対策について学習しましょう。
