国内で需要伸びる製品は?
ログ管理HSMは米国で特需 PCI DSSには、詳細な要件ごとに準拠を支援する製品がある。PCI DSSに準拠しようとする場合、ツールに関しては、コスト事情から自前でどうにかしようとするか、またはすでに導入しているツールで対応することも多いというが、ビジネスアシュアランスの山崎文明社長は「米国では、PCI DSSでSOXに次ぐセキュリティ特需が起こっている。WAF(ウェブ・アプリケーション・ファイアウォール)やとりわけ統合ログ管理製品、HSM(ハードウェア・セキュリティ・モジュール)の需要が多い」と話す。
PCI DSSでは、自社開発アプリケーションも含めた「ログ管理」を厳しく求めている。その理由は「ログを管理しておけば、万一カード番号を盗まれても、盗まれた番号の範囲が分かればクレジットカードすべてを再発行しなくてもいい。該当部分のみを再発行して、あとは不正利用を監視するだけ、というように対策が変わる」(NTTデータ・セキュリティの鍋島室長)からだ。J-SOX関連で脚光を浴びた「ログ」は、改ざんや漏えいなどの証跡という観点から、重要性は高い。
また、PCI DSSでは、年1回のペネトレーションテストとは別に、四半期に1回の企業内部・外部ネットワークのぜい弱性検査が必要となる。内部セグメントの検査など、自社では対応しきれない企業のなかで、ぜい弱性・リスク管理製品を採用する動きが増えるのではないかとみている。
統合ログ管理製品はこれから
運用負荷軽減を目的に導入 統合ログ管理製品は、国内ではJ-SOX法、内部統制システムで注目された製品だ。SIerの兼松エレクトロニクスは、要件10のログ管理項目に対応する米国ログロジック社の統合ログ管理アプライアンス「LogLogic」を販売する。同社は2年前に「LogLogic」製品群の取り扱いを開始し、1年前からはPCI DSS関連の取り組みを開始した。当初は、PCI DSSでの需要に期待をもって望んだという。
兼松エレクトロニクス 岡田政嗣 主事補
J-SOX法に基づき、企業では昨年から監査が始まった。多くの企業では、ログを貯めることはしているが、「ログ管理・運用までが監査対象になるかというと、指摘されないこともある。監査を受けて、指摘されたら導入を考えようとしている企業が多い」(兼松エレクトロニクスの吉池雅宣・第三ソリューション営業本部本部長)という。PCI DSSで、すぐに統合ログ管理製品が売れるかというと、「あくまでもログ管理の運用負荷を減らす製品。企業はPCI DSSに何千万円もコストをかけないので、初めは自前で何とかしようとするだろう。運用を改善しようする段階で、初めて需要が出てくる製品だ」(同本部ネットワークシステム営業部第三課の岡田政嗣主事補)と、立ち上がりにはしばらく時間がかかるとみている。
HSM「暗号化」で伸びるか
PCI DSSで問い合わせ来る NIerの東京エレクトロンデバイスでも「統合ログ管理製品、WAFなどは、PCI DSSの需要で伸びるだろう」(CN事業統括本部CNプロダクト本部プロダクト推進部プロダクト推進グループ2の松永豊グループリーダー)と手ごたえを感じている。同社は統合ログ管理製品「Sensage」やImperva社のデータベース(DB)監査、WAF、アクセス制御の製品群「SecureSphere」を取り扱う。PCI DSSに取り組み始めたのは1年前だが「製品だけでは準拠できない。運用プロセスなどさまざまな要素が絡んでくるので、積極的な提案はしていない」(松永グループリーダー)と、引き合いに対応する形で製品を導入している。
東京エレクトロンデバイス 松永豊グループリーダー
同社は、暗号化の高速処理と暗号鍵の保護を行うnCipher社のHSMも取り扱っている。PCI DSSの要件3や要件4に対応する製品だ。これまでは、カード情報を保管するデータベースサーバーのレスポンスが下がるという理由で暗号化していないことが多かったが、PCI DSSではエンド・ツー・エンド(通信区間のすべて)での暗号化が必要なことから、米国などで需要を伸ばしている。
必要な暗号鍵が第三者の手元に渡ると、暗号が解読され、情報は盗まれてしまう。HSMは暗号鍵を管理するハードウェアで、DBと連携して暗号処理のアクセラレータ(高速処理)としての役割も担う。HSMを開発・販売する米国セーフネットの日本法人日本セーフネットでは「日本は民間主導の標準であり、需要がうまく取り込めていない」(エンタープライズセキュリティ事業部第1営業部伊地田隆広部長)と苦労を語る。一方で、東京エレクトロンデバイスは、「PCI DSS関連でいくつか問い合わせが来た」(松永グループリーダー)と成果をあげ始めている。
WAFは「ホワイトスペース」
PCI DSSで注目度が高まる 企業は、PCI DSSの要件を満たすために必要な製品を、ある程度はもっている場合が多いという。そんななかで、要件6では、ウェブアプリケーションを既知の攻撃から防護する選択肢の一つとして、WAFのようなウェブアプリケーション・レイヤ・ファイアウォールの導入を挙げている。「これまでWAFは、いわば『ホワイトスペース』だった。PCI DSSが普及すれば普及するだけ伸びるだろう」と兼松エレクトロニクスの吉池雅宣・第三ソリューション営業本部本部長は話す。
WAFは、市場に登場して10年近くなる製品だが、なかなか普及していない。例えばウェブアプリケーションのぜい弱性で、今、非常に増えているウェブサイトを改ざんするSQLインジェクション攻撃に対して、「これまではIPS(進入検知システム)/IDS(進入防御システム)を導入していれば防ぐことができた。また、WAFは数千万円という高額製品だったために導入が進まなかった」と、吉池本部長は振り返る。さらには、ネットワーク予算なのか、サーバー予算なのか、取り扱いに困る代物だったことも理由に挙げた。このWAFの価格が下がってきたことで、導入の障壁は取り除かれつつある。今後の普及が期待されるところだ。
ファイル変更管理がけん引
ASVスキャンサービスも提供 京セラコミュニケーションシステム(KCCS)は、米国nCircle社のぜい弱性・リスク管理製品「nCircle IP360」や、同じく要件11で「ファイルの完全性監視」を満たすファイル整合性管理製品「Tripwire」を販売する。またnCircle社がASV(PCI SSC認定スキャニングベンダー)であることから、要件11の「内部・外部ネットワークのぜい弱性スキャン」に対応したASVスキャン代行サービス「PCIスキャンサービス」など、さまざまな製品とサービスを提供している。
KCCS 山本綾子氏
KCCSは「つき合いのある監査法人やコンサルティング会社が案件をもっており、GAP分析などを行っている。PCI DSS関連需要は、盛り上がっている」(セキュリティ営業部システム販売課の大嶋茂雄副課長)とみている。KCCSの取り扱う製品・サービスは、準拠にあたっては必須の項目であり、コンサルティングの進捗があれば、KCCSのPCIスキャンサービスなどに商機があるとみる。
さらに、同社の代表製品「Tripwire」を切り口に、要件5、6に対応した「アプリケーション診断」や「ネットワーク診断」をトータルで提供することで「ビジネスも広がるし、顧客にとっても窓口が一つになって手間がかからなくなる。複数のサービスや製品を組み合わせた商談は多くなっている」(プロダクトサービス事業本部の桑原貴志セキュリティ事業部長)という。
とくにこの10月あたりから「Tripwire」の引き合いが活発になっていると大嶋副課長は話す。
先月発売した最新版の「Tripwire Enterprise 7.6」は、ポリシー機能を強化し、要件1の「FWの設定の維持」など、他の要件でもポリシーに準拠しているかを判断する。「対応する要件以外でも、準拠の支援ができるようになった。今後準拠する顧客にとっては、良いソリューションだと思っている」(セキュリティ事業部セキュリティシステム課の山本綾子氏)と強みを語る。
上昇気配のPCI DSS
準拠を計画する企業が増加 PCI DSS関連製品を提供する販社では、「今、QSAが国内で増えていることで、啓発が進んでいる。PCI DSSの情報を集めようとする企業からの問い合わせも増えてきた。やっと仕組みが出来上がりつつあって、来年にはうまく需要に結びつくのではないか」(兼松エレクトロニクスの岡田主事補)と期待を込める。兼松エレクトロニクスは、セミナーやソリューションプロバイダとのビジネスタイアップなどを通して市場を盛り上げていく。
また東京エレクトロンデバイスは、「準拠することを決めて、問い合わせをしてくる顧客が多い。カード業界以外でも、ガイドラインとして一部を参考にしている企業もある」(松永グループリーダー)という。積極的に提案はしていないが、事例を提供するなどの活動で需要喚起を図る。
国内での認知が広がる一方で、「先行きが見えない」というベンダーも存在する。PCI DSSで実績を積むKCCSの松木憲一取締役は、「今期内にある程度は形にできなければ、PCI DSSでの需要喚起は難しい、という感触がある。ただし、どれくらいの上昇カーブかは分からないが、上昇の気配は感じている」と、慎重な姿勢をみせながらも好感触を得ていることを示した。
