カード被害の現状を語る

　米国のセキュリティベンダーで、ぜい弱性リスク管理製品、システムの構成管理製品などを開発するnCircle社の製品担当バイスプレジデント、マーク・ウッド氏がこのほど来日し、米国におけるPCI DSS（Payment Card Industry Data Security Standard＝クレジット業界のグローバルセキュリティ基準）の動向について話した。nCircle社は1998年の設立で、ワールドワイドで約4000社の導入実績をもっている。特に北米では、コンプライアンスやPCI DSSへの準拠が、同社の売り上げをけん引していると分析している。

　カード番号の盗難は増える一方で、専門家によると週2～3件のハッキングがあるという。ブラックマーケットが存在し、相場は「1カードあたり0.5ドル。最近では住所もあわせて売買されていて、米国全体の被害総額は6億ドルにのぼり、社会問題になっている」とウッド氏は警告する。米国情報漏えい研究会は、情報漏えいは企業の信用を失墜させるだけでなく、1顧客あたり202ドルもの事後処理コストが必要になると試算している。PCI DSSはクレジットカード業界の標準だが、他の業界でも応用できるとして、対応する動きが出ている。

　nCircle社は、ぜい弱性検査のIP360とシステム設定を監査する構成管理製品コンフィギュレーション コンプライアンス マネージャー（CCM）という二つの監査ソリューションを提供している。また、この両製品を統合して分析・レポートティングする基盤「スイート360 インテリジェンス ハブ（SIH）」を提供。SIHの分析でシステム構成、ネットワークぜい弱性の両方のリスクを低減することができる。

　売り上げをけん引するのはPCI DSSだが、ほかにも、医療関係の「HIPAA（Health Insurance Portability and Accountability Act）」や、電力関連の標準「NERC（North American Electric Reliablity Corporation）」など、さまざまなセキュリティスタンダードに対して同社製品群を使って対応することが可能だ。ウッド氏は次の商機として「NERC」を挙げる。「NERCはメキシコ、米国、カナダの標準だが、電力供給関連のシステムはサイバーテロや事故などのリスクを抱えているため、対策が必要だ。欧州でも投資を高めている」（ウッド氏）と現状を話す。

　日本国内では7年前から京セラコミュニケーションシステム（KCCS）が販売している。同氏はKCCSに対して「とても大事なパートナーだ。日本市場のニーズを吸い上げてもらうことで製品に反映したい」と期待を込める。この不況でITシステムの見直しを図っている企業も多い。「トレンドは『集中化』だ。コスト削減には自動化し、できる限りつき合うベンダーを減らすことが重要。日本の会社にとって、nCircleは戦略的なパートナーになり得る」と締めくくった。（鍋島蓉子）