【VPN】 通信経路の暗号化が必要な理由
■ (今日のテーマ)通信経路の暗号化が必要な理由
マスター:
いらっしゃい!
島田君:
今日もマスターに相談があるんだ。
マスター:
どうしたの?
島田君:
今週末にA銀行様と次期ネットワーク構築の打ち合わせがあるんだよ。
議題は通信経路の暗号化についてなんだけど、暗号化が必要となる根拠って何が考えられるのかな?
マスター:
現在多くの企業でコンプライアンスの強化に取り組んでいて、個人情報保護および知的財産保護の対策の一つとしてWAN回線部分の暗号化は有効な手段の一つになるよね。
島田君:
確かに。
マスター:
特に金融系ネットワークでは、FISCの安全対策基準に準拠させるために暗号化が必須とされているんだ。
島田君:
FISCって何?
マスター:
FISCは金融情報システムセンターのこと。
金融機関等における金融情報システムの活用や安全性確保等に関する諸問題について調査・研究を行っていて、必要に応じて指針の提示や提言を行っている機関だよ。
島田君:
へー。
では安全対策基準って?
マスター:
安全対策基準とは、正式には『金融機関等コンピュータシステムの安全対策基準・解説書』といって、昭和60年12月に金融機関等の自主基準として策定されたのが最初で、その後数回の改訂を経て現在まで金融情報システムに関する安全対策の共通のよりどころとされているものだよ。
金融庁の監査もこの安全対策基準を元にするから、金融のネットワーク設計には必須の知識と言えるね。
島田君:
ほほー。
覚えておきます。
安全対策基準の中で、暗号化が必要と記述してある箇所があるの?
マスター:
その通り。
4−4−1の【技29】という箇所で、暗号化の必要性について記述されているよ。
具体的には「安全対策基準 伝送データの漏洩防止策」を参照して。
島田君:
これによると、光ファイバーにすれば暗号化はしなくていいように読めるけど?
マスター:
ずばりそうなんだよ。
でも、光ファイバーに詳しいエンジニアに言わせると盗聴する技術はあるみたいだね。
また「チャター」という書籍によると、アメリカは6億ドルの予算を使ってUSSシーウルフという攻撃型原潜を改造し、海底での光ファイバー盗聴工作ができるようにしたんだってさ。
FISCの担当者から聞いた話だけど、本当は光ファイバーも盗聴の危険性があるので暗号化の対象にしたかったようだけど、メガバンクの大反対にあって修正せざるをえなかったんだって。
裏話だけどね。
島田君:
勉強になったよ。
通信事業者の中で悪意のある人が網内で盗聴するリスクもあるし、やはり光ファイバーでも暗号化はしておいたほうがいいね。
マスター:
その点だけど、最近注目されているPCIDSSに準拠させる場合には、通信事業者も信用できない対象として考えて、IPsecなどによる暗号化が必須とされているんだよ。
島田君:
また新しい用語が出てきたね。
PCIDSSって何?
マスター:
PCIDSSについて、詳しくは次のリンク「PCIDSSとは」を参照して。
簡単に言えば、カード番号やその情報報を処理、伝送、保管するすべての企業が準拠する必要があるデータセキュリティの基準のことだよ。
最近では、楽天が完全準拠したというニュースがあったね。
この中で、注目すべきは要件4なんだよ。
専用線でも暗号化が必須とされており、実際に監査の対象になるんだ。
島田君:
今後の案件はPCIDSSも要チェックだね。
覚えておくよ。
これくらい予備知識があれば打ち合わせも乗り切れそうだよ。
ありがとう。助かった。
ではまた。
