7pay問題でも注目集める――「NIST」って何？

業界に衝撃を与えた7pay問題

　7月、日本のIT業界に衝撃を与えたのがセブン-イレブンが提供するQRコード決済「7pay」を巡る問題でした。サービス開始からわずか2日で不正利用が発覚、チャージや新規登録を中止するも、サービスそのものは停止せず疑問の声も上がりました（その後、9月30日をもってサービス終了を決定）。7payを運営するセブンペイ社長が会見で記者から「2段階認証」について聞かれたにもかかわらず、その意味が理解できていないような対応をしたことに驚いた人も多かったはずです。

　パスワードリセットの手順に重大な不備があったこと、それを開発段階で気付くことが出来なかったとは考えにくく、どこかでコミュニケーションの問題、現場からの警告を適切に受け取ることができないガバナンス（統治プロセス）の問題があったのではないかと指摘されています。

　筆者が関わる様々な組織でも、残念ながらIT、特にセキュリティに関わる認識は古いままであると感じさせられることは少なくありません。いまだに「オンプレミスの方が安全でコストパフォーマンスも良い」という主張を耳にしますし、オフィスでパスワードが書かれた紙が壁やモニターに貼られているのを見かけることもあります。セキュリティインシデントは「起こってはならないもの」という認識は浸透しているものの、「起きたらどうするか？」について驚くほど備えが何もない現場が数多く存在しています。

　消費税増税に伴う景気対策として国も、キャッシュレス決済に力を入れる方針ですが、今回のような問題が日本を代表する企業が立ち上げたサービスで起こったことは、改めて日本のITガバナンスのあり方が根底から揺るがされたと言えるでしょう。

ISMSはもはや時代遅れ

　このような状況を変えるにはどうすれば良いのでしょうか？　いま注目を集めているのがアメリカ国立標準技術研究所（NIST）が定めたセキュリティ要件（CSF＝サイバーセキュリティフレームワーク）です。

　NIST CSFの大きな特徴は、企業・組織がセキュリティ対策を向上させるための要件として、「特定」「防御」に加え「検知」「対応」や「復旧」を事前に検討し策定しておくことを求めている点です。NIST CSFは米国政府に製品やサービスを納入する業者にその対応が求められており、要件を満たさない部品などが含まれていると調達先として認定されません。そのため、直接の納入事業者だけでなく、広くサプライチェーン全般にその遵守が求められているのです。米国のサイバーセキュリティ水準を大きく押し上げることを狙ったものとも言えるでしょう。

　これまで日本国内では、ISO 27001（JIS Q 27001）で規定されているISMS（情報セキュリティマネジメントシステム）をターゲットとして、セキュリティ対策を策定していることがほとんどでした。しかし、ISMSが規定しているのは漏洩を防ぐ「機密性」、改ざんや削除を防ぐ「完全性」そして、システムやドキュメントの利活用度合いを高める「可用性」の3つです。NIST CSFがサイバーセキュリティはいわば「破られるもの」として、いかにそれを早く検知・対応し、復旧を図るかまでもが視野に入っているのに対して、ISMSは備えとしてはもはや不十分だと言わざるを得ません。現実問題として、7payのみならずセキュリティインシデントは毎日のように起こっており、それらを完全に無くすことなどできないからです。

　たとえ国内で事業を行っている企業であっても、サプライチェーンを通じて米国との取引が間接的に生じていることは珍しくありません。NIST CSFが定める要件を確認し、対策を取っておくことが全ての企業に求められるセキュリティ対策なのです。