【新連載】ITアーキテクトのひとりごと
第16回 「PCIDSSで基盤技術者としての経験値アップ間違いなし」

最近はベンダー、お客様とのメールのコミュニケーションやりとりで暗号化された添付ファイルがやりとりされる。このファイルのパスワードは別に送られてくるか、予め取り決められているが、このパスワードの管理はまったくやっかいだ。メール添付で暗号化されたファイルが送られ、そのパスワードも別のメールで送るようなことが流行っているが、これで何のセキュリティが守られているのかも疑問だ。

Outlook等のメールソフトには、メールアドレスの先頭何文字かを入力すると自動で残りのアドレスを補完してくれる機能があるので、慌てていると、まるで違う人に大事なファイルを送ってしまうことも発生する。たくさんの TO やCC が付いていると間違いに誰も気づかない。こんなチョッピリはらはらする事故（にはならなかったけど）がつい先日も発生した（間違いの犯人は私ではありません。念のため）。

最近のシステム構築では、あちこちで通信経路の暗号化、ファイルの暗号化、DBの暗号化、バックアップテープの暗号化、そしてディスクの暗号化まで、そこまで本当にやるの？という案件が目白押しだ。お金とCPUパワーを必要とするような話で、SIerとしては少し嬉しいが、本当にやるかどうかは結局はお金。

お金も無いので、守るべきものとリスクを識別、自覚して適切に設計してね、お金は安くね、となるので、今時の基盤技術者にとってセキュリティは必須科目となった。

最近はPCIDSSに"はまって"いる。はまっているとは言っても趣味じゃないので大変だ。このPCIDSSはクレジットカード業界のデータセキュリティ標準で、最近、カード業界以外にもプチ流行っているのでご存じの方も多いとは思うが、200項目にも及ぶ各項目に対して、「これはこんな手法で実現する」、「これを実現するには、こんな製品、ソリューションが必要だ」、「こんな運用体制を考えないと、これは実現できない」と全問回答できればベテランの IT技術者に間違いない、という代物だ。

難問クイズに挑戦するつもりで、「う〜ん。。。私だったら、こうするな」と自問自答するだけでも経験値が上がる上がる。PCIDSSと関わらない人達の勉強会ネタとしても最適だが、自分で"解いてみて"、多分こうするのかな、と自信が無いもの続出なので、私も勉強会があれば是非参加したいというのが本音だ。全く歯が立たないという人は、勉強会で誰かにガイドしてもらうというのも効率的な勉強方法かもしれない。

最近のJDSFでは、いろいろな勉強会が開催されていて話題豊富だが、その殆どは会員向けなので、ちょっと残念。非会員の方は、JDSFのWebサイトで、どんな勉強会が開かれているか見てもらえば、これからどんな技術、製品が流行りそうかわかると思うので、見て欲しい。

さて、JDSFでもPCIDSS並にハードなストレージに関する運用技術標準が作れれば、少しは世の中に役に立つのかなと思うが、その完成の前に広がる長〜い茨の道を考えると、言い出すのもはばかられる。まっ、これはライフワークにでも取っておこう。