ソリューション

PCI DSS クレジットカード情報の保護のための業界基準

PCI DSSに対するESS SmartIT Operationの貢献

弊社のESS SmartIT Operation製品群は、システム運用管理におけるアクセス管理、特権ID管理などのIT全般統制を実現する機能を構成要素としており、このフレームワークは、カード情報保護における多くの要件にも通じる機能になります。
特に、要件7と8で定義される論理的アクセス制御やID管理、さらに要件10で定義されているアクセス追跡と監視を中心に、多くの要件を満たすソリューションとして貢献することが可能です。

>>弊社製品によるPCI DSSへの貢献ポイント一覧はこちら<<

イメージ図

ESS SmartIT Operationだけが実現するコントロールの例

また、弊社のESS SmartIT Operationの特長は、PCI DSSの各要件を直接的に満たすだけではなく、十分かつ妥当な代替コントロールとしても選択可能である点があります。たとえば以下のようなケースは、PCI DSS準拠を行う際に、多くのお客様で課題に直面する可能性があります。

一意のIDをユーザーごとに割り当てられない

システムの性質上、誰がその操作をしたのかを明確にするためには、ユーザーごとに一意のIDを割り当てる必要があります。しかし、IDをユーザー分作成するということはそれだけ管理する対象物が増えることを意味し、管理ミスを招く原因にもなります。特にシステム管理業務では、特権IDを利用する必要が生じますが、この特権IDについても、一意のIDを使用者すべてに割り当てるとなると、権限設定の作業も絡むため、管理負荷がさらに大きくなります。

エンカレッジ・テクノロジのESS SmartIT Operationによる特権ID管理では、IDをユーザーに一意に割り当てることなく、共有型IDを承認ベースで貸し出し、そのユーザーだけが利用できる仕組みを提供することで、このような課題を解決します。

参考資料:エンカレッジ・テクノロジが考える特権ID管理のベストプラクティス

イメージ図

また、汎用機など古い設計のシステムにおいては、ユーザーを一意に割り当てることや、2要素認証に対応できない場合があります。そのような場合には、弊社製品ID Inspectorによって、アプリケーションをカスタマイズすることなく、使用するユーザーを特定することが可能です。
ID Inspectorでは、通常のパスワード認証に加え、FeliCaカードを併用する方法でも使用者の特定が可能ですので、2要素認証に対応しないアプリケーションをカスタマイズすることなく、PCI DSSの要件に対応することができます。

仮想化環境固有の課題への対処

現在、情報システムの基盤技術で積極的に採用されている仮想化技術は、システム基盤に新しい革新をもたらしている一方、その固有技術によって従来では想定されなかった管理セキュリティ上の課題をもたらしています。
PCI DSS基準を策定するPCI SSCでは、仮想化環境におけるカード情報セキュリティに関して、11におよぶ固有の課題と留意点を「Information Supplement:PCI DSS Virtualization Guidelines」の中で定義しています。

その中で特に弊社が留意すべきと考えているのは、「Immaturity of Monitoring Solutions」、つまりログ取得などの方法論や技術が未成熟である点、そしてもう一つが「Lack of Separation of Duties」すなわち、職務分掌が欠落してしまう可能性です。

仮想化環境では、一般的に仮想化管理ツールを使用して管理者がハイパーバイザーレベル、仮想ネットワーク、仮想マシンのすべてをコントロールすることができます。従来の環境では、これらの要素は、それぞれの担当者に責任が分散され、すべての要素を自由にコントロールすることができませんでした。
このような環境で効果的にリスクコントロールを行うためには、管理者がこれらの要素を横断的に操作する内容を確実に記録し、点検することが必要です。
弊社の証跡管理ツールESS RECは、仮想化管理ツールの操作画面そのものを記録することで、この2つの課題に対しての解決策を提示することができます。
 

イメージ図

参考資料:仮想化環境におけるヒューマンリスク管理の必要性 ホワイトペーパー
     -仮想化のメリットを最大限に引き出すための秘訣-

ケーススタディ

弊社製品を活用したPCI DSS準拠事例については、以下をご参照ください。

株式会社アイネット

株式会社アイネット(以下、アイネット)は、1971年の創立以来、データセンターを軸にシステム開発、運用・保守やBPOサービスを一貫して提供している独立系ITサービスプロバイダーです。
幅広い分野で長年培ったシステム開発経験・ノウハウを活かし、石油・エネルギー業や金融業の分野においては、稼働後の運用、クレジットカード決済処理、コールセンター業務等も含めた、トータル・アウトソーシングの実績が数多くあります。
アイネットは、お客様に安心、安全、高付加価値の製品・サービスを提供するため、プライバシーマーク、ISO/IEC 27001(情報セキュリティマネジメントシステム)、ISO 9001/2000(品質マネジメントシステム)といった各種認証を取得し、従業員教育にも力を注いでいます。
クレジットカード情報の処理を伴うシステムのアウトソースを受託するにあたり、PCI DSSへの対応への一環として、ESS RECが採用されました。

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時