課題
お客様システム環境におけるPCI DSS基準への準拠
クレジットカード情報保護の要請
アイネットでは大量のクレジットカード情報の決済処理を行うシステムの設計・構築・運用、さらには関連するコールセンター業務を受注しました。
クレジットカード情報はセンシティブな情報であるため、個人情報同様にセキュアな対応が求められています。とりわけカード業界においては、PCI DSS(Payment Card Industry Data Security Standard)というセキュリティ基準が制定され、クレジットカード情報を取り扱う事業者に対して、準拠が求められていました。このような背景から、受注したシステムのPCI DSS準拠に向けた検討が開始されました。
要件10:カード情報のアクセスの証跡は、OSの機能だけでは足らない
PCI DSS基準は、12項目からなる要件で構成されており、基準を満たすためには、いくつかのツール・ソリューションを導入する必要がありました。
なかでも要件10は「ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること」と定められており、カード情報にアクセスされた記録を保存し、不正なアクセスの有無を監視する仕組みの構築が必要でした。
各サーバやネットワーク機器、ミドルウェアのログは専用のツールで管理していますが、システムに実際に触れる社員の不正アクセス監視・抑止には別の対策が必要でした。当初はActive DirectoryなどWindows OSの機能を活用し、アクセスユーザーの管理を検討しましたが、管理方法や導入されているミドルウェアとの相性から最適なソリューションとはいえないと判断しました。
また、ログは収集していますが、有事の際にその保管された膨大な量のログによる解析は、担当者のスキルに依存するケースもあるため、属人的になること、また、解析の工数が膨大になってしまう恐れがありました。
効果
PCI DSS基準への準拠と点検・監査の工数削減
アクセス経路の絞り込みと操作内容そのものを記録
ESS RECに出会ったのは、2009年2月に開催されたセミナー会場でした。操作内容そのものを動画で記録するというアプローチは「人によるカード情報へのアクセスの監視・追跡」という点でPCI DSS基準に準拠するシステム要件に対応可能ではないかとの印象を持ちました。
検討を重ねた結果、システム要件への対策として、
・操作可能な端末を特定室へ設置する
・操作可能な端末へESS RECを導入し操作内容を記録する
の2点を採用しました。
製品の分かりやすさと抑止効果も評価
クレジット決済システムは2010年春に本格稼働を開始、同時に特定室内に設置された操作端末からの操作をESS RECを利用して記録しています。
「ESS RECで取得した記録データは、監査において非常に有効だと考えています。PCI DSSの予備審査においても、担当のコンサルタントより効果のある対策だとお墨付きをいただきました」(石塚氏)
ESS RECでは、動画で記録したデータの文字列検索や絞り込み検索ができるため、ログの抽出・チェック・分析をスムーズに行うことが可能です。その結果、点検・監査の有効性が高まるとともに、それにかかわる工数削減にも大きく貢献しています。
「さらに、ESS RECの管理や設定はGUIで行うため、直感的に理解しやすく、担当者のスキルに左右されません。また、操作画面が記録されていることを関係者へ事前に周知することで、システムに対する不正アクセスの抑止効果を期待しています。また、収集した記録を解析する際にも映像から文字列検索し、該当箇所から映像を再生することができるため、視覚的にも理解しやすく、調査や追跡に関わる工数の削減が可能であると認識しました」
展開
効果的かつ現実的な、更なるセキュリティ体制強化に向けて
コールセンターへの展開
アイネットでは、ESS RECを利用した要件10への準拠の範囲をさらに拡大する計画を進めています。
「現在は、特定室における内部オペレーションの使用に特化していますが、クレジットカード番号を使用するコールセンター業務にも導入し、オペレータの監視強化も図りたいと考えています」(石塚氏)
セキュリティ対策についてのお客様の理解が重要
大里氏は、インタービューの最後に、今回のPCI DSS準拠への取り組みに関して、
「ESS RECのようなツールを入れたことが、社員の意識啓蒙につながります。平時における不正アクセス抑止というのはもちろん、万が一事故が起きた場合に操作内容の追跡ができるということは、システム要件として必要です。当社のようなデータセンター事業においては、セキュリティ対策は重要な取り組みであるとともに、企業の社会的責任として、有事に備えた対策をより強化していきたいと考えています。
また、最終的な目的である『クレジットカード保有者の保護』を実現させるためにお客様と共に考えていきたい。当社の取り組みとしてデータセンターの安全性、セキュリティ強化の追求は今後も図っていきますが、PCI DSSのような基準を満たすためには、求められるシステム、運用要件に特化した対策も必要になってきます。お客様自身もセキュリティ対策には一定のコストがかかることを是非ご理解いただきたいですね」とコメントされました。
※本内容は、2010年4月時点のものです。