講師： 京セラコミュニケーションシステム株式会社
セキュリティ事業部 セキュリティシステム課 佐藤宏昭氏

　京セラコミュニケーションシステム（KCCS）は、診断系ソリューションを軸に、変更管理や各種ソリューションを展開しています。「PCI DSS」は、カードビジネスに関わる事業者向けのセキュリティ基準ですが、実装に近い部分が規定されており、他の業態のセキュリティ対策にも有効に使うことができます。ここでは、要件2、6、11に関する導入事例をご紹介します。

事例1：ファイル整合性監視ソフトウェアを導入

EC事業者向け決済プラットフォームをPCI DSSに完全対応

　大手決済代行事業者のデジタルガレージ　イーコンテクストカンパニーは、2008年12月にPCI DSS完全準拠を終えており、国内では安全対策に対して先進的な取り組みを行っている企業の1社です。今回の準拠においては、要件11.5のファイル整合性監視に対応するため、変更管理ソリューション「Tripwire Enterprise（TE）」が導入されました。

　もともとシステム構築・運用ノウハウをお持ちですので、大半の要件は自社で対応されましたが、要件11.5については、工数をかけるよりもツールを用いた方がトータルでコスト削減ができるという判断から、TEの導入に至りました。

　検討時の課題はスケジュールでした。通常は見積もりから運用まで2カ月弱かかりますが、監査日程の関係から与えられた時間は1カ月弱でした。KCCSでは、独自のヒアリングシートを活用して工程を切り詰めることで、短期間での導入・稼働を実現することができました。

導入効果とポイント

自動化により運用管理の効率が大幅アップ

　導入効果（図1）は、まずファイル整合性監視を自動化できたことです。要件11.5への対応にあたっては、レポーティングなどで多くの工数を想定していましたが、TEによって運用管理の効率を大幅に向上できました。またPCI DSSに加えて、SOXなどのコンプライアンスに必要な監査証跡を得るツールとして活用できる点も、導入効果の1つに挙げられます。

図1 デジタルガレージ イーコンテクストカンパニーにおける導入効果 [図をクリックで拡大]

　KCCSから見たこの事例のポイントは3つです。1つは導入後のチューニングや運用トレーニングまで提供できること、2番目は監査用の証跡取得ツールとしての利用、そして3番目はTE導入では国内ナンバーワンの実績を有し、短期間での運用が可能な点です。

　KCCSは、国内で初めてTripwire社の認定コンサルタントの資格を得ており、きめ細かな技術的サービスを提供できます。また、PCI DSS対応を検討している企業には、「Tripwire PCI DSSファイル整合性対策パック」も用意し、短期間での体制作りをサポートしています。

事例2：Web／NW脆弱性診断＋ペネトレーションテスト＋ファイル整合性監視

カード会員用インターネットサービスをPCI DSSに完全対応

　次の事例は、カード会員向けのインターネットサービスを、PCI DSSに完全準拠させた企業です。もともとKCCSの脆弱性・リスク管理システムなどのユーザーで、2009年にPCI DSS対応でのTE導入を機に、その他の診断系ソリューションの導入に至りました。

　導入目的は、要件6、11.2、11.3、11.5への完全対応でした。例えば、要件6に準拠するには、WAF（Web Application Firewall）を経由した診断に加えて、WAFの内側も診断する必要があります。しかし対象ページが増加したため、コストが課題となりました。当然、発見された脆弱性の修正にも費用がかかります。

　KCCSでは、まず内部の診断により内在する脆弱性を把握し、発見された脆弱性に対してWAF越しの診断を実施することで、コスト削減に結びつけました。こうした手法を用いることで、アプリの改修を的確、迅速、安価にできます。

　また、ペネトレーションテストも必要でしたが、すべてのエリアを対象にするのではなく、脆弱性診断の結果を用いた上で実施し、効率を上げることに成功しました（図2）。