カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

リンク、PCI DSS準拠におけるクラウド移行の最適解とは? ～「PCI DSS Ready Cloud」の実践事例をもとに～（前編）

2025年11月10日8:00

PCI DSS準拠に求められる要件は年々高度化し、オンプレミス環境での維持・運用は、コストの高止まりや人材確保の面で限界を迎えつつある。こうした中、クラウド移行を後押しする「PCI DSS Ready Cloud」の採用が多くの企業で進められている。本稿では、実際にオンプレミスからクラウドへの移行を遂行した企業の事例を交えながら、「PCI DSS Ready Cloud」がどのように要件対応・コスト削減・運用効率化を実現するのかについて解説する。(2025年10月16日開催「ペイメント・セキュリティフォーラム2025 fall」の講演より)

株式会社リンク執行役員セキュリティプラットフォーム事業部事業部長滝村享嗣氏

PCI DSS準拠のトレンドはオンプレからクラウドに大きくシフト

弊社のセキュリティプラットフォーム事業部では、PCI DSS準拠を低コスト、短期間で実現するサービスを提供している。最近のトレンドとして、顧客のPCI DSS準拠に対する考え方がオンプレミスからパブリッククラウドの利用に大きくシフトしており、こうした動向に関する情報を提供したい。

株式会社リンクは、1996年からITサービスの提供を開始した。at＋linkというマネージドホスティングのサービスを皮切りに、現在でいうSaaS形式のサービスを展開してきた。

サービスの特徴は、低額であることと月額課金モデルであることだ。顧客により良いサービスを提供するため、サービス開始当初から継続的に改善を重ねてきた。

現在ではBIZTEL（クラウドPBX）が事業の中心となっている。約4,000社の顧客に利用されており、業界のリーディングサービスである。我々のセキュリティプラットフォーム事業部ではクレジットカード・セキュリティに関するクラウドサービスを展開しているが、類似のサービスを提供している企業は他にないため、業界トップの地位を確立していると考えている。他にも、DMARC分析ツールなどを提供しているメールセキュリティサービスのベアメールや、岩手県岩泉町のなかほら牧場などを運営している。社員数は120名強、年商は約100億円である。

クレジットカード・セキュリティに関する相談受付・情報発信を積極的に展開

我々はクレジットカード・セキュリティ対策に関する有用な情報を提供するため、大きく3つの活動を展開している。

第一に、ウェブサイトでは、クレジットカード・セキュリティに関するあらゆる相談を受け付ける窓口を開設している。例えば、ECサイトの情報漏えい対策やPCI DSS準拠に向けた業務内容の見直しなど、どのような相談にも対応している。カードホルダーからの問い合わせにも可能な範囲で対応している。https://pcireadycloud.com/contact/

第二に、キャッシュレスセキュリティレポートの発行である。2024年のクレジットカード不正利用の被害額は500億円を超えた。我々はクレジットカード情報漏えいの被害状況や手口などに関する情報をまとめた年次版と四半期版のレポートを無料で公開している。このレポートは不正検知サービスを提供するかっこ株式会社と共同で作成している。この活動は各種メディアにも取り上げられており、先々週の年次版リリースに際して開催したメディア向け勉強会では、新聞各社が取材に訪れた。レポートはホームページからダウンロード可能である。https://pcireadycloud.com/blog/category/cashless_security_report/

第三に、日本カード情報セキュリティ協議会(JCDSC)における活動である。我々はユーザー部会とクラウドサービス部会の世話役を担っており、クラウドサービス部会では世話役代表を務めている。各部会のセミナーを通じて、関係者への情報提供を行っている。クラウドサービス部会は年末にもセミナーイベントを開催する予定である。https://www.jcdsc.org/

「PCI DSS Ready Cloud」シリーズでAWS等のパブリッククラウド活用を支援

弊社は2013年から、クレジットカード・セキュリティを低コスト、低労力で実現することをコンセプトに「PCI DSS Ready Cloud」シリーズを提供している。

「PCI DSS Ready Cloud」シリーズは6つのラインナップで構成されている。本講演で主に紹介するのは「PCI DSS Ready Cloudマネージドモデル」である。その他にも、コンサルティング、各種スキャン、テスト、運用代行など多様なサービスを提供している。

企業が抱える大きな課題はコストである。オンプレミス環境を更改する際には、ハードウェア、ソフトウェアの購入に数千万円から数億円のコストが発生するため、これを抑制したいというニーズがある。加えて、新しいPCI DSSのバージョンが定期的に発表されるため、対応が大きな負担となっている。さらに、ハードウェアやソフトウェアのサポート終了に伴うアップデートも必要となる。

こうした課題の解決策となるのがオンプレミスからクラウドへの移行である。その際、まず検討されるのがAWS、GCP(Google Cloud Platform)といったパブリッククラウドを使って現行システムと同等の機能を実現できないかという点だ。このような検討を進めている金融機関を含む様々なユーザー企業からの問い合わせが増加している。システム関連企業からの問い合わせよりも、ユーザー企業からの問い合わせの方が多い。

こうした課題に対して我々は「PCI DSS Ready Cloudマネージドモデル」の最新バージョンを提案している。このサービスを導入いただければ、クラウドを活用したPCI DSS準拠環境の構築、トータルコストの削減、短期間での実現が可能となる。マルチクラウドおよびオンプレミスとクラウドのハイブリッド運用にも対応している。

低コスト、短納期、ノウハウ提供が強み—PCI DSSの最新バージョンにも適宜対応

強みとして、コスト削減、短納期、多くの顧客をサポートしてきた経験に基づくノウハウの提供が挙げられる。

さらに、PCI DSS最新バージョンへの準拠には、基本的にわれわれのサービスを活用すれば可能である。数年前にはバージョン4.0の対応、昨年は4.0.1への対応を行い、必要に応じて追加サービスやサービス変更を提案してきた。

セキュリティ管理の省力化については、オンプレミス環境でユーザー企業が対応していたPCI DSS運用の多くを代行している。これにより、企業のPCI DSS関連運用の負荷が軽減される。負荷を低減する仕組みも導入しており、例えばログ管理にSIEMを導入することで工数の削減を図っている。

準拠・維持の容易さという観点では、PCI DSSの新バージョンに準拠するための要件追加や、より効率的な運用のための仕組み改善の提案など、サービス内容を随時アップデートしている。

審査対象となるスコープの縮小によりコスト・時間を大幅に削減

ここで改めて、オンプレミスとクラウドを比較したい。オンプレミスでは、ハードウェア、ソフトウェアを自社で選定して購入する必要がある。選定段階からSIer(システムインテグレーター)やコンサルタントへの費用が発生する。

一方、AWSを活用すれば、AWSが提供するPCI DSS準拠のサービスの中から選択すればよいため、手間もコストも少なくて済む。不足する機能や不便な点は「PCI DSS Ready Cloud」で補完する。顧客の視点から見ると、AWSと「PCI DSS Ready Cloud」を組み合わせることでPCI DSS準拠に必要なパーツを揃えることができ、選定・調達の手間が省力化される。

オンプレミスでは選定・購入した機器を数年ごとに買い替えや変更する必要があり、その都度大きなコストが発生する。クラウドではこうした入れ替えの手間やコストが不要となる。またオンプレミスでは、ハードウェアに不具合が発生すればサポートへの連絡や修理、部品交換が必要となるが、クラウドではこうした対応も不要となり、関連する人件費も削減できる。ハードウェアに関するサポート体制を整備する必要がなくなるということだ。