2016年8月18日8:00
金融機関や決済サービス事業者はセキュアなサービスを迅速、低コストで実現可能に
大日本印刷(DNP)は、DNP柏データセンターで運用するクラウド基盤サービス「MediaGalaxy(メディアギャラクシー:MG)クラウド」で、PCI DSS Version 3.1の認証を取得した。DNPは、金融機関や決済代行を行うサービスプロバイダなど、機密性の高い情報を取り扱う企業に同サービスを提供していく方針だ。
DNPの「P&Iソリューション」を提供する基盤のセンター
ソフトウェア認証のみでPCI DSS準拠のサービスを提供可能に
DNPでは、2016年4月に情報ソリューション事業部とC&I事業部が統合し、ペイメント事業部となった。これにより、営業企画、制作、製造、運用を含めて、一気通貫で顧客企業をサポートする体制を整えた。DNP柏データセンターはITビジネスを進める上で必須となる強固なシステム運用環境とオペレーションを提供するセンターを目指し、DNPグループの高度なセキュリティ基準に対応。2013年にセンターを稼働しており、印刷技術と情報技術のさらなる応用・発展を図る「P&Iソリューション」を提供する基盤のセンターとなっている。
同センターでは、可用性、安定性を重視してサービスを構築したが、1つの共通の基盤上で複数の企業がサービスをシェアする仕組みとなる。そのため、運用がシステム単位になり、PCI DSSの準拠もそれぞれのサービスごとに対応しなければならない。
「PCI DSSは金融機関や決済を提供する企業にとって大きな柱となる部分ですが、弊社のクラウド基盤の中にPCI DSSの認定を取得した環境をつくり、サービスを展開するスタンスを取りました。弊社のサービスのベースはBtoBが基本ですが、これによりお客様は、OS(Operating System)やアプリケーションといったソフトウェア層において認証を取得するだけで、PCI DSSに準拠した決済サービスの運用を低コストで開始することが可能です」(大日本印刷 C&Iセンター システム開発運用推進本部 副本部長 斎藤雅氏)
サービス間との責任分解点の取り決めで苦労
各サービス担当者と議論を重ね、強固な基盤を構築
DNPでは、2014年にMGクラウドでのPCI DSS準拠についての議論を開始。DNPが提供する各サービスの担当者の協力を得て対応を行った。また、要件の解釈で悩む部分は、認定審査機関(QSA)とコミュニケーションを図ることで対応に当たった。
準拠に向けて苦労したのは、スコープ設定と、MSクラウドとサービス間の境界の明確化の部分だ。DNPでもISMSなどの情報マネジメントシステムは取得しているが、PCI DSSはもう少しハード寄りの規格となる。また、クラウド環境でのPCI DSS対応はガイドラインが出ているものの、解釈に迷う部分が多い。特にクラウド環境で管理する部分と、各サービスが利用する範囲においての責任分解点を設定するのに苦労したそうだ。すでにDNPでは、本人認証サービス「SIGN3D(サインド)」、さまざまな決済に対応可能な「DNPマルチペイメントサービス」などにおいて、PCI DSSに準拠しているが、今回はDNP柏データセンターのMGクラウド上に各サービスが追加される形となる。従来はデータセンター上で構築していたサービスが、クラウド上で仮想的なサービスとして提供される。
大日本印刷 情報イノベーション事業部 C&Iセンターシステム開発運用推進本部 データセンタービジネス開発部 部長 有田博樹氏は、「クラウド上でサービスを切り出した後に、MGクラウド、サービス側と、どちら側で管理するかという範囲を両社で決める必要がありました。物理的にはファイアウォールにより、論理的に分けることで認証の範囲を分離することは可能ですが、それを文書によって確認する必要がありましたので、時間がかかりました。特にファイアウォールやロードバランサは基盤の機械をサービスごとに仮想化して切り出しますので、この管理はどちらが行うのかという判断が難しく、審査機関への説明で苦労しました」と打ち明ける。ただ、PCI DSSの準拠の経験がある社内のメンバーと議論したうえでシステムを構築できたため、セキュアなサービスを提供する上で、プラスとなった。
※「不正利用対策・PCI DSSガイドブック」から一部抜粋
