2021年2月8日8:00
金融業界では、クラウド活用に当たって、PCI DSSやFISCなど厳しいセキュリティ対策が求められる。銀行やクレジットカード会社の基幹システムや、金融向けサービスのセキュリティ準拠支援を数多く手掛けてきたTISが、現場で起こった具体例を交えながら、セキュリティ要件に対応するためのポイントについて紹介する。
TIS株式会社 プラットフォームビジネスユニット クラウド&セキュリティコンサルティング部 主査 森池聖哉(もりいけ せいや)氏
金融業界での豊富な経験をもとにPCI DSSの準拠支援サービスを展開
皆さま、TISの森池と申します。今回は金融システムのAWS活用についてご紹介します。近年、金融システムにおいてもクラウドの活用が盛んになっていますが、その中で厳しいセキュリティ要件に対応するために、どのような注意と対策が必要かについて紹介させていただきます。
まず簡単に自己紹介をさせていただきます。私は普段、クレジットカード会社、決済代行会社に向けたPCI DSSの準拠支援のコンサルティングを行っています。また2020年からは、QSA(PCI DSS審査機関)の登録を受けて、その審査員としても活動を行っています。今までの経歴としましては、主に小売業向けの決済システムの構築などのプロジェクトマネジメントに携わってきました。現在はセキュリティソリューションの導入や、先ほど申し上げましたPCI DSSの準拠支援を行っています。
続いて簡単に会社概要を紹介します。TISの創業は1971年で、古くから銀行やクレジットカード会社の基幹システムや、決済サービスの提供をしています。近年はセキュリティに関するコンサルティングや各種ソリューションの提供も行っております。
弊社のビジネスとしては、連結売上高の約2割、750億円近くが決済に関する事業となっています。決済がメインの事業であり、グループの最大の強みです。特に決済カードに関するシステムについては、ブランドデビットで約80%、クレジットカードで約50%と高いシェアを誇っています。1970年代から大手カード会社のクレジット基幹構築を行っており、2010年代以降についてはブランドプリペイドをはじめとするキャッシュレス事業を始めており、ペイシェルジュというブランドで決済にかかわるサービスを多数提供しています。
ペイシェルジュは、主にクレジットカード、ブランドプリペイド、ブランドデビットのプロセシングのサービス、また、モバイルウォレット、デジタルウォレットのサービスや、QR決済のゲートウェイサービス、審査・融資にかかわるファイナンスプラットフォームなどを提供しています。現在ではリアルとデジタルの高度な融合ということで、決済だけにとどまらない新しい領域への挑戦も行っています。その中で、PCI DSS、FISC安全対策基準への準拠に会社として取り組むということで、受審側の活動も行っております。
お客様のお金を取り扱う上で、当然ながら金融・FinTechサービスには信頼が求められます。一方では会社の信頼、そして経営者への信頼、サービスへの信頼ということで、こういった信頼を得るためにPCI DSSへの準拠が重要な意味を持っていると考えています。
AWSとアウトソーシングの有効活用によりスムーズなPCI DSS準拠が可能に
一方で金融の基幹システム、ブランドデビットやクレジットカードのシステムに対して、現在弊社ではAWSの活用を進めています。お客様のシステムの構築という部分でももちろんですが、弊社内で使用しているサービスのプラットフォームとしてAWSを活用することにも重点を置いています。
現在、AWSに対して、5つの取り組みを行っています。1つには、AWS公式最上位のAPNプレミアコンサルティングパートナーとして、350名以上のAWS認定資格保有者を擁し、500件以上の導入実績があります。
また、FISC、PCI DSSなどのセキュリティガバナンス、認証基準の知識と、クラウドの構築の知識を併せ持って、政府が推進するセキュリティ・バイ・デザインに準拠した高度な運用の提供も行っております。今回は特にこの部分にフォーカスしてご説明させていただきます。
弊社におけるPCI DSS対応は、サービス開始当初のバージョン1.0から継続して行っております。現在は最新バージョンの3.2.1に準拠しています。当然ながらオンサイトの審査を受けており、その中でノウハウを蓄積しておりまして、現在は審査機関としても活動しております。
金融系サービスは立ち上げの際に、PCI DSSやFISCに対応することが必須になっています。国や業界団体の指針があり、これに対応しなくてはならないという義務があります。金融サービスのローンチまでのスケジュールは大変タイトですので、例えば3カ月以内に対応が必要といった厳しいスケジュールの中で、運用まで回らず、準拠することが目的になってしまうケースも少なくありません。特に、対応に必要な人員の確保が、重要な課題になってきます。
詳細に入る前に、ITアウトソーシングの傾向についても触れておきたいと思います。人員面が大きな課題だと申し上げましたが、これは弊社にとっても同様です。
金融機関のメインのビジネスは金融サービスですので、PCI DSSへの準拠対応のための人員を確保するのがどうしても難しいという状況があります。こういったノンコア事業へのアウトソースの活用に関し、需要が高まっています。クラウドの活用が、このノンコア事業のアウトソース活用に寄与します。
自社運用がかかえる課題として多く挙げられているのが、人材の確保自体が難しい、人材の教育が難しい、専任のセキュリティ要員を確保するのが難しいといったことがあります。
そういった中でやはり、自社運用のみで行っているのは10%程度と言われています。各社ではサイバーセキュリティサービスなど何らかのサービスを活用し、運用しているのが現状です。
PCI DSSに準拠する企業でクラウドをどのように活用しているのかを見ていきましょう。現状ではIaaSを選択している企業が最も多くなっています。しかしIaaSよりPaaS、さらにPaaSよりSaaSのほうが準拠範囲は広くなっています。システムごとに、クラウドにどのようなアプリケーションを載せるかを検討し、どのようなクラウドを活用するかを決定する必要があります。
これをAWSに置き換えた場合のイメージですが、責任範囲はSaaSが最も大きく、PaaS、IaaSの順に小さくなっています。逆に言いますと、お客様で準拠しなければならない範囲はIaaSが最も大きく、PaaS、SaaSの順に小さくなります。
PCI DSS要件ごとに、IaaS、OSミドルウェア、アプリケーションのどのエリアで対応が必要かを見ていきますと、すべての要件においてほとんどすべてのエリアでの対応が必要になっています。これを考えても、クラウドの対応レイヤが広いほど、PCI DSS準拠の負荷を軽減できることがわかります。ただし、移行負荷、アプリケーション開発の自由度とはトレードオフの関係になりますので、そのようなことも考慮して、サービスを選択することが重要です。
クラウド活用の効果についてご説明します。まず第一に、高いセキュリティ対策を維持できることです。特にAWSをはじめとするクラウド事業者では、すでにPCI DSS準拠が済んでいるエリアが広く、ISO27001にも準拠していて、高いセキュリティ要件に対応したクラウドプラットフォームをすでに提供しています。これを活用することによって、セキュリティへの投資を、自社の資源に集中させることができるのが大きなメリットです。
ただし先ほど申し上げましたように、金融サービスでは、IaaSという点で、EC2(Amazon Elastic Compute Cloud)をはじめとしたインスタンスを立てて、そこに対してサービスやアプリケーションを開発している事例が非常に多いと考えています。
サービス企画・設計段階から情報セキュリティを確保しておく
インターネットを介してユーザーがアクセスしてくるようなサービスを構築するとき、PCI DSSに準拠しなければならないという中で、例えばパスワードの暗号化保存、利用者認証のエッジの実装、WAFの設置、有事の際にどのように運用するのか、それをクラウドの場合どのようにするのかの体制づくり、あるいはSOC(Security Operation Center)による24時間365日の監視体制などを考えると、クラウド導入を検討する時点から先んじてセキュリティ対策を検討しておかないと、運用が破綻する恐れがあります。
個々の運用だけを考えていては、当然のようにリソースの限界を迎えることになります。セキュリティ製品は、一度導入してそれで終わりということではありません。運用は続きますし、一度導入したものを減らすことは困難ですから、セキュリティ対策コストが膨れ上がる可能性があります。
インシデント対応や、セキュアコーディング、守るべき情報資産がどのぐらいあるかということを、クラウドの選定時からしっかりと意識することがポイントです。その上でセキュリティ・バイ・デザインを考慮した構成、体制づくりが必要になります。セキュリティ・バイ・デザインについて簡単にご説明いたします。NICSの定義によりますと、セキュリティ・バイ・デザインとは、情報セキュリティを企画・設計段階から確保するための方策です。言い換えますと、企画・設計段階から情報セキュリティ対策を考慮することで、手戻りの減少・低コスト・保守性の向上を実現するという考え方です。これはオンプレミスだけではなく、クラウドサービスにおいても同様です。
企画・要件定義の段階から対策範囲を明確化し、設計の段階で脅威分析を行い、実装の際にはソースコード診断を実施し、脆弱性診断を行って、その結果を保守・運用に反映させるというライフサイクルが必要です。
TISが掲げるセキュリティ・バイ・デザインについてご説明いたします。サービスの活用(利便性)とセキュリティ確保の適切なバランスをとるために、1つ目は、情報資産の区分・価値を明確にすることが重要だと考えています。アセスメントやガイドラインを策定し、社内で徹底しております。2つ目は、情報資産をレベル分けし、サービス/機能選定することで、妥当性検証、セキュリティ機能選定を行ってまいりました。最後に3つ目として、被害を極小化するための仕組みの検討を行い、インシデントの早期発見、インシデントレスポンスの体制の整備につなげています。これらによってサービスとセキュリティの両立を実現しています。
本記事は2020年11月13日に開催された「ペイメントカード・セキュリティフォーラム2020」のTIS株式会社 プラットフォームビジネスユニット クラウド&セキュリティコンサルティング部 主査 森池聖哉氏の講演をベースに加筆/修正を加え、紹介しています。
■お問い合わせ先
TIS 株式会社
プラットフォームビジネスユニット
クラウド&セキュリティコンサルティング部
TEL:03-5337-4379
E-mail:ps-info@ml.tis.co.jp
URL:https://www.tis.jp/branding/platform/
