2022年3月23日8:00
PCI DSS Ready Cloudの3つのラインナップ
PCI DSS Ready Cloudを利用いただければ、必要なセキュリティコンポーネントを購入する必要がなくなるということです。AWSだけではPCI DSS準拠に必要なセキュリティコンポーネントがすべて揃っていません。われわれはセキュリティコンポーネントを全部揃えるというコンセプトでサービスを作っています。
PCI DSS Ready Cloudのモデルのラインナップは3つあります。月額40万円からの「AWSモデル」は、セキュリティコンポーネントをすべて提供しますので、お客様のエンジニアで構築・運用を行うモデルです。月額70万円からの「マネージドモデル」は、セキュリティコンポーネントの提供に加えて、OSのバージョンアップなども含めて運用までセットで提供するモデルです。PCI DSSは構築のみではなく、かならず運用が必要になりますので、自社のエンジニアや外部のエンジニアをアサインすることを考えれば、多くのお客さまに採用していただいているモデルです。もうひとつの「プラスオプション」では、お客様ごとにカスタマイズしたサービスを提供します。われわれはPCI DSS準拠のオペレーションセンターを持っていますので、そのセンターからお客様のシステム運用を全般的に管理させていただくというモデルです。
「マネージドモデル」についてもう少し詳しくご説明します。お客様にご提供するセキュリティコンポーネントには、ログ管理、クライアントVPN、踏み台サーバ、統合認証、プロキシ、セキュリティ管理、自動バッチ運用、構成管理、障害対応などが含まれ、これらの運用はわれわれが行います。脆弱性スキャンやペネトレーションテストもわれわれのほうで対応して、お客様には準拠証明書をお渡しするというかたちになります。一方でお客様側の環境下には、Webサーバ、アプリケーションサーバ、データベースサーバなどがあります。お客様は、AWSであれ、Azureであれ、オンプレミスであれ、インターネットVPNもしくは専用線でつなげれば、どこからでもわれわれが提供するツールとサービスを利用して、運用するサービスです。ちなみに「プラスオプション」では、お客様側のPCI DSSの運用もわれわれが行います。オプションサービスを豊富にラインナップしておりますので、ヒアリングさせていただいた上で提案させていただきます。
ツールと合わせてナレッジを提供
PCI DSS準拠を多面的にサポート
PCI DSS Ready CloudのPCI DSS準拠を促進させる仕組みについてお話しします。サービスの性質上、今ある環境にPCI DSSを準拠させるにはどうしたらいいかと考えるのではなく、PCI DSSに準拠させたいシステムをReady Cloud上に配置していただきます。そのため、PCI DSSに準拠するには何が足りていないのかといったギャップ分析はほぼ不要です。
また、ベンダコントロールの手間を減らせます。よくあるケースとして、インフラをAWSにしたけれどセキュリティツールは自分たちで調達しなければなりません。障害が発生したときには自分たちでベンダと連絡をとって原因を特定し、対応する必要があります。われわれのサービスを使っていただければ連絡先はほぼ2つに絞られます。1つがわれわれで、もう1つがAWSなどのクラウド環境の提供事業者です。何か問題が起きればリンクのサポートセンターに連絡をいただきます。お客様からは、原因特定、対応までの時間が大幅に短縮したといった声を多くいただいています。
われわれはサポートサイトを通じて、さまざまな情報提供を行っています。サービスのマニュアルやPCI DSS準拠に関するナレッジを掲載しています。
また、テンプレートや仕様書を提供してお客様のドキュメント管理をサポートしています。お客様との契約内容を記したサービス仕様書、われわれのサービスがPCI DSSに準拠していることを示す準拠証明書(AOC)、われわれのサービスの概要や仕組みをまとめたガイダンスシートなどを提供しております。
サポートサイトやドキュメントを利用していただくことで、PCI DSS準拠までの時間を大幅に削減していただけるのではないかと思います。
コストを抑えてリスクを最小限に
「北の快適工房」の導入事例
PCI DSS Ready Cloudの導入事例をご紹介します。北海道の大手EC事業者、北の達人コーポレーションの事例です。主に「カイテキオリゴ」「ヒアロディープパッチ」をはじめとする健康美容商品を販売する総合ECサイト「北の快適工房」を運営して、順調に業績を拡大しています。
同社は決済代行事業者から提供されているクレジットカード情報非保持化のソリューションを導入済みで、セキュリティ対策には以前から熱心に取り組まれていました。あるとき社内で、クレジットカード情報非保持化ソリューションを導入していたにもかかわらず、情報が漏えいしたというケースがあるようだがうちは大丈夫なのかという話が持ち上がったそうです。また、お客様のクレジットカード情報を預けている決済代行事業者の経営危機や情報漏えいが発生した場合、そのカード情報はどうなるのかという不安もあったそうです。そして、自社でカード情報を安全に保持しておかなければ、売上を担保することができなくなるときがくるのではないかと考えるに至り、PCI DSSに準拠しようと決めたということです。
同社ではお付き合いのあった北海道のSIerに相談し、見積もりを依頼したところ、3億円という回答がありました。さすがに3億円は高額すぎるということで、ネットで検索してわれわれに連絡をくださいました。まず、われわれはスコープ決めをしましょうと提案いたしました。社内の各部門にヒアリングをして、本当に必要なところはどこなのかを明確化し、最適解を探っていった結果、納得のいく見積額をお出しすることができ、採用していただいたという経緯です。
お客さまのコメントを紹介します。「PCI DSS Ready Cloudの良いところは、パッケージされているので、1つ1つツールを選ぶ手間がありません。マネージドサービスを合わせて利用しているため、業務が大きく増えることはなく、社内体制を組み直す必要もありませんでした。社内でもまかなえるけれど、外注したほうが効率的だと判断した部分は任せながら、社内のエンジニアの工数の最適化を図っています。なおかつリーズナブルな金額でPCI DSSに準拠できたということで、満足しています。」
PCI DSS Ready Cloudは現在約50社にご利用いただいています。通販事業者向けクレジットカード情報非保持化ソリューションを合わせると導入実績は約400社です。われわれはこれらのサービスを通じて、これからもお客様の大切なクレジットカードインフラを守り続けてまいります。
■お問い合わせ先
株式会社リンク
〒107-0061
東京都港区北青山 2-14-4
アーガイル青山 14階
TEL :03-6704-9090
https://pcireadycloud.com/
お問い合わせ:https://pcireadycloud.com/users/system/exe/pci_dss_ready_cloud_inquiry_form.php