2022年4月13日9:00
NRIセキュアテクノロジーズ(NRIセキュア)が提供するファイル転送サービス「クリプト便」が2021年4月にPCI DSSの認証を取得した。ユーザーの5割強が金融業で、クレジットカード情報などを伝送したいというニーズも高く、かねてよりPCI DSS準拠が望まれていた。サービス体系はPCI DSS準拠の環境で「クリプト便」を利用できる「セキュリティ強化オプション(PCI DSS)」を追加するかたちとし、手軽にファイル送信を行いたいというニーズにはこれまで通り対応する。セキュリティ強化により、既存ユーザーが「クリプト便」をより多くの用途で利用できるようになると同時に、新たなユーザーの獲得が期待できるそうだ。(書籍「ペイメントビジネス・セキュリティ対策の仕組み」より)
800社の5割強の利用が金融業
ユーザーの要望に応えてPCI DSSに準拠
NRIセキュアでは、企業向けファイル転送/共有サービス「クリプト便」を提供している。この「クリプト便」が、2021年4月、PCI DSS認証を取得。同年5月より、PCI DSS準拠の環境下で「クリプト便」を利用できる「セキュリティ強化オプション(PCI DSS)」の提供を開始した。
2001年から提供している「クリプト便」のユーザーは、現在、約800社。そのうち4割の300社超が金融業だ。クレジットカード情報などを含む機密情報を、「クリプト便」を使って社内外でやり取りしたいというニーズも多く、かねてからPCI DSSに準拠してほしいという声が聞かれていた。
同社としてもPCI DSS準拠の必要性を認識してはいたが、「日々の業務の傍ら、PCI DSSで求められる運用を実装するための工数を捻出するのはなかなか大変です。また、金銭的なコストもかかるので、二の足を踏んでいたというのが実情でした」(NRIセキュア ファイルセキュリティ事業部 運用グループ グループマネージャー 倉俣恵祐氏)。同社では2019年度にクラウドサービスに関する国際規格である「ISO/IEC 27017」に基づくISMSクラウドセキュリティ認証(JIP-ISMS517-1.0)、および「ISO/IEC 27018」に基づくプライベート認証を取得した(ISMS[ISO27001]は2003年に全社で取得済)。そこから「続けてPCI DSSにも準拠しようという流れになりました」(倉俣氏)。2020年初頭に社内セキュリティチームのスタッフのコンサルティングを受け、ギャップ分析を行って、具体的な取り組みを開始。2021年4月に認証取得の運びとなった。
セッションタイムアウト時間の短縮
パスワード/ID認証の強化を実施
「クリプト便」はもともと一定のセキュリティ水準を備えていた。送受信するファイルはすべて暗号化され、安全性が保たれる。これが金融業をはじめ、多くの企業に導入されているゆえんである。PCI DSSに準拠に向けては、アプリケーションの改修(機能追加)のほか、内部統制の強化や運用環境の変更を行っている。
