2023年4月24日8:00
トークン技術「Cloud Token for Payment Card」の併用も可能
PCI DSSの準拠・運用をサポートする「PCI DSS Ready Cloud」シリーズを主力商品に据えるリンクのセキュリティプラットフォーム事業部は、2022年3月末に行われたPCI DSS v4.0の公開に先がけ、対応準備を着々と進めてきた。自社として予定通り準拠を遂げたのはもちろん、短期間で効率良くv4.0対応を可能とする「PCI DSS Ready Cloud マネージドモデル」をリリース。v3.2.1からのバージョンアップ作業を進める顧客向けに、コスト削減のためのインフラ・ネットワーク設備の切り替えを促している。また、スコープ最小化やリスク低減のため、トークン技術を組み込んだ「Cloud Token for Payment Card」の利用も推奨している。(「決済セキュリティ2.0」より)
バージョン4.0にいち早く対応
自社運用と併せてサービス提供も開始
リンクのセキュリティプラットフォーム事業部では、PCI DSSの準拠・運用をサポートするソリューション「PCI DSS Ready Cloud」を主力商品に据えている。「PCI DSS Ready Cloud」は同社独自のクラウド環境でサービスを提供するプライベートクラウドモデルからスタートし、AWS(Amazon Web Service)を活用したAWSモデルを追加。さらに、オンプレミス、AWS、Microsoft Azureなど、サーバ・ネットワーク環境を選ばず、PCI DSS要件を満たすことが可能なセキュリティコンポーネントを提供する、「マネージドモデル」をリリースした。
同社では、2022年3月末のPCI DSSバージョン4.0の公開に先がけ、対応準備を着々と進めてきた。同年5月末には「PCI DSS Ready Cloud マネージドモデル」をv4.0対応にグレードアップ。現在も、約50社を超える顧客に対して、マネージドモデルを活用したv4.0へのバージョンアップを支援するプロジェクトを進行中である。
また、従来モデルは、顧客のネットワーク内にセキュリティコンポーネントを配置するという考え方だったため、パッチ処理や脆弱性診断といった運用は顧客自身が行っていたが、マネージドモデルではそれらも同社側で実行する(※リンクが提供するセキュリティコンポーネントの範囲のみが対象)。顧客は、Webサーバやアプリケーションサーバ、DBサーバなど、自社サービスの展開に必要なサーバ群のみを管理するだけで済み、これまでに比べて顧客の運用負荷が半減するという。
PCI DSSに準拠する仕組みを自社のみで構築・運用するのは容易ではない。技術者集団である同社自体、サービスをつくり上げるまでに、いくつものツールの検証など、多くの時間とコストを費やした経緯がある。同社のセキュリティプラットフォーム事業部 事業部長 滝村享嗣氏は「利用している具体的なツールについては非公開ですが、v4.0に効率良く対応し、しかも運用工数も削減できるようサービスを設計しています」と話す。
同社は、国内クラウドサービスプロバイダとして、いち早くv4.0に対応済み。v3.2.1から約50の審査項目が増えたため、監査コストは若干高まったという。
「PCI DSS Ready Cloud マネージドモデル」は、数十万円の初期費用と月額50万~60万円のランニング費用で利用が可能。同社は、本サービスを利用することによって、自社構築の場合と比較して、設計・構築の期間を最大55%短縮でき、システム取得・維持コストを最大90%削減できるとしている。
