2023年10月26日8:00
データセキュリティに関するリーディングカンパニーであるタレスの日本法人、タレスDISジャパン株式会社が、PCI DSSに対するソリューションとしてリリースしているCipherTrust Data Security Platform(CDSP:サイファートラスト・データセキュリティ・プラットフォーム)は、データ中心のセキュリティ製品とソリューションを統合したスイートで、1つのプラットフォームでデータの検出、保護、制御のすべてを実行できるのが特徴だ。グローバル市場ではすでに、その機能の高さは実証済みであり、PCI DSSのバージョン4.0(v4.0)へのバージョンアップを機に日本市場でも営業戦略を加速させている。(提供:タレスDISジャパン株式会社【PR】)
PCI DSSバージョンアップに対応
国内でタレスへの問い合わせが増加
タレスDISジャパン株式会社 クラウドプロテクション&ライセンシング データセキュリティ事業本部メジャーアカウントセールス担当部長の船田大氏は「PCI DSSv4.0への更新の期限が近付くにつれ、販売代理店にはCDSPなど、タレスのソリューションに対する問い合わせが増えていると言います。このほど開かれたPCI DSSの国内イベントでも、当社のブースに足を運ぶお客さまの関心の多くは、PCI DSSの新バージョンへの対応でした」と話す。
データセキュリティに関するリーディングカンパニーで、世界約70カ国にネットワークを擁するタレスのCDSPは、すでに多くの企業に採用されている。タレスDISジャパンでは、顧客からの問い合わせに対応する時、すでに海外で導入されているケースを中心に紹介している。例えば、複数の国で事業を展開する、ある大手百貨店チェーンは、ブランドの保護と機密性の高いクレジットカードデータや顧客データを保護するためにCDSPを採用している。
異なるレイヤに存在するそれぞれのリスクからデータを保護
グローバル展開の百貨店で採用
データの所在を問わずデータ保護が可能に
この大手百貨店は、大規模なデータ侵害に見舞われ、数百万人の顧客クレジットカードデータが流出するという被害に遭い、その結果として、ブランドに対する評価が著しく低下してしまった。何百もの小売店舗で年間数百万の顧客トランズアクションを処理しているため、データ保護の厳格な基準を維持することは常に優先事項だ。このような侵害が二度と起こらないようにするため、この小売業者は店舗からバックエンド処理まで、システム全体にわたってクレジットカードデータを保護したいと考えた。
この大手百貨店は、決済プロセス全体を通して、機密データを保護するための暗号化の使用と、特定のセキュリティ対策を常に実施することを義務付けるPCIコンプライアンスの達成を望んでいた。さらに、データベースやファイルフォルダに保存されている個人情報を保護するために、拡張できるスケーラブルなソリューションを求めていた。
同社はCDSPを導入し、実装手順を検証するため、いくつかの初期店舗で概念実証(PoC)を実施した。クレジットカードデータは取得時に暗号化され、暗号化された形式でバックエンドに送信され処理される。また、バックエンドのデータベースに保存される際も、クレジットカードデータは、暗号化されたままとなる。この検証が無事に完了した後、小売業者はより大きなバッチで残りの店舗に徐々に導入を拡大した。
次のステップとして、鍵ファイルとデータベース上の個人情報データを保護するために導入したのが、CipherTrust Transparent Encription(透過的暗号化製品)だ。一元化された鍵管理、特権ユーザーのアクセス制御、詳細なデータアクセス監査ロギング(時系列にデータを記録・蓄積すること)を備えた保存中データ暗号化を提供する。これにより、オンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境など、データの所在を問わず、データが保護される。
透過的暗号化(CTE) 製品
コンプライアンス対応とDX強化
高度にスケーラブルなソリューション
このほかのケースとしては、コンプライアンス規制要件への対応と、DX(デジタルトランスフォーメーション)の両方を実現するため、アジアの大手金融保証グループがタレスのソリューションを採用している。このグループは、アジア太平洋地域でトップクラスの金融保証グループとして知られ、生命保険および健康保険ソリューションを通じて顧客を支援するために、構造的な成長市場に焦点を当てたアジア主導の事業ポートフォリオを構築している。アジア太平洋地域において強力なプレゼンスを維持しており、シンガポール、香港、インドネシア、韓国、日本、ベトナムなど数カ国に数百万の顧客を抱えている。
同グループは、データ分析やビジネスアプリケーションによるDXの促進と、インフラストラクチャにおけるクラウド活用という経営課題に直面していた。こうしたニーズに対応するためには、ハイブリッド環境やマルチクラウド環境で機能し、さまざまな環境にわたってデータ保護と鍵管理を提供する「高度にスケーラブルなソリューション」が必要であり、その課題をタレスのソリューションによって解決を図った。
また、同グループは、金融機関グループとして、膨大な個人データ、医療データ、財務データを扱っている。保険会社として、重要な監査の課題に対処するためにコンプライアンスを満たしつつ、全ての顧客データを侵害から保護する法的責任がある。事業を展開している各国・各地域のデータプライバシー法に準拠していない場合は、重大な結果に遭遇する。例えば、PCI Security Standard Councilによると、準拠していなければ、莫大な訴訟費用や和解金の支払い、さらに売り上げの減少に苦しむ可能性がある。
また、データをクラウドに移行すると同時に規制コンプライアンスを満たし、責任共有モデルを実践するための安全な道を顧客に提供することが不可欠になる。コンプライアンス規制要件としては、PDPA(Personal Data Protection Act:個人情報保護法)や、HIPAA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)、GDPR EU(General Data Protection Regulation EU:一般データ保護規則)があり、そして、PCI DSSへの対応も求められた。タレスのソリューションを導入することによって、これらのコンプライアンスの規制要件をクリアした。
このように大手流通や金融グループでタレスのソリューション導入が進んでいる。PCI DSSはもちろん、グローバルなコンプライアンス規定に対応したタレスのソリューションは国内においてもさらに求められそうだ。
【ホワイトペーパー】
ディスク暗号不可のPCI DSS 4.0準拠に備える
データを保護する暗号化ソリューションの重要性
■お問い合わせ先
タレスDISジャパン株式会社
クラウドプロテクション&ライセンシング データプロテクション事業本部
〒107-0052・東京都港区赤坂2-17-7、赤坂溜池タワ
TEL03-6234-8180
URL:https://cpl.thalesgroup.com/ja/data-protection
Email:jpnsales@thalesesecurity.com
