2014年7月30日5:48
横浜・横浜港北データセンターが「PCI DSS」で部分準拠
強固な物理セキュリティを対外的にアピール
PCI DSSでは2012年3月から、12要件のうち、一部の要件を満たすことでも準拠として認められることとなっている。富士通エフ・アイ・ピー(富士通FIP)は、2013年9月、同社のデータセンターサービスについて、「横浜データセンター」と「横浜港北データセンター」が物理的なセキュリティに関する準拠をした。データセンターでPCI DSSに準拠することで、準拠を目指す企業の負担を軽減させる狙いだ。
データセンターとしての他社との差別化を図る
「要件9」と「要件11.1」で準拠
富士通FIPは、データセンター事業が売り上げの半数を占めている。富士通FIPでは、強固なセキュリティと運用の差別化を行っているが、他社のサービスとの違いが見えにくいのが課題となっていた。
「データセンターのセキュリティとして、フィジカルな部分の強みをどう見せるかを考えたとき、『PCI DSS』の基準は分かりやすかったです。アプリケーションに絡む部分はコンサルティングとして行っており、データセンターとしてフィジカルにセキュリティを守るというきっかけから『要件9』と『要件11.1』準拠に着手しました」(富士通エフ・アイ・ピー センターサービス統括部長兼センター計画部長 駒井勝久氏)
富士通FIPにおけるPCI DSS関連のビジネスとしては、「“お客様サービスにおいてお客様が準拠をする支援を行う”、“お客様サービスにおいて弊社が準拠をする”、“弊社のサービスが準拠する”という3つがある」と富士通エフ・アイ・ピー SaaSシステム部 プロジェクト課長 仁木裕子氏は説明する。実際、同社では「PCI DSS準拠支援サービス」の提供を通じ、準拠を目指す企業を支援している。また、決済ゲートウェイサービスの「PaymentGatewayサービス」では、PCI DSSの12要件で完全準拠を果たしている。
今回、横浜・横浜港北の両データセンターのサービスがPCI DSSに準拠することで、PCI DSSに関するコンサルティングから対策ソリューション導入、セキュリティ検査、データセンターまで、ワンストップでのサービス提供が可能となった。
対応期間は3カ月でシステム投資なく準拠
ISMSなど従前の対策により準拠は容易に実現
同社では、2013年5月からPCI DSSの準拠に向け着手し、予備調査もなく、半年弱で準拠を果たした。また、実際の対応期間は3カ月程度となっている。駒井氏は、「すでに弊社ではISMSも取得しており、決して準拠まで高いハードルではありませんでした。もともとハイスペックなサービスを提供しており、準拠により強固なセキュリティを形として見せることができました」と話し、笑顔を見せる。大きなシステム投資も特になく、主に人件費のみとなっている。
また、各運用部隊が行っていた業務を一括してセンター運用することで、作業の効率化もあわせて実現している。
自社のコンサルティング部隊が準拠を支援
部分準拠により審査コストを抑えることも可能に
後編は、書籍「カード決済セキュリティの仕組み」でご紹介します。
