ネットワンシステムズ株式会社
セキュリティ事業推進本部　部長
豊田　祥一

【Profile】
2005 年11月、ネットワンシステムズ株式会社入社。前職において、iDCにおけるECシステムの運用業務に携わる。主にPKIを導入したインターネットサービスの運用業務設計のPM（プロジェクトマネジメント）を担当
現在、セキュリティ事業推進本部コンサルティング部において、ISMS認証取得支援をはじめとする、社外に対するコンサルティングビジネスを推進している。また、コンサルティングビジネスの一環として、個人情報保護、情報セキュリティ、ISMS内部監査員研修、等の講師を務めている。

セキュリティの強化、維持はネットワークを運用していく上で、欠かすことのできない重要な要素となっています。しかし、具体的にどうすればセキュリティレベルを高めることができるのか、どこまでセキュリティ対策を施せば十分といえるのか、について答えることのできる明確な基準が存在していませんでした。

PCIDSSは「カード会員情報をいかにして守るか」を目的として事業者が守るべき最低基準を定めたものであり、その対応策が要件という形で具体的に記述されています。そのため、カード会員情報を自社が保有する機密データと置き換えることによってカード業界以外でもPCIDSSは自社のセキュリティレベルを客観的に評価し、次に取るべき対策を検討する基準として利用することができます。

こうしたことからネットワンシステムズは、いち早くPCIDSSに注目し、セキュリティ強化のニーズに応えるべく、準拠支援サービスを展開しております。

PCIDSSに準拠したセキュリティ対策を実施する場合、各要件を満足させるには、ある特定のプロダクトが必要になりますが、単にプロダクトを購入すれば終わりというわけではありません。
PCIDSSで求められる要件に準拠する形で導入から運用を図っていくことが必要になります。

コンサルティングサービスでは、現状のシステムで保護すべきカード会員データ、センシティブ認証データを扱う範囲を識別し、PCIDSSの適用対象を明確にします（現状整理）。さらに適用対象についてはファイアーウォールのポリシーと各セグメントの持つ役割や責任等が正しく運用され、文書化されているかどうか確認していきます。次に対象となるシステムにおける現状のセキュリティ対策がPCIDSSの各要件に照らし合わせてどの程度対応しているかを分析（ギャップ分析）し、対応していないものについて原因、理由を洗い出します。

こうしたコンサルティングサービスの結果に基づいて解決すべき課題・要件を発見し、具体的な製品、サービスを実装レベルでご提案していくことになります。各プロダクトについてはPCIDSSの要件に合致した設計・文書作成を行い、基準への準拠を支援します。実装レベルでのプロダクトの提供はネットワンシステムズが最も得意とするところであり、PCIDSSが求める広範囲な要求に応える最適な製品を提供いたします。 また、ポリシー作成といったプロダクトによる対応ができない要件についてもサービスとして提供する体制を整えるとともに、情報セキュリティ教育をはじめとする各種人的対策についての支援サービスを展開しております。

このように、当社では上流から下流まで全てのプロセスでサービスを展開しているため、PCIDSSに準拠する必要がある場合はもちろん、自社のセキュリティレベルを把握し、その向上を図りたい、あるいは特定のプロダクトを導入してセキュリティレベルを強化したいといったさまざまなニーズに対して支援することが可能です。