2008年
PCI DSSご紹介セミナー開催レポート
ISMSを補完する具体的なセキュリティ対策基準「PCI DSS」ご紹介セミナー
去る6月10日(火)、”ISMSを補完する具体的なセキュリティ対策基準「PCI DSSご紹介セミナー」”を開催いたしました。当日はご多忙の中、多くの方々にご来場いただき、盛況のうちに終了しました。ありがとうございました。
■日 時 2008年6月10日(火)13:00-17:30(受付開始12:30〜)
■会 場 シスコシステムズ (六本木・東京ミッドタウン内21F)
■主 催 ネットワンシステムズ株式会社
■共 催 シスコシステムズ合同会社、RSAセキュリティ株式会社、住商情報システム株式会社
■日 時 2008年6月10日(火)13:00-17:30(受付開始12:30〜)
■会 場 シスコシステムズ (六本木・東京ミッドタウン内21F)
■主 催 ネットワンシステムズ株式会社
■共 催 シスコシステムズ合同会社、RSAセキュリティ株式会社、住商情報システム株式会社
PCI DSSご紹介セミナー レビュー
開会ご挨拶
ネットワンシステムズ株式会社
営業推進グループ セキュリティ事業推進本部 本部長 山崎 文明
■国内初のPCI DSS準拠支援サービスを提供しているネットワンシステムズ
PCI DSS(Payment Card Industry Data Security Standard)は、VISAをはじめとする国際カードブランド5社が、カードビジネス関連事業者向けに、カード会員データや取引情報を保護する基準を策定したものです。カード情報漏洩事件が後を絶たないことから、2004年12月に策定されました。
PCI DSSは、「安全なネットワークの構築・維持」など6つのカテゴリに対して、12項目の要件を定めており、その内容はきわめて具体的です。したがって、機密情報のセキュリティ対策という視点から、クレジットカードを扱う企業のみならず、幅広い一般企業に適用を推奨できるデータセキュリティ標準、いわば「エンタープライズDSS」であるといえます。特に、ISMSをセキュリティポリシーとして導入済みの企業は、それを実践するためのツールとしてPCI DSSを活用していただきたいと考えています。
ネットワンシステムズは、2007年から国内で初めてPCI DSS準拠支援サービスを提供しているほか、国内初の解説書籍「PCIデータセキュリティ基準 完全対策」(日経BP社刊)を監修したり、PCI DSSの策定を行っている国際標準化団体「PCIセキュリティ標準協議会(PCI Security Standards Council)」に日本のインテグレータとして初めて加盟するなど、PCI DSSの国内普及を積極的に推進しています。
PCI DSS(Payment Card Industry Data Security Standard)は、VISAをはじめとする国際カードブランド5社が、カードビジネス関連事業者向けに、カード会員データや取引情報を保護する基準を策定したものです。カード情報漏洩事件が後を絶たないことから、2004年12月に策定されました。
PCI DSSは、「安全なネットワークの構築・維持」など6つのカテゴリに対して、12項目の要件を定めており、その内容はきわめて具体的です。したがって、機密情報のセキュリティ対策という視点から、クレジットカードを扱う企業のみならず、幅広い一般企業に適用を推奨できるデータセキュリティ標準、いわば「エンタープライズDSS」であるといえます。特に、ISMSをセキュリティポリシーとして導入済みの企業は、それを実践するためのツールとしてPCI DSSを活用していただきたいと考えています。
ネットワンシステムズは、2007年から国内で初めてPCI DSS準拠支援サービスを提供しているほか、国内初の解説書籍「PCIデータセキュリティ基準 完全対策」(日経BP社刊)を監修したり、PCI DSSの策定を行っている国際標準化団体「PCIセキュリティ標準協議会(PCI Security Standards Council)」に日本のインテグレータとして初めて加盟するなど、PCI DSSの国内普及を積極的に推進しています。
基調講演
ビザインターナショナル・アジアパシフィックリミテイッド
リスクマネージメント カントリー・リスク・デイレクター 井原 亮二 氏
■PCI DSS遵守企業は情報流出の損害賠償や罰金などの金銭損失も免れる
PCI DSSは、カード犯罪から加盟店の利益を守ること、安全なカード取引を消費者に約束し、利用拡大を促進することを目的に策定されました。
PCI DSSを遵守することで、情報流出を予防し、フォローにかかるコストを削減できるのも大きなメリットです。米国では州法レベルでPCI DSSの法制化が急速に進みつつあり、遵守している企業は、損害賠償訴訟を免れるようになりつつあります。また今後「PCI DSS準拠」は、サプライチェーンに参加する企業の「参加資格」にもなるでしょう。
クレジットカードブランドは、PCI DSSに基づいてカードの口座情報および取引情報を保護するための制度をそれぞれ設けています。VISAが策定した国際的な情報セキュリティプログラムは、「AIS(アカウント情報セキュリティ)プログラム」です。AISは、加盟店や業務委託先から、インターネット決済サービス事業者などのサービスプロバイダまで、カード情報を扱うすべての企業が対象であり、日本では、サービスプロバイダ35社および約 56社の加盟店がAISへ移行済みです。
ちなみにAISの自己評価問診は無料で公開しています。まずはトライしてみてください。
PCI DSSは、カード犯罪から加盟店の利益を守ること、安全なカード取引を消費者に約束し、利用拡大を促進することを目的に策定されました。
PCI DSSを遵守することで、情報流出を予防し、フォローにかかるコストを削減できるのも大きなメリットです。米国では州法レベルでPCI DSSの法制化が急速に進みつつあり、遵守している企業は、損害賠償訴訟を免れるようになりつつあります。また今後「PCI DSS準拠」は、サプライチェーンに参加する企業の「参加資格」にもなるでしょう。
クレジットカードブランドは、PCI DSSに基づいてカードの口座情報および取引情報を保護するための制度をそれぞれ設けています。VISAが策定した国際的な情報セキュリティプログラムは、「AIS(アカウント情報セキュリティ)プログラム」です。AISは、加盟店や業務委託先から、インターネット決済サービス事業者などのサービスプロバイダまで、カード情報を扱うすべての企業が対象であり、日本では、サービスプロバイダ35社および約 56社の加盟店がAISへ移行済みです。
ちなみにAISの自己評価問診は無料で公開しています。まずはトライしてみてください。
セッション1
シスコシステムズ合同会社
セキュリティ・ワイヤレス営業 プロダクトセールススペシャリスト
石原 智 氏
■「Cisco ACE WAF」をはじめPCI DSSを網羅するプロダクツをラインアップ
シスコシステムズは、「ネットワークは安全であるべきだ」というポリシーを一貫して推進し、SDN(Self-Defending Network:自己防衛型ネットワーク)を提唱しています。SDNは、ネットワークのリスクを分析し、あるべき姿を明確にしたうえで、ネットワーク機器に優先順位をつけてそろえていくというプロアクティブな取り組みであり、ASA5500シリーズによる「ファイアウォール」に始まりCSAやNACアプライアンスなど、エンドポイントの「セキュリティポリシー整備」まで12の要件を段階的に実現し、積み上げていくPCI DSSの要求にぴったり対応しています。
シスコシステムズは、PCI DSS準拠のネットワーク構築という目的を果たすために、網羅的な製品群を用意しています。特に、SQLインジェクション攻撃からWebサイトを守る「WAF(Webアプリケーション・ファイアウォール)」は、PCI DSSの必須機器となる見込みであり、今後、導入が一気に拡大することが予想されます。
シスコシステムズの豊富な製品群を組み合わせて導入することで、機器の台数は膨大であっても一元管理できる環境を実現できるのは大切なポイントです。Network Compliance Managerを利用することで監査用のレポートも出しやすく、PCI DSS運営にかかるコストを低減させることができるのです。
シスコシステムズは、「ネットワークは安全であるべきだ」というポリシーを一貫して推進し、SDN(Self-Defending Network:自己防衛型ネットワーク)を提唱しています。SDNは、ネットワークのリスクを分析し、あるべき姿を明確にしたうえで、ネットワーク機器に優先順位をつけてそろえていくというプロアクティブな取り組みであり、ASA5500シリーズによる「ファイアウォール」に始まりCSAやNACアプライアンスなど、エンドポイントの「セキュリティポリシー整備」まで12の要件を段階的に実現し、積み上げていくPCI DSSの要求にぴったり対応しています。
シスコシステムズは、PCI DSS準拠のネットワーク構築という目的を果たすために、網羅的な製品群を用意しています。特に、SQLインジェクション攻撃からWebサイトを守る「WAF(Webアプリケーション・ファイアウォール)」は、PCI DSSの必須機器となる見込みであり、今後、導入が一気に拡大することが予想されます。
シスコシステムズの豊富な製品群を組み合わせて導入することで、機器の台数は膨大であっても一元管理できる環境を実現できるのは大切なポイントです。Network Compliance Managerを利用することで監査用のレポートも出しやすく、PCI DSS運営にかかるコストを低減させることができるのです。
セッション2
RSAセキュリティ株式会社
マーケティング統括本部 本部長 宮園 充 氏
■「情報リスク管理」のアプローチにより、コンプライアンス共通のセキュリティ基盤構築を提唱
これまで対症療法的に多大なセキュリティ投資をしてきた結果、本当に大切な情報資産を保護できていない不安を持っている企業が多いようです。
そこで RSAは、情報リスク管理(Information Risk Management)という考え方を推奨しています。これは、ビジネス推進の視点から保護すべき情報を中心に考えて、その情報が脅威に晒された時のビジネス・リスクの高いものから優先的にセキュリティ対策を取っていくというものです。
そのことにより、ビジネス・リスクを最小限に抑え、安心してビジネス成長を目指していくことが可能になります。
PCIDSSで示されているガイドラインに則ってセキュリティ対策を進めていくことで、様々な法律・規制への対応にも適用可能な共通のセキュリティ基盤を構築することが容易になります。RSAセキュリティでは、PCI DSSへの対応を支援する様々な技術、暗号化および暗号鍵の管理、認証強化、アクセス管理、統合ログ管理や情報漏洩対策など様々な要求に応えることが可能なセキュリティ・ソリューションを提供しています。
これまで対症療法的に多大なセキュリティ投資をしてきた結果、本当に大切な情報資産を保護できていない不安を持っている企業が多いようです。
そこで RSAは、情報リスク管理(Information Risk Management)という考え方を推奨しています。これは、ビジネス推進の視点から保護すべき情報を中心に考えて、その情報が脅威に晒された時のビジネス・リスクの高いものから優先的にセキュリティ対策を取っていくというものです。
そのことにより、ビジネス・リスクを最小限に抑え、安心してビジネス成長を目指していくことが可能になります。
PCIDSSで示されているガイドラインに則ってセキュリティ対策を進めていくことで、様々な法律・規制への対応にも適用可能な共通のセキュリティ基盤を構築することが容易になります。RSAセキュリティでは、PCI DSSへの対応を支援する様々な技術、暗号化および暗号鍵の管理、認証強化、アクセス管理、統合ログ管理や情報漏洩対策など様々な要求に応えることが可能なセキュリティ・ソリューションを提供しています。
セッション3
セキュリティパッチエミュレータBlueLaneご紹介
住商情報システム株式会社
IT基盤ソリューション事業部 基盤インテグレーション第3部 部長
阪田 幸二 氏
■「迅速なセキュリティパッチの適用」を可能にするセキュリティパッチエミュレータ
プラットフォームの脆弱性をねらった攻撃の98%は、セキュリティパッチを適用することで防ぐことができます。しかし、年間4,500件以上の脆弱性が公開されているだけに、「セキュリティパッチはリリース後1ヵ月以内にインストールする」というPCI DSSの規定を遵守することはなかなか困難です。
そこで注目したいのがBlueLane社のソリューションです。BlueLaneは、稼動中のサーバには変更を加えることなく、ネットワーク上でサーバーの脆弱性を無害化するというコンセプトで開発された「セキュリティパッチエミュレータ」です。サーバーの前段にBlueLaneのアプライアンス装置を設置しておけば、アプリケーションごとにパッチの動作検証をする手間をかけることなく、常に最新のセキュリティレベルを維持できます。Solaris、Linux、Oracle等のメジャープラットフォームは勿論、WindowsNT4.0などメーカがサポートを終了したシステムや、仮想マシンも保護できるのです。
また、米国QSAである NetSPI社からパッチ適用できない場合の代替ソリューションとして推奨されているとの事。住商情報システムはこうした脆弱性対策の他にも、国内販売実績ナンバーワン WAF(富士キメラ総研調べ)、脆弱性スキャニングツール、ログ管理、診断・コンサルティングサービスなど、PCI DSS実践を支援する多彩なサービス・ソリューションを用意しています。
プラットフォームの脆弱性をねらった攻撃の98%は、セキュリティパッチを適用することで防ぐことができます。しかし、年間4,500件以上の脆弱性が公開されているだけに、「セキュリティパッチはリリース後1ヵ月以内にインストールする」というPCI DSSの規定を遵守することはなかなか困難です。
そこで注目したいのがBlueLane社のソリューションです。BlueLaneは、稼動中のサーバには変更を加えることなく、ネットワーク上でサーバーの脆弱性を無害化するというコンセプトで開発された「セキュリティパッチエミュレータ」です。サーバーの前段にBlueLaneのアプライアンス装置を設置しておけば、アプリケーションごとにパッチの動作検証をする手間をかけることなく、常に最新のセキュリティレベルを維持できます。Solaris、Linux、Oracle等のメジャープラットフォームは勿論、WindowsNT4.0などメーカがサポートを終了したシステムや、仮想マシンも保護できるのです。
また、米国QSAである NetSPI社からパッチ適用できない場合の代替ソリューションとして推奨されているとの事。住商情報システムはこうした脆弱性対策の他にも、国内販売実績ナンバーワン WAF(富士キメラ総研調べ)、脆弱性スキャニングツール、ログ管理、診断・コンサルティングサービスなど、PCI DSS実践を支援する多彩なサービス・ソリューションを用意しています。
セッション4
ネットワンシステムズ株式会社
営業推進グループ セキュリティ事業推進本部 コンサルティング部 部長 豊田 祥一
■PCI DSSの要件すべてに合致するソリューションをワンストップで提供
PCI DSSは、セキュリティの実装方法について、物理的なアクセスの制限からポリシーの整備まで、幅広く網羅的に規定しています。したがって、単にプロダクトを導入するだけではPCI DSSの各要件を実現することはできません。上流から下流までの一貫性が必要です。
現在、ネットワンシステムズは、「PCI DSS準拠支援サービス」として、次の3つのメニューを提供しています。
「PCI DSS準拠ネットワーク構築サービス」は、PCI DSSに準拠したネットワークを構築すると同時に、必要な文書類を整備します。
「PCI DSS準拠状況分析サービス」は、既存ネットワークシステムのPCI DSS準拠状況を分析調査します。
「PCI DSS準拠対策支援サービス」は、PCI DSSに準拠した形での機器導入、インストール、不足している文書類の作成支援など、必要な対策を総合的に提供します。
ネットワンシステムズは、PCI DSSで求められる要件を一貫して満足させる製品を用意し、また、上流から下流まですべての工程で各要件に準拠するサービスを展開しているのです。PCI DSSの要件すべてに合致するソリューションをワンストップで提供できるのが、ネットワンシステムズです。
PCI DSSは、セキュリティの実装方法について、物理的なアクセスの制限からポリシーの整備まで、幅広く網羅的に規定しています。したがって、単にプロダクトを導入するだけではPCI DSSの各要件を実現することはできません。上流から下流までの一貫性が必要です。
現在、ネットワンシステムズは、「PCI DSS準拠支援サービス」として、次の3つのメニューを提供しています。
「PCI DSS準拠ネットワーク構築サービス」は、PCI DSSに準拠したネットワークを構築すると同時に、必要な文書類を整備します。
「PCI DSS準拠状況分析サービス」は、既存ネットワークシステムのPCI DSS準拠状況を分析調査します。
「PCI DSS準拠対策支援サービス」は、PCI DSSに準拠した形での機器導入、インストール、不足している文書類の作成支援など、必要な対策を総合的に提供します。
ネットワンシステムズは、PCI DSSで求められる要件を一貫して満足させる製品を用意し、また、上流から下流まですべての工程で各要件に準拠するサービスを展開しているのです。PCI DSSの要件すべてに合致するソリューションをワンストップで提供できるのが、ネットワンシステムズです。
ユーザー事例ご紹介
PCI DSS準拠支援サービス 事例紹介〜ソフトバンク・ペイメント・サービス株式会社様〜
ネットワンシステムズ株式会社
営業推進グループ セキュリティ事業推進本部
コンサルティング部 菅原 崇史
ネットワンシステムズ株式会社
営業推進グループ セキュリティ事業推進本部
コンサルティング部 菅原 崇史
■システム構成が変わってもPCI DSSへの準拠性維持に成功
ネットワンシステムズの「PCI DSS準拠支援サービス」を利用された事例を紹介します。
ソフトバンク・ペイメント・サービスは、ソフトバンクグループをはじめとするECサイトの決済代行会社です。セキュリティへの取り組みはきわめて先進的で、2005年にはISMSおよびBS7799認証を取得し、2006年10月には、VISAのAISプログラムに基づいてPCI DSS認証も取得されました。
次の計画は、従来アウトソーシングしていたIDS(侵入検知システム)をインハウス化して、さらにセキュリティレベルを高めることです。しかし、IDSを自社内へ置くことでシステム構成が変わり、すでに認証されたPCI DSSへの準拠性が失われるという危険がありました。
そこでネットワンシステムズは、(1)導入機器単体のセキュリティ確保、(2)システム全体のセキュリティ対策との整合性確保、(3)情報セキュリティマネジメントにかかわる運用整備という3つのプロセスを着実に踏んで、スムーズなIDSインハウス化を実現しました。
PCI DSS対応は、機器の単純な導入に終わることなく、エンド・トゥ・エンドのデータ伝送を理解したうえで、全体整合性の取れた対策を実施することが大切なのです。
ネットワンシステムズの「PCI DSS準拠支援サービス」を利用された事例を紹介します。
ソフトバンク・ペイメント・サービスは、ソフトバンクグループをはじめとするECサイトの決済代行会社です。セキュリティへの取り組みはきわめて先進的で、2005年にはISMSおよびBS7799認証を取得し、2006年10月には、VISAのAISプログラムに基づいてPCI DSS認証も取得されました。
次の計画は、従来アウトソーシングしていたIDS(侵入検知システム)をインハウス化して、さらにセキュリティレベルを高めることです。しかし、IDSを自社内へ置くことでシステム構成が変わり、すでに認証されたPCI DSSへの準拠性が失われるという危険がありました。
そこでネットワンシステムズは、(1)導入機器単体のセキュリティ確保、(2)システム全体のセキュリティ対策との整合性確保、(3)情報セキュリティマネジメントにかかわる運用整備という3つのプロセスを着実に踏んで、スムーズなIDSインハウス化を実現しました。
PCI DSS対応は、機器の単純な導入に終わることなく、エンド・トゥ・エンドのデータ伝送を理解したうえで、全体整合性の取れた対策を実施することが大切なのです。
