自社でRFPを公開する場合、セキュリティはどこまで対応すればいいのでしょうか？ISMS取得によって、どのようにセキュリティ強度を上げればいいのでしょうか？今までの日本では具体的なセキュリティ対策基準が活用されていなかったため、何をどこまで対応すればいいのかが非常に不明瞭でした。そのような状況を打破するのが、ネットワンシステムズの「PCIDSS」を活用したソリューションモデルです。
今回のNetOne PCIDSS講座 Vol.3では、「PCIDSS」を活用したソリューションモデルをお客様にご提案及びご導入した際にどのようなメリットがあるのかを、実例を交えてご紹介します。

NetOne PCIDSS講座
Vol.3「PCIDSSを活用したソリューションモデルの実例とメリット」

ネットワンシステムズ株式会社
セキュリティ事業推進本部 本部長補佐
マーケティング部 部長
佐藤　徹次

 

セキュリティ事業推進本部
マーケティング部　営業推進チーム
後藤　靖史

米国セキュリティビジネスの状況とネットワンシステムズの方向性

[佐藤]
現在、米国のセキュリティビジネスでは、機能や性能といった観点でソリューションや製品を選ぶというのではなく、コンプライアンスとビジネスコンティニティプラン（BCP（事業継続計画））に如何に寄与できるソリューションなのかというものに移行しています。

コンプライアンスとBCPに寄与するということは、実は弊社が行っているソリューションモデルに合致します。弊社のソリューションモデルは、「コンサルティング・インテグレーション・サービス」という三層構造によるフィードバックソリューションモデルです。コンサルティングによって、レギュレーション（規準・基準）やコンプライアンスに対応するためにはどのようなセキュリティシステムの構築や運用が必要なのかを明確にします。インテグレーションでは、弊社のネットワークインテグレーターとしての技術や製品を活用し、実際にセキュアなネットワークシステムを構築します。さらに、サービスにおいては運用アウトソーシングサービスをご提供します。

「コンサルティング・インテグレーション・サービス」というソリューションモデルは、レギュレーションを切り口に展開していきますので、もちろんJ-SOX等にも適用させることはできます。「PCIDSS」は、その最初の切り口となります。

尚、「PCIDSS」を切り口に事業展開を行うために、特に弊社が新しい製品を扱う必要はありません。現在お付き合いのあるベンダーに、弊社が既に扱っている各製品が、「PCIDSS」のどの条項に準拠し、どのように寄与するのかということを確認しています。米国では、既に多くのセキュリティベンダーで、自社製品が「PCIDSS」のどの条項に寄与しているかという対応関係がしっかりと分析され、セールスツールも整備されています。日本のセキュリティベンダーでは、まだそこまで情報が整備されていないのが現状ですが、今後は、「PCIDSS」の普及に賛同してくれるベンダーを中心に、アライアンスを組んで展開していきます。

弊社は、「PCIDSS」をというセキュリティ基準の持つ意義とその活用法を、日本に普及させるということにおいて、先鞭をつけているという自負があります。もちろん、「PCIDSS」について知らない方もいらっしゃると思いますが、逆にやり甲斐があるというものです。実際に稼動している案件でも、「PCIDSS」というレギュレーションを切り口にしたセキュリティシステムを提案してくれたベンダーは初めてだということで、そのセンスを買って頂き、システム全体をお任せ頂けるようになってきています。

「PCIDSS」を切り口にすることで生まれるお客様側のメリット

[後藤]
今までは、企業内でどこまでセキュリティ対策を実施するのが妥当なのかという判断が非常に困難で、結局外部に対して対策の信頼性をアピールすることができない状況に陥っていました。そこで、具体的なセキュリティ対策基準として活用できるのが「PCIDSS」なのです。

実例で申し上げると、あるお客様より、数千の店舗から顧客情報を収集するシステムの再構築のお話を頂いた際に、「PCIDSS」に準拠したシステム構築をご提案しました。クレジットカード情報とは関係なかったのですが、クレジットカード産業でしっかりと決められたセキュリティ基準を、重要情報を保有するシステムに適用することは、1つのセキュリティガイドになり得るとの評価を頂きました。

また、どのお客様も同様なのですが、セキュアなシステムを構築するための基準が無いため、具体的にどこをどのように対応すべきかをRFPに書くことができません。今回、RFPは全体で数十ページありましたが、セキュリティ技術に関する部分は2行程しか記載されておらず、細かい要件を全く落とし込めていませんでした。弊社では、「PCIDSS」という分かりやすい基準を利用して、お客様がRFPに書けなかった箇所を理解し提案することができたということで、更なる評価につながりました。

もちろん、弊社のサービスを実施するか否かには、お客様の判断が入ります。ただし、今までとは違って、判断するための材料は充分に揃います。例えば、あるシステムのセキュリティを改善するには１千万円掛かるとします。今までですと、その1千万円で実装したセキュリティレベルが分からない状態でしたが、弊社の「PCIDSS」を活用した提案では、１千万円掛けることでこのセキュリティレベルに到達するということが明確に分かり、その対策費用が妥当なのかどうかの判断ができるようになります。お客様も投資に対して明確なフィードバックを得られますので、その点でも「PCIDSS」はメリットがあると言えます。

最終的に受注したポイントは、セキュリティ対策基準が明確で分かりやすいという点と、そのガイドに従うことで、きっちりしたシステムを構築できるという点であったと感じています。「PCIDSS」はセキュリティガイドとして活用できます。このセキュリティガイドを活用すれば、客観的で分かりやすく、セキュリティレベルを提示できるシステムを構築することができます。それらは、お客様にとっても大きなメリットだったのではないでしょうか。

[佐藤]
実際、問題等が発生した際に、セキュリティ対策について厳しく問われることになります。その際に、我社は「PCIDSS」に準拠したセキュリティ対策を施しており、必要なことは実施していたと主張することもできます。今はそのような基準がないため、1つ1つの事象について取り上げられてしまいます。どの企業も完璧なセキュリティ対策を行うことはできません。やはり、社会的なコンセンサスで、基準というものは必要なのです。

[後藤]
また、経済産業省とJIPDEC（財団法人 日本情報処理開発協会）にて、クレジットカード産業に対するISMSガイドラインの中で、ISMSを上位管理策に位置付けて、具体的な実施策では「PCIDSS」を推奨しています。このように公的機関が認めているということも、安心して使えるシステム基準ということにつながったのだと思います。