PCI DSS準拠の
「整合性監視」実現のため
Tripwire Enterpriseを導入
| 課題 | 結果 |
|---|---|
| PCI DSS要件で整合性監視が求められる | 保管したログの利用で継続的にPCI DSS審査に対応できる |
| 整合性監視を実現するため、独自開発の仕組みで行っていたが、負担が重く、運用コストも高かった |
分かりやすいレポート機能の利用などにより、1時間程度かけていた手作業が30秒で終了。運用作業を効率化し、運用にかかわる時間や工数、コストを削減した |
| お客様に安心して利用してもらえるセキュアなサービスを提供していくため、早急な対応が必要に | 監視テンプレートの活用によりPCI DSS要件よりも幅広く網羅的な整合性監視を実現 |
Tripwire Enterpriseで整合性監視の運用工数やコストを削減し
さらに安心・安全なIVRサービスの提供を実現
業界最大規模の5000回線を展開
株式会社電話放送局は、電話受信サービス、電話発信サービス、SMS送信サービスで構成される「DHKクラウドサービス」を事業の中核として展開。業界最大規模である5000回線の設備と、24時間365日の監視体制を確立した大阪と東京のDHKセンターで、低コストで高品質なIVRサービスを、業種・業界を問わず幅広く提供しています。
サービスの提供にあたり、ISMS(ISO27001)認証やプライバシーマークなど、さまざまな資格も取得し、「安心・安全」に注力しています。その一環として、カードIVRサービスで、PCI DSS(Payment Card Industry Data Security Standard)認証を取得。PCI DSSは、カード会員情報の保護を目的として、国際カードブランド5社が共同で策定したカード情報セキュリティの国際統一基準です。
カードIVRサービスは、電話で通信販売を利用するときに、クレジットカード番号をオペレーターに伝えるのではなく、自動音声ガイダンスに沿って利用者自身が入力することができるサービスです。カードIVRサービスを利用することで、カード情報の漏えい防止やオペレーターによる入力ミスの軽減、オペレーターへのセキュリティ教育の負荷軽減などのメリットが期待できます。
「整合性監視」への対応に苦慮
カードIVRサービスの提供にあたり、クレジット取引セキュリティ対策協議会から「2018年3月末までにクレジットカード情報の非保持化またはPCI DSSへの準拠」という指針が発表されたことから、PCI DSS認証の取得が急務となりました。同社の取締役CTOである黒木裕貴氏は、「PCI DSS認証を取得することで、より安心して利用してもらえるサービスを目指しました」と話します。
同社では、2017年10月にPCI DSS認証を取得していますが、PCI DSS認証の取得でいくつかの壁がありました。その1つが、「整合性監視」でした。黒木氏は、「独自にプログラムやシステムを構築して、整合性監視に対応することもできますが、そのためには膨大な工数とコストがかかってしまい、サービスの提供額を将来的に上げざるを得ないことが課題でした。そこで、Tripwire Enterpriseの導入を検討しました」と述べます。
ただし、PCI DSS認証の取得時点では、Tripwire Enterpriseは導入していませんでした。黒木氏は、「当初はスモールスタートで、その後、サービスを拡大していく計画だったので、独自に簡易なプログラムを開発し、日々の運用で対応していました。トリップワイヤさんの名前は知っていましたが、PCI DSS認証の取得までに導入が間に合うのか不明だったことから、PCI DSS認証の取得を優先しました」と説明します。
承認されている変更――改ざんの自動判別、プロモート
一方で、サービス利用者が増えていくと、監視対象のファイルも増え続け、独自開発の仕組みではすぐに限界が来てしまうことが分かっていたので、早急な対応が必要でした。黒木氏は、「PCI DSS認証の審査時に、審査員から“PCI DSS認証を取得する企業の多くがTripwire Enterpriseを使っている”という話を聞いていたことや、PCI DSSの要件10.5/11.5(ネットワークの定期的な監視およびテスト/セキュリティシステムおよびプロセスの定期的なテスト)に対応していることもあり、PCI DSS認証の取得後に、Tripwire Enterpriseの導入の検討を開始しました」と経緯を明らかにします。
導入にあたり、NTTデータ先端技術株式会社に相談したところ、運用が限界になるであろう数カ月後までには導入できるという回答を得ることができたので、Tripwire Enterpriseを導入することを決定。2017年11月よりTripwire Enterpriseの導入を開始し、段階的な導入を経て、2018年3月に予定どおりに本格稼働を開始しました。
導入時のポイントを同社システム部 インフラ課の川端剛史氏は、「運用開始時には、正常なファイル更新を改ざんと検知することがあるので、正常な更新なのか改ざんなのかを判断しながらチューニングすることが必要です。Tripwire Enterpriseでは、管理画面から、特定の拡張子やファイル、フォルダを指定でき、不正変更か正常変更かもクリック1つで設定できるので、チューニング作業は非常に簡単でした」と話します。
また、Tripwire Enterpriseは、WindowsやLinuxはもちろん、SolarisやAIXなど複数のOSをサポートし、さまざまなポリシーに対応できるほか、データベースとして、IBM DB2やOracle、Microsoft SQL Serverにも対応できます。
黒木氏は、「Tripwire Enterpriseの導入は、OSごとにポリシーが大きく異なるので、まずはWindowsサーバに導入し、次にLinuxサーバに導入するという2段階で作業をしました。独自に開発した仕組みをWindowsサーバで動かしていますが、整合性監視の対応の障壁が高かったことからWindowsサーバの導入を優先しました」と説明します。
1時間程度かけていた手作業が30秒で終了
Tripwire Enterpriseを導入した効果を川端氏は、「日々の運用において、整合性監視を自動化し、工数やコストを削減できました」と語ります。「以前は、サーバの特定のファイルやOSの重要なファイルなどが変更されていないかを、毎日、1時間程度かけて手作業で確認しなければなりませんでした。Tripwire Enterpriseのレポート機能を活用することで、メールに添付されて届くレポートを見るだけで、数十秒で状況を把握できるので便利です」(川端氏)。
Tripwire Enterpriseは、作業が自動で行えて、分かりやすいレポートを提供します。その結果、運用コストの削減を実現します。
黒木氏は、「Tripwire Enterpriseを導入したことで、整合性監視への対応はツールに任せてしまい、より生産性の高い作業に集中することができるようになりました。われわれのビジネスはセキュリティ対策ではなく、お客様に電話サービスを使っていただき、便利になってもらうことなので、その部分にこれまで以上に力を入れられるようになりました」と話します。
さらに、「トリップワイヤ」というブランドを導入したことが、営業面での大きな効果につながっています。黒木氏は、「カードIVRサービスは、Tripwire Enterpriseを導入した、非常にセキュアなプラットフォーム上で提供されており、安心・安全にご利用いただけるサービスであるということを、営業担当者が自信を持ってお客様に提案できるようになりました」と力説します。
保管したログの利用で1年後の審査が楽になる
今後の取り組みについて黒木氏は、「PCI DSSに限らず、ほかのサービスにも使ってみたいとは思っています。もちろん、サービス提供コストとの兼ね合いもあるので慎重に検討はいたします」と話します。
トリップワイヤは、PCI DSSはもちろん、CIS(Center for Internet Security)コントロールで提唱しているTOP6のベーシックセキュリティ対策をほぼカバーできます。このTOP6を対応すれば、インシデント全体の91%以上に対応することが期待できます*。
*Source: IT Process Institute, ITPI Change Configuration and Release Report v2
黒木氏は、「PCI DSS認証は、1年ごとに審査があるのですが、いつ、何が変更されたのかというチェックシートを手作業で作成するには多くの労力が必要です。Tripwire Enterpriseは、いつ、何が変更されたのかというログを簡単に保管できるので、審査への対応も非常に楽になります。今回、トリップワイヤさんには、優れたソリューションを提供してもらいましたが、引き続き同様のサポートをしていただけたらと思います」と今後の期待を述べます。
写真左:取締役CTO 黒木氏、写真右:システム部インフラ課 川端剛史 氏
会社概要
| 商号 |
株式会社電話放送局 |
|---|---|
| 本社 | 大阪府大阪市北区西天満4-8-17 宇治電ビルディング 5F |
| 創業 | 1978年5月 |
| 設立 | 1996年11月 |
| 代表者 |
代表取締役会長 内田 剛 代表取締役社長 森 正行 |
| 資本金 | 7,900万円 |
| 事業内容 |
IVR(自動音声応答)システムを用いたクラウドサービス事業、IVRを中心としたCTI機器システム販売事業、ITコンサルタント事業、ソフトウェア・ソリューション開発事業、SMS(ショートメッセージ)送信サービス事業 |
| URL |
https://www.dhk-net.co.jp/ |
