ビジネスラリアート株式会社様
実地審査の時間が従来の2割以下、コストも削減でき、オンクラウドレビューなしのPCI DSS運用には戻れないと感じています
-
ビジネスラリアート株式会社 代表取締役中西 俊之 氏
-
ビジネスラリアート株式会社 取締役内田 妥与 氏
導入事例のポイント
-
オンサイト審査の時間短縮を期待してオンクラウドレビューを導入
-
5日間全日拘束されていた実地での審査が3時間×2日に短縮
-
事前のクラウドによる証跡確認で偏りなくバランス良い審査を実現
ビジネスラリアート様の事業の概要
システム開発とウェブ制作からスタートして、インターネットに関するサービスすべてをワンストップでご提供できるようサービスラインナップを増やしてきました。ドメインのレジストリ・レジストラ事業、レンタルサーバー事業、ECカートのASPサービスなどを展開していく中で、決済サービスも必要となったことから、決済代行事業も手掛けるようになりました。現在は、オンライン決済だけでなく、自社開発の決済端末による対面決済も提供しています。
1週間拘束される毎年の審査が大きな負担に
決済端末開発についてfjコンサルティングの瀬田CEOに相談したのがきっかけで、セキュリティ向上のための施策としてPCI DSS準拠の検討をはじめました。当時は準拠が義務ではなかったのですが、セキュリティに注力したいという経営判断のもと、fjコンサルティングの支援を受けて準拠を進めることになりました。
準拠を決めてから当初契約したQSA(審査会社)による初回の審査が終わるまでは1年以上かかりました。最初のオンサイト審査は、5日間みっちり行われた審査員のチェックとインタビューで対応者は気が抜けず、終わった後は放心状態だったことを覚えています。
2年目以降のセキュリティ運用は、子会社のBRクラウド(沖縄)が行っています。定期運用については、fjコンサルティングのコンサルティングサービスを継続して利用し、月1回の定例会で運用の実施状況の確認や、都度の課題についてアドバイスをいただいていました。QSAの審査対象となる環境は東京にありますので、年1回の実地審査時には沖縄から技術者が東京に出張して対応していました。審査のたびに2−3名の技術者が上京するため、スケジュールの調整が難しく、またおよそ5日間の審査期間中は全日拘束となるため他の業務がすべてストップすることが毎年大きな負担となっていました。
事前確認で実地での審査時間を2割以下に削減
2020年3月にfjコンサルティングの「オンクラウドレビュー」の紹介をいただき、最も魅力に感じたのは、実地審査で1週間エンジニアが缶詰になる必要がなくなることでした。それだけで、このサービスを利用する価値はあると感じ、導入を即決しました。
2020年の夏からオンクラウドレビューにより、セキュリティ運用状況の確認を開始しました。日々の運用証跡や文書は、随時、専用のクラウドサービス上にアップロードして、fjコンサルティングのコンサルタントの確認を受け保存しています。保存した証跡は、fjコンサルティングが提携するQSAの審査員もコンサルタントのレビュー後にクラウドサービス上で確認します。質疑についてもオンラインでのやりとりで実地審査前に確認を済ませていただけます。
その結果、オンクラウドレビュー導入後の実地審査は3時間×2日、合計6時間で済みました。従来に比べると2割以下の時間で済んだことになります。実地審査日数が短縮されたので、審査のコストも大幅に削減することができました。
審査の見える化でセキュリティ向上
オンクラウドレビューでは、運用証跡としてログや画面のキャプチャをすべてクラウドサービス上に保存しています。保存したものをコンサルタントやQSAの審査員に確認していただく中で、以前の審査では指摘されなかった点をより細かく指摘いただくなど、運用の改善にもつながっています。
従来のオンサイト審査では審査員が現地で画面を見ながら審査を行っていたため、審査の流れや時間の都合で審査の粒度に濃淡ができ、全てをまんべんなくチェックできていなかったところもありました。オンクラウドレビューでは、実地審査の前にクラウドサービス上でコンサルタントのみならずQSAの審査員とも質疑ができるので、時間の制約を受けず、丁寧に確認していただくことが可能です。
また、審査の内容や進捗が見える化されることも大きな利点だと考えています。担当者全員が審査の内容を共有できるので、何を確認されるのかがわかり、振り返りもしやすくなっています。多くの人の目がある場所でやりとりが行われることで、審査対応の属人化の防止につながり、セキュリティが向上すると期待しています。
運用の精度と審査の質が向上して、なおかつ審査のコストと負担が削減でき、とても満足しています。オンクラウドレビューなしでPCI DSS運用をしていた頃には戻れないと感じています。
弊社関連サービスのご案内