株式会社ecbeing様
常にPCI DSSを意識した運用が会社全体に浸透し、セキュリティ意識が向上していることを強く感じます
-
株式会社ecbeing 代表取締役社長林 雅也 氏
-
株式会社ecbeing CSIRT部長代理加藤 新 氏
導入事例のポイント
-
オンサイト審査の負担軽減と運用業務の可視化・平準化を期待
-
社内全体で日常業務の中にPCI DSSの考え方が浸透
-
実地審査はクラウドによる運用証跡の事前確認で拘束時間を8割削減
ecbeing様の事業の概要
B2C、B2B向けのECサイト構築パッケージを、ECの専用のインフラ環境と一緒にご提供しています。国内ECサイト構築・リニューアル実績では12年連続シェア1位の評価をいただいており、1,300社以上の導入実績があります。ECサイトで必要となるさまざまな機能を「マイクロサービス」としてご用意しており、必要なものを選んでいただくことでお客様のニーズに合わせたサイトを構築いただけるのが特徴です。
2016年の割賦販売法改正により、EC加盟店にもクレジットカード情報保護義務が課せられました。これに対応して、2017年4月からオプションでご利用いただけるPCI DSS対応環境のご提供を開始しています。
fjコンサルティングには、PCI DSSで要求されるクレジットカード情報流出事件を想定したインシデント対応演習をお願いしたことがきっかけで、PCI DSS準拠運用についてもコンサルティングをお願いするようになりました。月1回の定例会で不明点や課題を相談しながら日々の運用を社内で行ってきました。
PCI DSS関連業務量の偏りで他の業務に支障
PCI DSSの運用や審査対応は兼任のセキュリティエンジニアが担当しています。社内にはインフラエンジニア、セキュリティエンジニアのチームがありますが、月次の証跡取得や審査対応は担当者がすべて行っています。
他の業務との兼ね合いでPCI DSS関連の業務は時間がある時にまとめて行うことになるため、計画的な作業が難しく、必要な作業がきちんと可視化できていませんでした。また、日常業務の中にPCI DSSの考え方を入れ込んでいくBAU(Business As Usual)ができていませんでした。
審査時には2ヶ月前から必要なドキュメントを確認し、5日間の実地審査の後、指摘事項を1ヶ月かけて修正するという対応をしていました。実地審査の間は他のことが何もできないため、兼任している業務に支障をきたしていました。
fjコンサルティングとのコンサルティング定例会議でオンクラウドレビューを紹介いただきました。運用の証跡や文書をクラウド上で確認していただけるのが、ありがたいということ、また実地審査の期間が短縮され、準拠にかかる費用も下がるということで、ご提案をお断りする理由が見つかりませんでした。
会社はPCI DSS準拠・運用のコストが下がることに一番のメリットを感じていました。運用担当者は、業務が平準化され実地審査の拘束時間が短縮されることに加え、運用時の課題が可視化され業務を計画的に行えることや、定期的にコンサルタントに運用状況を確認してもらえることで優先順位や対応すべきことのバランス良い判断ができることを期待しました。
BAUの浸透で社内全体のセキュリティが向上
オンクラウドレビューの利用を2020年5月から開始し、課題の可視化や業務の平準化については、期待どおりの効果があると感じました。想定外だったのは、オンクラウドレビューの導入により常に社内の多くのメンバーがPCI DSSを意識するようになり、自然とBAUの考え方を取り入れたセキュリティ運用ができるようになってきたことです。
PCI DSSで必要とされる「ログを取る」「文書化する」「変更管理の証跡をとる」といったことが、インフラ部門の末端まで浸透してきています。そこから派生して、何か必要な情報を得る時には「証跡を下さい」という習慣が社内全体に広がっています。会社全体としてセキュリティ意識が向上していることを強く感じます。
2021年3月に、オンクラウドレビュー導入後最初の実地審査がありました。今までの実地審査は、まず各種証跡をその場でQSA審査員に見せて、確認しながらヒアリングを行っていましたが、オンクラウドレビューでは事前にQSAによる証跡確認を済ませた状態で審査に臨めます。
結果、とてもスムーズに確認を進められて、2拠点の現地確認を各1−2時間とヒアリングが2時間で終わりました。これまでは5日間まるまる拘束されていたのが、所要時間が8割減ったことになります。事前に確認できることで、こんなにも違うのかと驚きました。
クラウド活用で社内の情報共有もスムーズに
今までも月次の定例会議でPCI DSSの運用について相談していましたが、オンクラウドレビューを導入したことで、いつでも質問や相談ができる場所があることが安心感につながっています。インフラ担当者も専用のクラウドサービスにユーザー登録して、ログや証跡を直接アップロードしたり、コンサルタントやQSAによる確認の様子を直接見てもらえますので、社内でのデータのやり取りや指示伝達の手間も減らすことができています。
今回、オンクラウドレビューを導入したことで、PCI DSS運用と審査をワンストップでお願いできるようになりましたので、今後は脆弱性スキャンやペネトレーションテストなどの診断についてもワンストップ化をはかりたく、内製化を含めて検討したいと考えています。2022年にはPCI DSS v4.0のリリースがありますから、移行についても相談していきたいですね。