Security-General

米国大手レベル1サービスプロバイダ(A社)

PCI-GENERALでMySQLのデータを保護してPCI-DSS準拠を達成

企業情報 :

  ニューヨークに本拠を置くA社は、世界的なインターネット サービス アンド メディア カンパニーです。A社は、毎月50億ページビューを超えるアメリカ合衆国の3大有名Webサイトの1つです。

目標 :

  PCI-DSS準拠

ソリューション :

  PCI-GENERAL

設置 :

  地理的に3ヶ所に分散されたデータセンターへのPCI-GENERALアプライアンスの設置は2ヶ月とかかりませんでした。クレジットカード保有者のデータを暗号化するために、アプリケーションへの修正は一切必要ありませんでした。

利点

  PCI-DSS未準拠状態の緩和、データセキュリティ、毎月の追加費用の解消


チャレンジ

  A社がPCI-DSS準拠に不適合となった。MySQLデータベースに保存されているトランザクションデータの保護が不十分であったことが理由として指摘されました。改善条件に従って、A社はその問題を解決するために9ヶ月与えられることに。A社はすでに自社のアプリケーションを使って、クレジットカード保有者のデータの暗号化を行っていたにもかかわらず、監査人からの指摘は幅広い範囲に及んでいました。クレジットカード保有者のデータへのアクセスがコントロールされていない、適切な鍵管理が行われていない、パスワードのローテーションが自動化されていない、ログがセキュアでない。

  MySQLを、よりよいビルドインセキュリティが備わっている他のデータベースに置き換えるにはコストがかかり過ぎでした。置き換える製品の購入コストは一部に過ぎず、コストの多くはデータベース切り替え時に必須となるアプリケーション修正に関するものでした。それに続き、A社社内での論議がその問題への迅速な対応を遅らせる結果となり、A社は各クレジットカードブランドへの罰金の支払いを課せられることになりました。PCI-DSS未準拠による追加費用の発生や優遇利率の損失は、A社にとって結果的に1ヶ月あたり150,000ドルをはるかに超えるものとなりました。


経緯

  この問題への迅速な対応策を見つけるために、A社はプロジェクト管理のプロフェッショナルとともに、MySQLデータベースの管理を担当している部署のメンバーと、自社のIT危機管理グループのプロフェッショナルを含む特別委員会を設置。特別委員会は熱心に解決策を探しましたが、求めている要件を満たすものは市場にはなく失望するだけでした。そして、パケットジェネラル社を推奨するサン・マイクロシステムズ社に着目することになります。


暗号化処理のオーバーヘッドについての懸念

  運用チームは暗号化処理のオーバーヘッドを懸念しており、ブランド名を汚すような悪影響を顧客に与えないようにすることを断固として主張していました。A社は大きなデータセットを持っているだけでなく、そのWebトラフィックは、24時間の中で大きく変動しました。幸いにも、PCI-GENERALは高いトランザクション量を処理するために設計されたものでした。

  PCI-GENERALの柔軟な設計は、A社がMySQLデータベースを選択的に暗号化することを可能にし、性能面において暗号化されるデータが運用に影響を与えることはなく、運用チームはその結果に喜びました。


要求された機能を素早く実現

  PCI-GENERALはロール(役割)ベースのプラットフォーム管理を採用しており、MySQLアドミニストレーター(DBA)と、システムアドミニストレーター(特権ユーザーあるいは"root"ユーザー)の役割分担を明確にしています。PCI-GENERALは、保護されたMySQLデータを特権ユーザーが閲覧することは許可していません。ログファイルは暗号化署名されて暗号化された場所に保管されます。

  PCI-GENERALは、PCI-GENERALの信頼モデルとして、"データ・アドミニストレーター"と信頼した相手からのみのシェルアクセスを許可しています。A社は、MySQLアプライアンスのセキュリティをさらに強化するために、シェルアクセスの利用者に2要素認証デバイスによる認証を受けることを要求し、迅速にその要求を実現するために、パケットジェネラルのスマートカードを採用しました。


デプロイと移行

  A社は、地理的に分散された場所に複数のデータセンターをもっています。PCI-GENERALアプライアンスへのデータのデプロイと移行は懸念事項であり、挑戦でした。また、A社は、自社のサービスデリバリーに誇りをもっていたため、サービスを中断させずにデプロイと移行を確実に行うことに対してさらにプレッシャーを感じていました。結果的にPCI-GENERALアプライアンスへの移行はスムーズに行うことができました。


結果

  PCI-DSSへの準拠は1回限りのものではなく、継続してそのデータセキュリティの状態を証明していく責任です。これはA社でPCI-DSS準拠のために自社のIT危機管理グループが主導的立場をとったことからもわかります。特別委員会は、パケットジェネラル社のヘルプを得て、PCI-GENERALの機能群を様々なPCI-DSS要件にマッピングしました。また、クレジットカード保有者のデータをセキュアに保つための新しいポリシーを発表し、監査人に示すための、製品のスクリーンショットを含む適切な文書作成を行いました。A社は記録的な速さでPCI-DSS準拠を達成しました。


概要

  全てのPCI-GENERALアプライアンスが評価段階から運用に入るまでの全体的な工程として、2ヶ月はかかりませんでした。PCI-GENERALにより、MySQLサーバ内のクレジットカード保有者のデータをセキュアにするためのアプリケーションの変更は不要でした。A社はPCI-DSS準拠の達成により、1ヶ月あたり150,000ドル以上の費用減を実現しました。PCI-GENERALは、PCI-DSS要件への準拠を可能にするために設計されたMySQLサーバアプライアンスであり、A社はそれを十分に活用することができました。


  • 株式会社ソフトエイジェンシー
  • 〒323-0820 栃木県小山市西城南5丁目16番地9
  • TEL: 050-5505-5509 FAX: 0285-31-5845
company information

MySQL正規販売パートナー株式会社ソフトエイジェンシーはISO27001認証取得企業です。
SoftAgency®は株式会社ソフトエイジェンシーの登録商標です。


SoftAgencyは、株式会社ソフトエイジェンシーの登録商標です。
OracleとJavaは、Oracle Corporation 及 びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。