MySQL正規販売パートナー 株式会社ソフトエイジェンシーはISO27001認証取得企業です

利点

  データセキュリティ、PCI-DSS準拠、低コスト

  P社は、1行のコードも書くことなく、PCI-DSS要件を満たす形で、クレジットカード保有者のデータを透過的に暗号化して、悪意のある特権ユーザの攻撃から保護することができました。

チャレンジ

  P社のビジネス要件として、自動処理できない支払いの手動処理のために、クレジットカード保有者のデータをセキュアな場所から取り出して、マイクロソフトのサーバ上に保存する必要があり、そこが脆弱性としてコンプライアンススタッフから警告を受けるきっかけとなりました。P社は、追加のセキュリティとPCI-DSS要件を実装するためにアプリケーションに変更を加える事に前向きではありませんでしたが、それと同時にその脆弱性は解決しなければならないという事に気づきました。P社の技術管理チームは、その対応のためにさらに自社のソリューションを展開する事には反対でしたが、その脆弱性の解決に向けて、データをセキュアにしてPCI-DSS準拠を可能にし、それがコーポレートスタンダードにもなるソリューションを見つける事を目標としました。

選定状況

  ネットワーク経由で何億ドルも処理するオンラインペイメントゲートウェイとなるために、P社は信頼性のない、あるいは技術的に弱い新しいソリューションを実装するような余裕はありませんでした。その結果、P社は、ベンダー選定プロセスとなると、余計に慎重にならざるを得ませんでした。ビジネス要件を実現するだけでなく、信頼できるベンダーである必要があったからです。

  包括的に注意深く配慮した形で様々な選定委員会で9カ月以上にわたり検討されるにあたり、競合他社が1社ずつ選定対象から外されていき、最終的にパケットジェネラル社が選定されるに至りました。

結果

  非常に多くの攻撃を受ける要素がある既存のマイクロソフトのサーバは、File-GENERALアプライアンスに置き換えられました。File-GENERALアプライアンスの設置により、アプリケーションのユーザに対してと同様に、アプリケーションに対して完全に透過的となりました。デリバリチームが主導して、様々なリモートサイトのチームの運用についてやサポートに関してコーディネートを行い、File-GENERALアプライアンスに必要とされる、セキュリティ・オフィサー、データ管理者、ネットワーク管理者の業務を実施する様々な個人を許可するための、会社からの事前承認が適切に、セキュアになりました。暗号化キーを保持するFIPS-140準拠のパケットジェネラル・スマートカードは、設置作業時に担当部門にセキュアに配布されました。

ユーザへの影響を最小限に

  暗号化されていない状態から暗号化されている状態へのデータの移行はスムーズに完了しました。クレジットカード保有者のデータへのアクセスを必要とするアプリケーションへの変更は不要でした。アプリケーションのユーザは、アプリケーションがアクセスするデータが暗号化された状態に切り替わった事にさえ気づきませんでした。File-GENERAL設置作業全体を通して、暗号化処理のオーバーヘッドによって悪影響を受ける事はありませんでした。

PCI-DSSへの準拠

  P社は、必要な全ての要件をFile-GENERALが満たす事をその設置前にレビューをするために、PCI-DSS準拠に関する自社のエキスパートを動員しました。パケットジェネラル社は、コンプライアンスチームからの様々な要求を満たすために、追加の技術情報の提供を求められました。そのレビュー終了後、コンプライアンスチームはゴーサインを出しました。

概要

  P社は、クレジットカード保有者のデータを保護する戦略的なソリューションを探していたわけではなく、ファイルサーバのデータセキュリティとコンプライアンスのためのコーポレートスタンダードとする事ができるソリューションを探していました。従って、商業的に利用可能なソリューションであるというだけでなく、他の事業部でそこでの要件を満たす形でP社内で利用されている自社ソリューションであるという事を重視した形で、かなりの時間が費やされました。そして、統一されたアプローチが必要とされていた事がP社内で非常に明確になりました。選択されたソリューションは、技術的に信頼性がある事と同様に、費用対効果に優れている必要がありました。File-GENERALはそのような要件全てを満たす、あるいはそれ以上の効果をもたらす事ができました。