EC 加盟店向けの PCI DSS 準拠対応、業務量平準化と運用課題の可視化を同時に実現
事例企業: EC システム提供会社
業種:ソフトウェア・情報通信・IT 規模:50~300人
事例カテゴリ:法令準拠
目的: PCI DSS の運用
導入前の課題
2016 年の割賦販売法改正で EC 加盟店にもクレジットカード情報保護義務が課せられたため、PCI DSS 準拠を希望される EC 加盟店向けのオプションとして PCI DSS 対応環境を提供している。PCI DSS の月次の運用証跡取得や審査対応は兼任のセキュリティエンジニアが担当している。他の業務との兼ね合いで PCI DSS 関連の業務は時間があるときにまとめて行うため、計画的な作業が難しかった。また、審査時には 2 ヶ月前からドキュメントを準備し、5 日間の実地審査後に指摘事項を修正するという対応をしており、兼任している業務に支障をきたしていた。
導入の目的・解決手段
PCI DSS 運用と審査のトータルコスト削減、および運用担当者の業務量平準化と実地審査のための拘束時間削減を目的に、PCI DSS 審査支援サービス(オンクラウドレビュー®)を導入した。クラウドサービスを利用した運用証跡の確認により運用時の課題が可視化されること、またコンサルタントによる運用状況の確認で、優先順位の明確化やバランス良い対応ができることを期待した。
導入効果
認定セキュリティ評価機関(QSA)の審査員が事前に運用証跡を確認してから実地審査に臨めたことで、2 拠点の現地確認とヒアリングを合わせて 1 日で終えることができ、実地審査の所要時間が 8 割削減できた。インフラエンジニアにもクラウドサービスのアカウントを発行してログや運用証跡のアップロード、コンサルタントや QSA による確認を直接見られるようにした。結果、PCI DSS 担当者の業務が平準化されただけでなく、従来社内でのデータのやり取りや指示伝達に手間がかかっていた手間を大幅に減らすことができた。