IR 情報

お問い合わせ

サイバートラスト 製品サービス 導入事例

クレジットカード情報セキュリティの国際基準「PCI DSS」準拠の監視サービスに「MIRACLE ZBX」を採用

事例企業: 株式会社リンク

業種:ソフトウェア・情報通信・IT   規模:50~300人

事例カテゴリ:可用性向上

目的: 「PCI DSS Ready Cloud」の提供に向けた監視機能の実装

採用製品: MIRACLE ZBX MIRACLE ZBX ウェブサイト

導入前の課題

既存の監視ソリューションでは PCI DSS 標準を満たすのが難しく、サービス導入顧客は別の方法で対策する代替コントロール を適用する必要があった。顧客側のワークアラウンド対応となり、負荷軽減の方法を模索していた。サポート終了を機に乗り換えを検討した「Zabbix」は PCI DSS 要件を満たすにはセキュリティ要件をクリアできず、運用ノウハウはあるものの監視機能を提供するには不完全な状態だった。

導入の目的・解決手段

乗り換え先の検討対象に上がった「Zabbix」で不足する機能を満たすため、サポート面が手厚いベンダーを探していたところ、「Zabbix」をベースとした監視ソリューション「MIRACLE ZBX」を持つサイバートラストに行き着いた。不足した機能は個別のカスタマイズでサイバートラストが対応することで解決した。

導入効果

「PCI DSS Ready Cloud」の監視マネージャサービスとして代替コントロールが不要となり、PCI DSS 対応としては満点の出来と評価している。現状はまだフル機能を必要とする顧客企業は少ないものの、今後コロナ禍におけるクラウドシフトや PCI DSS 要件の適用強化により、サービス利用顧客の増加を見込んでいる。

株式会社リンク(以下、リンク)は、PCI DSS に準拠するために必要なリソースをすべてクラウドで提供する「PCI DSS Ready Cloud」など、さまざまなクレジットカードのセキュリティ対策サービスを提供しています。今回、事業者の運用コストを大幅に削減する「PCI DSS マネージド・サービス」でサイバートラスト社の MIRACLE ZBX を採用しました。

厳しいセキュリティ要件とカスタマイズ要求で「MIRACLE ZBX」を選定

リンクのセキュリティプラットフォーム事業は「PCI DSS Ready Cloud」などのサービス名称からも分かるように、クレジットカード情報を扱う事業者が、PCI DSS に準拠するために必要なリソースを満たした、高いセキュリティ要件をもったクラウドサービスを提供しています。PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカードを扱う加盟店やサービスプロバイダーにおいて、カードにまつわる情報を安全に取り扱うことを目的とした業界標準のセキュリティ基準であり、国際カードブランド 5 社(American Express、Discover、JCB、Mastercard、Visa)が共同設立した PCI SSC(Payment Card Industry Security Standards Council)によって運用されています。昨今急増するクレジットカード情報を悪用した犯罪に対抗するため、サービス事業者はもちろんのこと、改正割賦販売法が施行された 2018 年 6 月以降は POS でカード情報連携を行う加盟店についても PCI DSS 準拠などの対応が求められ、クレジットカードセキュリティ対応が幅広く義務付けられています。

このように日本の決済シーンにおいて PCI DSS 対応は重要な意味をもつものの、それに必要なリソースをすべて備えたサービスはこれまで存在せず、カード情報を取り扱うサービスプロバイダー各社は独自にツールを組み合わせ、必要な条件を満たしていたというのが現状です。今回リンクは監視機能提供にあたり、サイバートラストの MIRACLE ZBX を採用し、PCI DSS 準拠に必要な機能を一通り備えたサービスを実現しています。

セキュリティプラットフォーム事業部 事業部長の滝村 享嗣氏は「事業部内で従来利用していたいた製品に課題があり、サポート期間終了に合わせてリプレイス可能な製品を選定していたところ、それを解決できるのが MIRACLE ZBX だと分かり、サイバートラストとの交渉を進めていました。ただし検証を進めた結果、新しい要素を追加しないと求めるサービス基準には達しなかったため、サイバートラストとの交渉でカスタマイズという形で対応していただき、実装に漕ぎつけました」と説明します。

具体的にどういった課題があったのか、同事業部マネージャーの傳田 直也氏は次のように話します。「PCI DSS の非常に厳しい要件を満たすシステムを提供するのがわれわれのサービスですが、その中にオプションとして監視サーバーの仕組みがあり、従来の製品ではセキュリティ面での対応がいまひとつでした。サポート終了を機会に乗り換えるべき対応製品を探していたところ、サイバートラストの MIRACLE ZBX がコストと規模感で最適だと判断しました。もともと別の事業部を通じて付き合いのある会社でもあり、カスタマイズに対する要望にも非常に前向きに取り組んでいただけました」(傳田氏)

OSS を監視ソフトに使うという選択肢

監視ソフトウェアは商用と無償版含めて市場に数多存在する中、オープンソースソフトウェア(OSS)の世界において「Zabbix」は 20 年近い歴史を有しており、実績もあり一目置かれています。MIRACLE ZBX は、この「Zabbix」をベースにサイバートラストが独自開発したエンタープライズ用途に特化した統合システム監視ソリューションであり、米国の政府調達要件である「NIST SP800-171」および「NIST SP800-53」のセキュリティガイドラインに準拠した製品として 2021 年 3 月に機能強化されています。最新版の MIRACLE ZBX では、「NIST SP800-171」の 3.1 アクセス制御、3.3 監査と責任追跡性、3.13 システムと通信の保護と、「NIST SP800-53」の 3.1 アクセス制御、3.3 監査と責任追跡性、3.18: システムと通信の保護に準拠して、監査ログの出力や設定ファイルの DB 暗号化など、監査対応などの運用面での利便性向上とセキュリティ面での機能強化を実装しています。

「Zabbix は監視ソフトウェアの世界ではデファクトスタンダードです。われわれのお客様は技術に明るい方が多いので Zabbix をすでに利用されている方も多くいます。ただ、きちんと OSS でシステムを構築しようとすると非常に難しい。リンクでは以前より社内サーバーの監視に Zabbix を利用しており、経験者も多くナレッジが蓄積されていたことも大きいと思います。ただ、通常の Zabbix では PCI DSS 対応では不十分な面があり、われわれでカスタマイズを行うとなると工数や保守の面でハードルが大きい。こうした点から有償サポートを提供しており、サポートが手厚いベンダーを探していたところ、サイバートラストさんに突き当たったというわけです」と傳田氏が導入の経緯を説明します。

同事業部の石里 政憲氏は「OSS というのはバグが多いイメージがあり、検証していくうえでいろいろ不安はありましたが、そのあたりの管理ノウハウをサイバートラストさんがもっていたこともあり、細かく対応していただくことができ、安心して頼ることができました。まだ現状で MIRACLE ZBX を用いた「PCI DSS Ready Cloud」の導入実績件数は少ない状態ですが、お客さまから、さまざまな質問をいただいており、このあたりの対応もお任せすることができます」と述べている。

「MIRACLE ZBX は通常の Zabbix が持っていない PCI DSS 対応における手動作業の負荷を低減する役割が大きく、他のセキュリティガイドラインでは細かい要件が変わってきますが、PCI DSS に関していえばほぼ満点の対応といえます。通常の Zabbix ですと PCI DSS 準拠を満たせない部分も多いので、使用されている方は追加のカスタマイズや運用に苦労されているかと思います。2021 年末に PCI DSS のバージョン 4.0 が公開される予定です。最新の PCI DSS ではさらに追加の対応が必要になる可能性がありますが、サイバートラスト社から引き続き対応していくコメントをいただいているので安心です」(傳田氏)

コロナ禍で加速するクラウドシフトと MIRACLE ZBX

リンクが「PCI DSS Ready Cloud」でターゲットとするのは、カード情報を取り扱う事業者全般だ。滝村氏は「銀行系カード会社、決済代行、そうした事業者にアウトソーシングでサービスを提供している事業者、SIer、ATM の販売会社など、顧客はさまざまです。既存の金融機関とスタートアップ・ベンチャー系でそれぞれ半々くらいでしょうか。EC 専業事業者や EC システム提供事業者、クレジットカードのマーケティング事業者、外国人向けカードサービスや、需要に応じて価格を決めるダイナミックプライシングの事業者、ホテルの予約管理のサービス事業者なども広く利用されています。コロナ禍で顕著だったのはオンプレミスからクラウドという流れで、クラウド化によりハードウェアのメンテナンス作業がなくなり、在宅対応が容易となることもあり、問い合わせが増えている状況です。特に PCI DSS だと運用を毎日きちんと行う必要があるため、オンプレミスではその負担が大きく、クラウド化により工数やコストを大幅に削減できるようになります」と説明します。

傳田氏も「従来まではオンプレミスの利用が多かったですが、やはりクラウドでやりたいという声は増えています。最近はコロナの影響なのか AWS でやりたいという相談がきており、そこで当社のシステムを使いたいという例も増えてきました」と加えており、銀行のような比較的大きな顧客においても AWS 利用に非常に興味をもち始めているというトレンドを示します。「以前であれば大手はプライベートクラウド、ベンチャー系は AWS という区分けがありましたが、2020 年末あたりから『今年はクラウドだね』という話が盛り上がっており、最近は金融機関であっても AWS のクラウドを選ばれるケースが増えてきました。ただ、AWS の監視だけだと不十分なこともあり、そこで MIRACLE ZBX が登場するわけです。何よりサポートがあるというのも大きいです」(滝村氏)

「AWS 環境の監視を考えた場合、第一の選択肢は AWS が提供している CloudWatch での監視になるかと思います。ただし CloudWatch では AWS 内の監視しかできません。われわれのお客様は AWS を使っていても専用線でオンプレミスの環境と接続しているケースが多く、その場合は AWS・オンプレミス両方の監視が可能な Zabbix が視野に入ってきます」(傳田氏)

今後、サイバートラストへの期待を込めて滝村氏は「今回 MIRACLE ZBX の PCI DSS 版の開発をしていただき、いろいろわがままをいわせていただいたが、前向きに検討していただいたことを感謝しています。サイバートラストのチャレンジしていく企業姿勢を見習っていきたいとわれわれも感じており、お互いイノベーションを実現していければと思います」と締めています。サイバートラストは、リンク社の「PCI DSS Ready Cloud」向けに行ったカスタマイズを製品に取り込み、仮想アプライアンス「MIRACLE ZBX Virtual Appliance V5.0」として提供しています。

代替コントロールとは:具体的な技術基準として掲げられた要件通りに対応するのが難しい場合に、要件の目的に合わせて、別の手段によって要件に関するリスクを十分に軽減する方策。

導入企業様のご紹介
株式会社リンク
クレジットカード情報を取り扱う事業者向けクラウドサービス「PCI DSS Ready Cloud」、クレジットカードのセキュリティ対策サービスや 1,700 社超の導入実績を誇る No.1 クラウド型コールセンターシステム「BIZTEL」など、さまざまなインターネット関連サービスを提供しています。 https://www.link.co.jp
この事例の製品・サービスのウェブサイト

MIRACLE ZBX

この事例に関連のある他の事例

監視機能と監視画面の一元化により運用コストを抑えた監視基盤を実現

三菱電機インフォメーションネットワーク

AWS 環境における安定したシステム監視環境と柔軟で拡張性のある監視を実現し、導入・運用コストを削減

大手システムインテグレーター 様

3,000 台規模のネットワーク機器の監視を、必要なソフトウェアを最適値にチューニング済のアプライアンスにより効率的に短期間で構築

大手システムインテグレーター 様

事例一覧へ

すべての事例を参照

デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS