IT運用最適化の実現方法に迫る! ニスコムセミナー2015 in 秋葉原 リモートセンターの「セキュアな運用能⼒」のご紹介 セミナー #4 2015.9.10 株式会社エクシード サービス開発グループ 村田 洋朗・紙谷 誠一 © Xseed Co., Ltd. All rights reserved. 目次 1. エクシードの紹介 2. PCI DSSってなに? 3. PCI DSS準拠セキュアマネージドサービスのご紹介 4. まとめ © Xseed Co., Ltd. All rights reserved. 2 1. エクシードの紹介 © Xseed Co., Ltd. All rights reserved. 会社概要 株式会社エクシード (Xseed Co., Ltd.) 設⽴ 2006年9月21日 資本⾦ 7420万円 所在地 東京都品川区東五反田3-20-14 ⾼輪パークタワー7F 電話 03-6422-0021 FAX 03-6422-0022 代表者 代表取締役社⻑ ⽴川 健児 従業員数 65名 (2015年1月末現在) *パートナーを含む:約150名在籍 事業内容 マネージドサービスプロバイダー事業 ITプラットフォームインテグレーション事業 主要株主 ネットワンシステムズ株式会社(100%) 認証資格 ISMS 認証基準:JIS Q 27001:2014(ISO/IEC 27001:2013) 認証番号:ICMS-SR0078 PCI DSS 適合基準:PCI DSS Version3.0 監査対象範囲:「PCIDSS 準拠マネージド・サーバサービス」のためのインフラ © Xseed Co., Ltd. All rights reserved. 4 ニスコムとエクシード(2013年事業提携) ニスコム株式会社 2013年6月27日プレスリリース http://www.niscom.co.jp/topics/2013/topics04.html © Xseed Co., Ltd. All rights reserved. 株式会社エクシード 2013年6月27日プレスリリース http://www.xseed.co.jp/news/docs/20130627.pdf 5 エクシードの歩み(沿革) 「cloudrop」開発・リリース 「myDC」開発・リリース 製品に依存しないクラウド コントローラの開発(プラット フォーム運用の自動化実現) 「Libra」開発・リリース クラウド型サーバサービス の開発(GUIプロビジョニング とオートスケーリングの実現) 国内初のグリッドコンピューティング モデルのサーバサービスの開発 (全GUIプロビジョニング実現) 24h7dシステム エンジニアサービス PCI DSS準拠セキュア マネージドサービス ID管理リモート オペレーションサービス プラットフォームオペレーションサービスの提供 プラットフォームコンサルティング・エンジニアリングサービスの提供 プラットフォーム ホスティング サービス開始 Sep,2006 2007 プラットフォーム レンタルサーバ サービス開始 プラットフォーム ホスティング サービス強化 2008 © Xseed Co., Ltd. All rights reserved. 2009 2010年 ISMS/PCI DSS 認証同時取得(国内初) 2010 2011 2012 2013年 ニスコム株式会社 事業提携 Microsoft Azure パートナー IBM Softlayer パートナー AWSコンサルティング パートナー 2013 2014 2015 6 本日のテーマ 「PCI DSS準拠セキュアマネージドサービス」の提供実績を 通じてリモートセンターのセキュアな運用能力をご紹介します。 © Xseed Co., Ltd. All rights reserved. 7 2. PCI DSSってなに? © Xseed Co., Ltd. All rights reserved. Payment Card Industry Data Security Standard カード発⾏会社・加盟店・決済代⾏事業者等が取り扱うカード会員情報を安全に守るた めに、JCB、アメリカンエキスプレス、 Discover、マスターカード、VISAの国際ペイ メントブランド5社が共同で策定した、ペイメントカード業界におけるグローバルセ キュリティ基準です。 © Xseed Co., Ltd. All rights reserved. 9 PCI DSSが定める6つの目的と12の要件 1 要件1 カード会員データを保護するために、ファイア ウォールをインストールして構成を維持する 要件2 システムパスワードおよび他のセキュリティパ ラメータにベンダ提供のデフォルト値を使用し ない 要件9 2 カード会員データの保護 要件3 保存されるカード会員データを保護する 要件4 オープンな公共ネットワーク経由でカード会員 データを伝送する場合、暗号化する 要件9 3 要件5 要件6 4 安全なネットワークの構築と維持 脆弱性管理プログラムの維持 すべてのシステムをマルウェアから保護し、 ウィルス対策ソフトウェアまたはプログラム を定期的に更新する 安全性の⾼いシステムとアプリケーションを 開発し、保守する PCI DSS 6つの目的と 12の要件 強⼒なアクセス制御⼿法の導⼊ 要件7 カード会員データへのアクセスを、業務上必 要な範囲内に制限する 要件8 システムコンポーネントへのアクセスを確 認・許可する 要件9 カード会員データへの物理アクセスを制限す る 5 要件10 要件11 要件9 6 要件12 ネットワークの定期的な監視 およびテスト ネットワークリソースおよびカード会員 データへのすべてのアクセスを追跡および 監視する セキュリティシステムおよびプロセスを定期 的にテストする 情報セキュリティポリシーの維持 すべての担当者の情報セキュリティに対応する ポリシーを維持する 約300項目の詳細要件に準拠し、それを継続的に維持する運用が必要になります。 © Xseed Co., Ltd. All rights reserved. 10 PCI DSS要件に準拠した運用の具体例(ログ管理) 通常のレベル PCI DSSで求められるレベル PCI DSS基準(要件10)で 管理しなきゃいけない!! 念のためにログを残しておくか どうか。どうしよう? 事項 レベル 事項 レベル 管理基準 お客様の基準 管理基準 変更できないよう保護 する(要件10.5) 管理対象 お客様の判断で選択 管理対象 セキュリティ影響があ る全てのログ(要件10.2) 業務手順 お客様の運用手順 業務手順 PCI DSSに準拠した運 用設計に基づく手順 確認頻度 お客様の基準で決めた タイミングで実施 確認頻度 1日に1回以上のチェッ クが必須(要件10.6.1) (通常は確認しない場合も多い) © Xseed Co., Ltd. All rights reserved. 11 PCI DSS要件に準拠した運用の具体例(その他) ◆ファイアウォール、ルータのルール設定を6か月ごとに⾒直す(要件1.1.7) ◆ベンダー提供のデフォルト値をすべて変更または削除する(要件2.1) ◆管理アクセスを暗号化する(要件2.3) ◆暗号キーを暗号化して厳重に別管理する(要件3.5.2) ◆ウイルススキャンを最新のエンジン、パターンファイルで毎日実施する(要件5.2) ◆アクセス権は「すべて拒否」にしてから業務に必要な個人に設定し、90日ごとに⾒直す(要件7.2) ◆パスワードは90日ごとに変更し、過去4回と同じパスワードは認めないようにする(要件8.2.4、8.2.5) ◆ネットワーク脆弱性検査およびワイヤレスアクセスポイント調査を年4回実施する(要件11.1、11.2) ◆担当者に対するセキュリティ教育の年1回対⾯で⾏い、理解度確認を実施する(要件12.6) ◆インシデント対応計画のテストを年1回実施する(要件12.10) © Xseed Co., Ltd. All rights reserved. 12 3. PCI DSS準拠セキュアマネージドサービスの紹介 © Xseed Co., Ltd. All rights reserved. エクシードが提供するPCI DSS関連サービスの全容 コンサルティング サービス システム設計構築 サービス セキュアマネージドサービス 基本サービス プラットフォーム サービス オプションサービス ファシリティ or ギャップ分析 アドバイザリ システム 設計・構築 侵⼊検知 レポーティング サービス システム監視 文書整備支援 システム 運用設計 ウイルス対策 アカウント 管理 障害対応 教育・研修 クラウド 調達代⾏ 改ざん検知 ログ管理 保守管理 脆弱性検査 脆弱性検査 WEBアプリケー ション保護 運用管理 審査機関紹介 セキュリティ パッチ適用 設定代⾏ クラウド ホスティング セキュリティソフト PCI DSS準拠セキュリティ製品 ※後述紹介 © Xseed Co., Ltd. All rights reserved. 14 PCI DSS準拠セキュアマネージドサービス リモートで24h7dのPCI DSS準拠システム運用をマネージドでご提供 基本サービス オプションサービス 侵⼊検知 レポーティング サービス システム監視 ウイルス対策 アカウント 管理 障害対応 改ざん検知 ログ管理 保守管理 脆弱性検査 WEBアプリケー ション保護 運用管理 セキュリティ パッチ適用 設定代⾏ © Xseed Co., Ltd. All rights reserved. 15 セキュアマネージドサービス提供体制 弊社の専任運用チームにて監視・管理・対応を⾏います エクシード システム環境 導入担当SE 管理 運用担当SE ご担当者様 運用担当者 © Xseed Co., Ltd. All rights reserved. ホスティング クラウド 16 導入効果① ⾯倒な運用から解放されます! PCI DSS準拠セキュアマネージドサービスを利用することにより、インフラ運用部分の要件を当社に お客様はアプリケーション要件に対応いただければ、 PCI DSSの全要件を満たすことが可能となります。 インフラ・システム運用部分をワンストップでサポートします。 インフラシステム 要件 の取得要件 PCI DSS アプリ ケーション 要件 お任せいただき、該当分野におけるお客様の対応を減らすことが可能です! ログ監査、脆弱性検査等のセキュリティ運用 ログ収集、アクセス制御、ウィルスチェック等 のセキュリティ機能の提供 or ファシリティ・基盤部分の提供 Amazon Web Services、AWSおよびAmazon Web Servicesロゴは、Amazon.com, Inc.またはその関連会社の商標です。 © Xseed Co., Ltd. All rights reserved. 17 導入効果② ⽂書管理もしなくて⼤丈夫です! インフラ設定・運用に関するドキュメントは全て弊社にて管理・更新するため、お客様は⾃⾝の対応 範囲におけるドキュメントのみを管理することで維持管理コストを低減できます。 サービス提供範囲のドキュメントは 弊社にて維持管理を実施 © Xseed Co., Ltd. All rights reserved. 18 導入効果③ 導入期間が短縮できます! コンサル、設計構築サービスから利用いただくことでPCI DSSの導⼊期間を短縮します! PCI DSS取得ノウ ハウが無い状態で の取得期間 6か月 システム構築 テンプレートの活用 本サービスをご利 用された場合の取 得期間 当社既存運用 チームによる サービス提供 ポリシー策定や ドキュメント記述 ノウハウの共有 3か月 導⼊期間を50%に短縮可能 ※上記期間は弊社の実績から算出したものであり、お客様のシステム構成によって実際の期間は異なります。 © Xseed Co., Ltd. All rights reserved. 19 リモートセンター設備のセキュリティ エリアA CARD エリアB オフィスエリア。一般レベルのセキュリティ カードで入室可能なエリア。 エリアB オペレーションセンター。 のメンバー のみが専用カードで入室可能なエリア。 エリアC エリアC 特定顧客向けオペレーションセンター。 のメンバーのみが専用カードで 入室可能なエリア。 CARD ※エリアB、エリアCは社長・取締役で あっても理由なき入室は不可能。 エリアA © Xseed Co., Ltd. All rights reserved. 20 4. まとめ © Xseed Co., Ltd. All rights reserved. まとめ セキュアな運用能⼒ 厳格な基準に則して ⾼負荷な運用を まわせる能⼒ PCI DSS認証の継続 PCI DSS準拠セキュア マネージドサービスの 5年間の提供実績 リモートセンターの 堅牢なセキュリティ © Xseed Co., Ltd. All rights reserved. 2010年の認証取得以来、 常に最新規格で認証を継続 更新しております。 5年にわたって厳格な管理 基準に基づく⾼負荷な運用を 提供し続けています。 社⻑・取締役でも承認なしでは 関われないセキュリティレベル で設備管理をしております。 22 さんこう:最近増えている引合の例 今度のSaaSは情報セキュリティの根幹をなす サービスだからお客様もセキュリティを一番 気にしている。 インフラと運用がセキュアだから⼤丈夫、って ことをアピールしたかったんだ。 だからPCI DSS準拠セキュアマネージドサービス を提供実績があるエクシードを選んだんだ。 Case2 WEBプロモーション事業 者様の配信用インフラと 運用の検討の中で。 Case1 SaaS事業者様のインフラと 運用の検討の中で。 いまどきコンテンツ配信をするにあたって、 改ざんや妨害を気にしないお客様はいない。 そんなお客様にインフラ基盤はもちろんだけど 運用もセキュアなんで安心ください、ってアピール したくてPCI DSS準拠セキュアマネージドサービス を提供しているエクシードに相談したんだ。 事業用サービスプラットフォームのセキュリティアピールを目的とした引き合いが増えています! © Xseed Co., Ltd. All rights reserved. 23 おまけ:PCI DSS関連のサービス PCI DSS認証取得 コンサルティングサービス © Xseed Co., Ltd. All rights reserved. PCI DSS準拠 システム設計構築サービス 24 おまけ:運用・クラウド関連のサービス 24h7dシステム エンジニアサービス © Xseed Co., Ltd. All rights reserved. Windows Server 2003 延命サービス 25 Multiple System , Secure Operation.
© Copyright 2025 ExpyDoc
