CUSTOMER SUCCESS STORY 導入事例 PCI DSS 対応の安全なプラットフォームで クレジットカード加盟店の 集客支援ビジネスを本格始動へ Before CLO プラットフォームサービス「CardSpring」の日本での立ち上げに際し、 サービス・インフラの PCI DSS 対応が急務となった After Trend Micro Deep SecurityTM の導入が、短期間・低コストでの PCI DSS 対応を支援。CardSpring 事業を本格始動させる態勢を整えた 【導入の背景・課題】 40 年以上の歴史を有する大手システムインテグレーター、TIS。同社は、クレジットカード・決 済のシステムに関しても豊富なノウハウと卓越した技術力を持ち、その強みを活かした新サービ >> TIS 株式会社 スとして、米国カードスプリング社のクラウドサービス「CardSpring」の日本での展開を決めた。 CardSpring は、PaaS(Platform as a Service)型 の「CLO(Card Linked Offer)」サ ービ 業種 情報サービス スであり、デジタルクーポンと クレジットカードの利用情報を結び付け、カード利用者に対するイ 従業員 6,077 名(20 1 4 年 4 月 1 日現在) ンセンティブ(割引・ポイント付与など)の提供を可能にする。利用者が従来のようにクーポンを 地域 東京都、日本 お客様の課題 決済分野での技術力・ノウハウを活かし た新規事 業として、米国カードスプリン グ 社 の CLO プ ラットフォームサー ビ ス 「CardSpring」を日本で展開することに なった ● CardSpring サービスの日本での立ち上 げ に 際して、サ ービ ス・インフラ の PCI DSS 対応が必須となり、可能な限り、短期 間・低コストで PCI DSS 認定を取得する 必要に迫られた ● 導入製品・ソリューション ● Trend Micro Deep SecurityTM 導入効果 ● 1 つの製品で、多くの PCI DSS 要件への対 応 を 支 援 できる Deep Security を 活 用、 約 6 カ月 間 で PCI DSS 認 定 を 取 得。PCI DSS 対応のために導入する製品数・コスト も必要最低限に抑えられた PCI DSS 要件に含まれるウイルス対策・ 変更監視などのセキュリティ・オペレーショ ンを 1 つの管理サーバから実行。運用の簡 素化やサーバ・リソースの有効活用が実 現された ● トレンドマイクロの 「推 奨 スキャン」で、 システムに潜 在 する脆 弱 性を自 動で検 知。仮 想 パッチ機 能によるセキュリティ パッチ適用の効率化も実現された 印刷して持参する必要がなくなるという利便性から CLO への期待は高まっており、TIS は、ペイ メントプロセッサー( 決済事業者 )やメディア事業社との連携・協業を推し進め、どの店舗、どの カードでも使えるサービスを目指しているという。また、加盟店もクーポン利用者の属性(新規 /リピーター、来訪回数等)をとらえられるようになり、クーポン配布対象の絞り込みやクーポン 効果の測定なども的確に行えるようになるという。 このように、CardSpring はカード加盟店の集客施策の先鋭化・最適化に極めて有効な基盤だ が、そのインフラ上では多くのカード情報が扱われ、セキュリティには万全を期すことが求められ る。加えて、CardSpring のサービスは、米国 CardSpring とのデータ連携によって実現される も の で も あり、日 本 で の 展 開 に 際してカードスプリング 側 が 求 めるセ キュリティ要 件 に CardSpring の国内インフラを対応させる必要があった。その要件が、PCI DSS※ 1 への準拠だ。 「つまり、PCI DSS 認定を取得しないかぎり、CardSpring のサービスを日本で立ち上げることは できなかったのです」と、TIS で CardSpring 事業を担当するアドバンストソリューション事業部の 吉川 大亮氏は振り返る。この重要命題を遂行する一手として、TIS が採用したのがトレンドマイク 」だった。 ロの「Trend Micro Deep SecurityTM(以下、Deep Security) CardSpringプラットフォームの概要図 ● データセンター 仮想基盤 Deep Security エージェント Web IPS 決済パートナー DB サーバ CardSpring WAF ファイア ウォール サーバ DB Web サーバ サーバ Deep Security マネージャー ※ 1 :PCI DSS は、 「Payment Card Industry Data Security Standard」 の略。 クレジットカード・データのセキュリティを確保するための国際標準規格。 Page 1 of 2 • Customer Success Story • TIS 株式会社 CUSTOMER SUCCESS STORY 導入事例 【選定理由・導入ソリューション】 CardSpring の国内インフラを PCI DSS に対応させるに際して、吉川氏らが全面的な協力を仰 いだのは、TIS の IT 基盤サービス部門だ。同部門は、IT インフラの設計・構築・運用などを手が ける組織であり、PCI DSS 認定取得のコンサルティング・サービスも社内外に向けて提供してい る。その部門が「可能な限り手間とコストをかけずに PCI DSS 対応を実現したい」との要請に従っ て選定したセキュリティソリューションの 1 つが、Deep Security だ。現在、CardSpring の国内イ ンフラでは、基幹サーバのすべてに Deep Security のエージェントが組み込まれ、ウイルス対策 TIS 株式会社 アドバンストソリューション事業部 アドバンストソリューション事業総括部 モバイルプラットフォーム推進室 吉川 大亮 氏 「PCI DSS 認定の取得という大きなタスクを遂 行するうえで、複数の PCI DSS 要件に対応して いるDeep Security は非常に有用でした。この 製品があって本当に助かりました」 や変更監視(重要ファイルの改ざん防止) 、仮想パッチ適用(IPS/IDS 機能を通じた脆弱性対策) など、複数の PCI DSS 要件に対応するセキュリティ施策が包括的に講じられている。 IT 基盤サービス本部の江口 哲平氏は、PCI DSS ソリューションとしての Deep Security の利 点を次のように説く。 「通常、PCI DSS 準拠などを目的に改ざん防止やウイルス対策などの施策を講じようとすると、 施策ごとに個別のツールの導入が必要とされ、導入・運用の負担が増すばかりか、管理サーバも ツールごとに設置しなければなりません。対する Deep Security の場合、1 つの製品で複数の PCI DSS 要件をカバーでき、複数の対策を 1 つの管理サーバから管理・運用することができます。 そのため、導入・運用負担も少なく、セキュリティ確保のために多くの IT リソースを割く必要もな TIS 株式会社 IT 基盤サービス本部 IT 基盤サービス第 1 事業部 IT 基盤サービス第4部 主任 宮崎 優 氏 「Deep Security は優れた統合型サ ーバセ キュリティソリューションですが、導入支援の 技術セミナーやドキュメント類など、製品に 付随する情報・サービスも充実しています。 それも、競合製品に比した Deep Security のアドバンテージです」 なお、CardSpring の国内インフラは、TIS が管理・運用するデータセンター内に配備されて おり、ネットワーク全体はファイアウォール・アプライアンスや IPS アプライアンスなどによって保 護されている。この構成の中で、TIS は Deep Security の IPS 機能も用いているが、その理由に ついて、IT 基盤サービス本部の宮崎 優氏は以下のように説明する。 「例えば、ホスト型の Deep Security の IPS 機能を使えば、SSL で暗号化された通信など、ネッ トワーク上の IPS アプライアンスで捕捉しづらい攻撃も検知、対応することが可能です。要する に、アプライアンスだけでは足りない部分を Deep Security で補完し、全体のセキュリティ強度 を高めているということです」 TIS 株式会社 IT 基盤サービス本部 IT 基盤サービス第 1 事業部 IT 基盤サービス第4部 江口 哲平 くなるのです」 氏 「Deep Security は、多岐にわたる機 能 が 1 つの製品にまとめられており、1 つの管理 サーバで多くのセキュリティ要件に対応して います。そのため、導入・運用負担も最小 【導入効果】 Deep Security の 導 入・活 用によって、TIS は CardSpring インフラの PCI DSS 対 応(PCI DSS 認定取得)を約 6 カ月間で完了させ、20 1 4 年 1 2 月 1 日から同インフラの運用を始動させて いる。その結果を踏まえ、吉川氏は Deep Security の導入メリットについて改めてこう話す。 「我々にとっては、PCI DSS 認定の取得は非常に大きなタスクでした。それが滞りなく遂行でき たのは、Deep Security の活用で多くの PCI DSS 要件をカバーできたおかげです」 吉川氏はまた、Deep Security の運用のしやすさも高く評価する。 限で済み、サーバ・リソースの有効活用も図 「CardSpring のシステムは管理すべき情報が多く、全体の運用には相応の手間がかかります。 れる。これは特筆すべき優位性です」 そうした中で、ファイル改ざんやウイルス対策などのオペレーションが 1 つの画面から行える意義 導入先プロフィール は決して小さくありません。また、脆弱性対策のためのセキュリティパッチの適用においても、 TIS は、1 97 1 年創設の独立系システムイン テグレーター。年間売上高は 1,426 億円強 (20 1 4 年 3 月期/単体)に上り、金融・製造・ 流通/サービス・公共・通信などの広範な 領域で、3,000 社を超える企業のビジネス パートナーとして機能。それぞれの基幹 IT インフラを支えるシステム構築を手がけてき た。また、SI・受託開発の事業に加えて、デー タセンター/クラウドなどのサービス型 IT ソ リュ ー ション の 提 供 に も 注 力。中 国・ ASEAN 地域を中心にグローバルなサポート 体制を築いている。 Deep Security で提供される『推奨スキャン』機能でサーバの脆弱性を自動的に検出し、仮想 パッチを当てるという運用スタイルを採用しています。その効率性にもかなり助けられています」 吉川氏によれば、TIS では今後も決済系サービスの拡充・強化を推し進める計画であり、その 流れの中で、Deep Security 活用がさらに進展する可能性は十分にあるという。また、宮崎氏・ 江口氏も、対外的な PCI DSS ソリューションを構成する選択肢の 1 つとして、これからも Deep Security を位置づけていく考えであり、宮崎氏は、Windows Server 2003 のサポート切れなど OS の老朽化対策として、Deep Security を有効活用することも視野に入れている。 CardSpring インフラの PCI DSS 対応を短期間・低コストで実現した Deep Security ――。 その活躍の場は、TIS においても着実な広がりを見せつつあるようだ。 TREND MICRO は、Trend Micro Deep Security、およびDeep Securityは、トレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている社名、製品名 およびサービス名は、各社の商標または登録商標です。記載内容は 20 1 4 年 1 2 月現在のものです。内容は予告なく変更になる場合がございます。 Copyright © 20 1 5 Trend Micro Incorporated. All rights reserved. [Item No. BR-CASE-070] 東 京 本 社 名古屋営業所 大阪営業所 福岡営業所 〒1 5 1 -0053 〒460-0002 〒532-0003 〒8 1 2 -00 1 1 東京都渋谷区代々木 2-1-1 新宿マインズタワー TEL.03-5334-3601(法人お問い合わせ窓口) FAX.03-5334-3639 愛知県名古屋市中区丸の内 3-22-24 名古屋桜通ビル7階 TEL.052-955-1221 FAX.052-963-6332 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル 13 階 TEL.06-6350-0330(代表) FAX.06-6350-0591 福岡県福岡市博多区博多駅前 2-3-7 シティ21ビル7 階 TEL.092-471-0562 FAX.092-471-0563 Page 2 of 2 • Customer Success Story • TIS 株式会社
© Copyright 2024 ExpyDoc
