スライド 0

高セキュリティなWebアプリケーションをご提供するために！

～共同利用型インフラのご紹介～

2014年 7月16日

株式会社 エクサ

決済ビジネス営業部

決済ビジネスソリューション部

EVF2014 講演資料

講演ＩＤ：２-Ｃ

はじめに

本日はご来場・ご聴講頂き、誠にありがとうございます。

現在、情報漏洩や不正アクセス等の情報保護を取り巻く環境がますます厳しく

なる中、あらゆる業界の企業様でセキュリティ対策に頭を悩まされています。

各社は事業拡大、売上向上等、攻めの投資に注力されたい一方で、

守りの投資であるセキュリティについてはできる限りコストをかけずに

かつ盤石な対策を取る必要があるというジレンマを抱えています。

本日の講演では、そのようなお悩みを持つ各社に、

PCIDSSに準拠した

高セキュリティなWebシステムのインフラ

を、

共同利用型で低価格

でご提供

する弊社の取組みについて、実績を交えながらご紹介をさせて頂きます。

目次

第１章 情報セキュリティを取り巻く環境

第２章 PCIDSSについて

第３章 PCIDSS準拠の共同利用型インフラ【TRINOS】の紹介

第４章 流通系業界等での活用

１－１．情報漏洩事案

セキュリティに絡む事案は毎日起きていると言っても過言ではありません。 日々、機密情報漏洩等がニュースとなり、被害は企業・個人・国と当事者は多岐にわたります。 現在、あらゆる場面において、情報セキュリティを取り巻く環境は厳しさを増しています。

企業

個人

国

【通信教育大手Ｂ社】 ・通信教育サービスを利用している子供や 保護者の氏名・住所等 最大2,070万件漏洩 ・国内市場で過去最大規模の漏洩で、 経営を揺るがす被害 【工作機械製造業Ｙ社】 ・社員がサーバーコンピューターに不正 アクセスし、営業秘密にあたる図面情報を 私物のハードディスクに複製 ・産業スパイとして外部に情報流出の可能性 【SNS 悪用被害】 ・利用者のIDを不正に乗っ取られ、友人 に電子マネー購入を持ちかける被害 ・実際に金銭をだまし取られた事案も発生 【サイバー攻撃の急増】 ・国の機関（政府機関や原発）への サイバー攻撃が急増 ・2013年度は508万件で、前年度の5倍

１－２．クレジット関連の情報漏洩事案

クレジット関連においても、記憶に新しいところでは大手ECサイトなどの情報漏洩事案が発生しています。 当業界では情報漏洩が即座に金銭的な損害につながるため、情報漏洩事故が発生するとその対応や 信頼低下による損害が甚大なものになります。 【国内：流通業大手Ｓ社（ＥＣサイト）】 ・Ｓ社ネットショッピングにて、なりすましによる 不正アクセスが発生 ・最大15万165件のクレジットカード情報が不正に閲覧 された可能性 【国内：ファッション通販サイトＳ社】 ・外部からの不正アクセス攻撃があり、攻撃者の不正な ログインが成功した形跡あり ・最大2万4000件のクレジットカード番号、カード名義、 有効期限が流出の恐れ 【海外：大手クレジットカード３社】 ・韓国で１億人超分の、クレジットカードや銀行口座に 関する個人情報漏洩事故発生 ・大手クレジットカード会社３社が謝罪、不正使用は 全額保障の方針

このように、特にクレジット関連における情報漏洩は、金銭的損害に直結するため

クレジット業界団体にてグローバルなセキュリティ基準が制定されています。

２－１．PCIDSSの成り立ち

大規模なクレジットカード犯罪を背景に、グローバルスタンダードのセキュリティ基準である「PCIDSS」 が策定されました。国内でも2018年までの準拠が目標となっています。

PCIDSS策定の経緯

2004年

USで4,000万件のカード情報流出事件発生

2006年

5ブランドが国際的にセキュリティ基準を統一

P C I D S S

P

ayment

C

ard

I

ndustry

D

ata

S

ecurity

S

tandard

2001年

各ブランド独自のセキュリティ基準策定

Discover

JCB

AMEX

Master

Visa

国際カードブランド

DISC

JDSP

DSOP

SDP

AIS

セキュリティ基準

近年の国内事故事例

カード情報の流出元

規模

A社のゲーム機ネットワーク

7,700万件

2011年

B社のPCソフト販売レンタルサイト

26万件

2012年

C社の海外渡航用携帯電話レンタルサイト

10万件

2013年

2012年、

日本クレジット協会が日本国内におけるPCIDSS実行計画を策定

2018年までに

全てのクレジット会社の準拠が目標！

２－２．PCIDSSの概要紹介

PCIDSSは主に6つの目的・12の要件から成ります。クレジットカード情報を取扱うあらゆる事業者が 則るべき基準で、ネットワークやシステム、運用等の各領域を網羅し詳細な対応基準が設けられております。 ①安全なネットワークの構築・維持 要件１ カード会員データを保護するためにファイアウォールを導入し、最適な 設定を維持すること 要件２ システムパスワードと他のセキュリティ・パラメータにベンダー提供のデ フォルトを使用しないこと ②カード会員データの保護 要件３ 保存されたカード会員データを安全に保護すること 要件４ 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること ③脆弱性を管理するプログラムの整備 要件５ アンチウィルス・ソフトウェアを利用し、定期的に更新すること 要件６ 安全性の高いシステムとアプリケーションを開発し、保守すること ④強固なアクセス制御手法の導入 要件７ カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件８ コンピュータにアクセスする利用者毎に個別のIDを割り当てること 要件９ カード会員データへの物理的アクセスを制限すること ⑤定期的なネットワークの監視および テスト 要件10 ネットワーク資源およびカード会員データに対するすべてのアクセスを 追跡し、監視すること 要件11 セキュリティシステムおよび管理手順を定期的にテストすること ⑥情報セキュリティ・ポリシーの整備 要件12 情報セキュリティに関するポリシーを整備すること PCIDSSの１２要件

２－２．PCIDSSの概要紹介

PCIDSSは、Gap分析の結果を元に対策を実施し、ASVのスキャニングテスト・QSAの審査を経て認定取得と なります。また取得後にも年次の継続認定があり、年に4回以上の脆弱性スキャンや、QSAの訪問審査にて 実際のシステムやドキュメントの審査を受けるという対応を行いながら、認定を継続していきます。

認定

ASV (認定スキャンベンダ) QSA (認定審査機関) Gap分析 ポリシー整備 セキュリティ対策 審査受審 脆弱性 スキャン （検査） 事前診断 対策支援 訪問審査 ROC/AOC発行 認 定 ASV スキャン

対応

脆弱性

スキャン

訪問

審査

準拠

認定

事前分析

カード会社 加盟店 サービスプロバイダ

訪問

審査

準拠

認定

脆弱性

スキャン

継続認定(年次)

脆弱性 スキャン （検査） 訪問審査 ROC/AOC発行 認 定 四半期に 1回以上 審査受審 ASV スキャン

２－３．他業界への展開も注目されるPCIDSS

PCIDSSはクレジット会社にとどまらず、業界の枠を超えセキュリティ強化の指針の１つとなっています。 汎用性の高い内容でかつ基準が具体的に記述されているため、幅広い業種にとって有効なセキュリティ対策 となり、また定期的な改訂があるために新たな脅威への対応の指針となります。

＋

PCI DSSの改訂を継続して確認することで、 ・いま何が脅威として認識されているのか ・どのような対策が有効なのか など、新たな脅威と対策の指針が得られる PCIDSSの特長 ネットワークやシステム、運用等の各領域をカバーしており、かつ内容も 汎用性が高く、ネットワークを利用する幅広い業種にとって有効 基準が非常に具体的であり、 「対策の強度」の指針あり 経営層にとっても分かりやすい セキュリティの「拠り所」 １ ３ ２ PCIDSSの適用検討例 出典：クラウドWatch エンタープライズ DSS _自治体DSS 学校教育DSS

第３章 PCIDSS準拠の共同利用型インフラ

【TRINOS】の紹介

３－１．共同利用型インフラ【TRINOS】の紹介

エクサでは、クレジット会社様へ提供していたクラウドサービスについて、2014年4月にPCIDSS認定を 取得しました。現在、そのセキュアなインフラを共同利用型で低価格でご利用頂けるサービス【TRINOS】 の提供を開始しております。 インター ネット接続 システムリソース

共同利用型インフラ【TRINOS】

メール送信 ファイル伝送 PCIDSS 堅牢なiDC サービスデスク Webサービス用の セキュアな基盤！ ・・・・ 共同利用型でリソースを提供

３－１．共同利用型インフラ【TRINOS】の紹介

共同利用型インフラ【TRINOS】では、データセンター等のファシリティから運用サービスまで合わせて ご提供します。お客様は、既存Webアプリの移管、新規Webアプリの構築に加え、弊社Webアプリを SaaSでご利用頂くことが可能です。 ネットワークインフラ （インターネット接続設備 etc） DNS ファイア ウォール 検知・防御 不正侵入 負荷分散 SSL Webサーバ Webアプリケーション 実行基盤機能 eメール送信機能 メールサーバ DBMS機能 ファイル _伝送機能 OS OS 仮想サーバ群 物理サーバ群 シ ス テ ム 管 理 セ キ ュ リ テ ィ 運 用 監 視 サ ー ビ ス デ ス ク ネットワークインフラ （インターネット接続設備 etc） DNS ファイア ウォール 不正侵入 検知・防御 負荷分散 SSL Webサーバ Webアプリケーション 実行基盤機能 Eメール送信機能 メールサーバ DBMS 機能 ファイル 伝送機能 OS OS 仮想サーバ群 物理/仮想サーバ群 シ ス テ ム 管 理 セ キ ュ リ テ ィ 管 理 (PC IDS S) 運 用 監 視 サ ー ビ ス デ ス ク データセンター DBサーバ HULFTサーバ ①お客様既存Webアプリの移管 ②新規Webアプリの構築 ③弊社WebアプリのSaaS提供 が可能！ Ｃ社様向け アプリケーション Ｂ社様向け アプリケーション ・・・・ A社様向け アプリケーション

３－１．共同利用型インフラ【TRINOS】の紹介

共同利用型インフラ【TRINOS】のセキュリティ概要をご紹介します。インターネットへの接続を前提と したWebシステムのため、多層の不正アクセス対策を施しており、データベースの情報についても ハッシュ化(不可逆な不読化)をする事でセキュリティを担保しております。 メール送信 データベース Webページ お客様 基幹システム 拠点 Internet カード会員様 悪意のある第三者 セキュリティー オペレーションセンター システム オペレーションセンター 専用線 SSL通信 サーバ証明書 1 1 インターネット接続FW 対外接続FW 2 2 侵入防止システム 3 アクセス管理システム 脆弱性情報収集とパッチ適用 7 8 Webセキュリティ診断 9 暗号化システム 4 ウィルスチェックシステム 5 改ざん検知システム 6 2014年4月1日 認定取得

３－１．共同利用型インフラ【TRINOS】の紹介

共同利用型インフラ【TRINOS】では、各利用者毎に専用の論理ネットワークでご提供するため、 物理環境と変わらないセキュリティ環境を実現します。 【TRINOS】共同利用に関するセキュリティの担保 弊社【TRINOS】は、各利用者毎に専用の論理ネットワークで ご提供致しますので、物理環境と変わらないセキュリティ 環境をご提供致します。 ① インターネットとのアクセス制御 インターネットとの通信はファイアウォールにて 必要な通信のみ透過致します。 ② 利用者間のアクセス制御 各利用者様環境は、共通基盤ファイアウォールにて 全ての通信を遮断致します。 ③ インターネットからの不正アクセス 侵入防止システム（IDS/IPS）にて、不正アクセスを 検知、または遮断致します。 ④ 専用VLAN お客様専用の VLAN をご提供致します。 ⑤ 専用仮想マシン お客様専用の仮想マシンをご提供致します。 共通仮想基盤（ハイパーバイザ） お客様専用仮想マシン お客様専用VLAN お客様専用VLAN 共通基盤 ファイアウォール 共通基盤 侵入防止システム(IDS/IPS) お客様専用VLAN 他利用者VLAN 他利用者VLAN 他のご利用者様環境 インターネット お客様WAN 1 3 2 4 利用者様環境を 論理ネットワークで分離 5

３－１．共同利用型インフラ【TRINOS】の紹介

共同利用型インフラ【TRINOS】のサービスメニューについてご紹介します。初期構築サービスから、 システムの運用・監視やサービスデスクの提供に至るまで一連のサービスをご提供します。 【TRINOS】サービス一覧 NO サービス名 サービス概要 1 初期構築サービス お客様向け専用環境を構築する 2 基盤システム提供サービス お客様向け仮想基盤、および、付帯機能（インターネット接続、負荷分散機能、SSLアクセラレータ機能、侵入防止システム機能、プライベート接続機能）を 提供する 3 サービスデスク 本サービスに関する問い合わせ受付、障害発生時の連絡や経過・結果報告、_{サービス停止連絡等、お客様ご担当者様との窓口業務を行なう} 4 システム運用サービス お客様向けシステム環境に関する運用作業を実施すると共に、障害発生時の _{障害1次対応、障害2次対応およびリストア作業を実施する} 5 システム監視サービス ネットワーク監視、各種サーバ監視等、お客様向けシステム環境に対するシス_{テム監視を実施する} 6 システム保守サービス ファシリティ提供サービスにて提供する各種ハードウェア、ソフトウェアに対_{するシステム保守を実施する} 7 システム管理サービス お客様向けシステム環境に関する、セキュリティ管理、構成管理、変更管理、_{問題管理、資産管理、月次定例報告等の各種システム管理作業を実施する} 初期構築は勿論、運用～管理まで インフラ構築・運用にかかる作業を 一手にお引受けいたします！

３－１．共同利用型インフラ【TRINOS】の紹介

共同利用型インフラ【TRINOS】の運用体制についてご紹介します。 お客様専用サービスデスクを設け、お客様からのお問合せや依頼事項にワンストップでご対応致します。 保守ベンダ エクサ エンジニア部門 お客様 フロント部門 ネットワーク キャリア ハードウェア ベンダー ソフトウェア ベンダー サービス デスク オペレータ部門 オペレータ 24時間365日 セキュリティ管理 構成管理 変更管理 問題管理 資産管理 各種問合せ 障害調査依頼 障害報告 月次報告 障 害 連 絡 保守コール お客様向けシステム環境 保守対応 監視 障 害 対 応 【TRINOS】サービス運用体制 情報連携

３－２．共同利用型インフラ【TRINOS】の活用実績

実績として、アプリケーションを含めたSaaSとしてクレジット会社様でご利用頂いております。 また、【TRINOS】を活用したクレジットシステムも現在某クレジット会社様で構築中です。 入会申込 請求・利用明細照会 ポイント照会 各種会員照会 入会申込受付 販促メール配信 インター ネット インター ネット 会員様向け （主な機能） クレジット会社様向け （主な機能） 各種データ連携(暗号化) 基幹システム 会員様 クレジット会社様 ・利用明細照会 ・各種お知らせメール受領 ・明細ダウンロード etc ・会員様/加盟店様の照会 ・会員様ご利用明細の照会 ・販促メールの配信 etc 加盟店様 インター ネット 加盟店様向け （主な機能） 返済シミュレーション 個別クレジット Web申込 ・個別クレジットWeb申込 ・返済シミュレーション etc クレジット会社様向けWebサービス 【TRINOS】活用実績例（SaaS提供）

４－１．流通系業界における共同利用型インフラ【TRINOS】の活用案

PCIDSSはクレジット会社にとどまらず、業界の枠を超えセキュリティ強化の指針の１つとなっていますが 特に、クレジット会社様のPANに準ずる機微情報（例：個人情報）を多数取り扱う業界において、セキュリ ティ向上のご支援が可能と考えております。

ISMS認証取得済み

だが具体的なセキュリティ

ルールが万全であるか

不安・・・

セキュリティポリシー

が不充分で、早急な

整備が急務・・・

増大し続ける情報漏洩

リスクに、どこまで対応すべき

か悩ましい・・・

セキュリティ対策への

投資について、経営層の

理解が得づらい・・・

●共同利用型インフラ【TRINOS】の活用により、

機微情報を取扱うクレジット業界と同等のセキュリティ基準に準拠した

システム基盤が、ルールおよび運用も含めて手に入ります！

個人情報を多数取扱う 企業様の悩み

４－１．流通系業界における共同利用型インフラ【TRINOS】の活用案

共同利用型インフラ【TRINOS】の活用形態として、①現在あるシステムのセキュリティ向上、②新規シス テム構築時、③Webシステムのインフラや運用集約において、効率的・低コストでの実現が可能です。

活用方法

Before

After

ケース①

・現在あるシステムの

セキュリティ向上

ケース②

・新規システムの

構築時

ケース③

・Webシステムの

インフラ・運用集約

インフラ Webアプリ 共同利用型インフラ PCIDSS準拠要 _Webアプリ PCIDSS準拠要 アプリのみ PCIDSS準拠要 インフラ Webアプリ 共同利用型インフラ 新規構築 新規構築 Webアプリ アプリのみ _新規構築 Web アプリ ① インフラ ① インフラ ② インフラ ③ 共同利用型インフラ Web アプリ ② Web アプリ ③ Web アプリ ① Web アプリ ② Web アプリ ③

４－１．流通系業界における共同利用型インフラ【TRINOS】の活用案

共同利用型インフラ【TRINOS】は、特にPAN(カード番号)を例とする、機微な情報を扱う企業の 情報漏洩防止に大きく貢献するものと考えており、１つの例としてECサイト事業者様への活用が可能です。 【TRINOS】活用によりカバー可能なPCIDSS要件範囲 …アプリ対応範囲を除く _{【TRINOS】でのカバー範囲} インター ネット接続 システムリソース メール送信 ファイル伝送 PCIDSS 堅牢なiDC サービスデスク 【TRINOS】 ECサイトアプリケーション 利用者様 ECサイト 個人情報等の機微 情報を、PCIDSS 基準でセキュアに 管理！ ①安全なネットワークの構築・維持 要件１ カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること 要件２ システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと ②カード会員データの保護 要件３ 保存されたカード会員データを安全に保護すること 要件４ 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること ③脆弱性を管理するプログラムの整備 要件５ アンチウィルス・ソフトウェアを利用し、定期的に更新すること 要件６ 安全性の高いシステムとアプリケーションを開発し、保守すること ④強固なアクセス制御手法の導入 要件７ カード会員データへのアクセスを業務上の必要範囲内に制限すること 要件８ コンピュータにアクセスする利用者毎に個別のIDを割り当てること 要件９ カード会員データへの物理的アクセスを制限すること ⑤定期的なネットワークの監視および テスト 要件10 ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること 要件11 セキュリティシステムおよび管理手順を定期的にテストすること (アプリでの対応範囲) (アプリでの対応範囲) (一部アプリでの対応範囲あり)

４－２．共同利用型インフラ【TRINOS】活用によるメリット

共同利用型インフラ【TRINOS】の活用により、セキュリティ向上を低価格で実現できるのはもちろん、 その後の運用負荷や費用も抑えることができます。またインフラ上に構築するアプリケーションについても お客様既存のアプリケーションを活かすご提案の他に、新規アプリケーション構築のご提案が可能です。

PCIDSSに基づく

詳細かつ高いセキュリティ基準

を手に入れられた！

セキュリティ基準が明確に

なったので、何をどこまで

やれば良いかが見えた！

コストメリットもあるので

セキュリティを高めながら

運用コスト削減もできた！

PCIDSSの運用時に毎年

発生する認定更新の、負担や

コストが削減できた！

＋ エクサならではのメリット・・・

現在までに実際に複数社で安定稼働実績のある インフラを、鉄鋼の24h365日のシステム運用 で培った高品質な運用サービスで提供 アプリケーションについて、お客様既存資産の 移管は勿論、弊社の多数のソリューションを活用し 更なるサービス向上やコスト削減に繋がる新規 アプリ提案可能

おわりに

ご清聴ありがとうございました。

不正利用の巧妙化やサイバー攻撃の増大が続く現在、セキュリティリスクは

日を追うごとに高まっています。

また、一度情報漏洩するとその対応や補償、風評被害により企業の損害は

計り知れないものとなります。

弊社はお客様の安全、ひいては社会全体の安全に貢献すべく、低価格でご利用

可能な共同利用型インフラを積極的に展開を図ってまいります。

また合わせて、PCIDSSの知見を活かしたお客様システム全般に関わるご支援も

させて頂きたく存じます。

本日の講演で気になる点や、共同利用型インフラの活用等についてご関心が

ございましたら、いつでも弊社宛にご連絡頂ければ幸いです。