スライド 0

Size: px

Start display at page:

Download "スライド 0"

さみしどり
5 years ago
Views:

1 講演 ID:2-C EVF2014 講演資料高セキュリティな Web アプリケーションをご提供するために! ~ 共同利用型インフラのご紹介 ~ 2014 年 7 月 16 日株式会社エクサ決済ビジネス営業部決済ビジネスソリューション部

2 はじめに本日はご来場ご聴講頂き誠にありがとうございます現在情報漏洩や不正アクセス等の情報保護を取り巻く環境がますます厳しくなる中あらゆる業界の企業様でセキュリティ対策に頭を悩まされています各社は事業拡大売上向上等攻めの投資に注力されたい一方で守りの投資であるセキュリティについてはできる限りコストをかけずにかつ盤石な対策を取る必要があるというジレンマを抱えています本日の講演ではそのようなお悩みを持つ各社に PCIDSS に準拠した高セキュリティな Web システムのインフラを共同利用型で低価格でご提供する弊社の取組みについて実績を交えながらご紹介をさせて頂きます 1

3 目次第 1 章情報セキュリティを取り巻く環境第 2 章 PCIDSSについて第 3 章 PCIDSS 準拠の共同利用型インフラ TRINOS の紹介第 4 章流通系業界等での活用 2

4 第 1 章情報セキュリティを取り巻く環境 3

5 １１情報漏洩事案セキュリティに絡む事案は毎日起きていると言っても過言ではありません日々機密情報漏洩等がニュースとなり被害は企業個人国と当事者は多岐にわたります現在あらゆる場面において情報セキュリティを取り巻く環境は厳しさを増しています通信教育大手Ｂ社通信教育サービスを利用している子供や保護者の氏名住所等最大2,070万件漏洩国内市場で過去最大規模の漏洩で経営を揺るがす被害工作機械製造業Ｙ社社員がサーバーコンピューターに不正アクセスし営業秘密にあたる図面情報を私物のハードディスクに複製産業スパイとして外部に情報流出の可能性企業 SNS 悪用被害利用者のIDを不正に乗っ取られ友人に電子マネー購入を持ちかける被害実際に金銭をだまし取られた事案も発生サイバー攻撃の急増国の機関政府機関や原発へのサイバー攻撃が急増 2013年度は508万件で前年度の5倍国個人 4

当業界では情報漏洩が即座に金銭的な損害につながるため情報漏洩事故が発生するとその対応や

なりすましによる不正アクセスが発生最大15万165件のクレジットカード情報が不正に閲覧された可能性国内

最大2万4000件のクレジットカード番号カード名義有効期限が流出の恐れ海外大手クレジットカード３社

6 １２クレジット関連の情報漏洩事案クレジット関連においても記憶に新しいところでは大手ECサイトなどの情報漏洩事案が発生しています当業界では情報漏洩が即座に金銭的な損害につながるため情報漏洩事故が発生するとその対応や信頼低下による損害が甚大なものになります国内流通業大手Ｓ社ＥＣサイトＳ社ネットショッピングにてなりすましによる不正アクセスが発生最大15万165件のクレジットカード情報が不正に閲覧された可能性国内ファッション通販サイトＳ社外部からの不正アクセス攻撃があり攻撃者の不正なログインが成功した形跡あり最大2万4000件のクレジットカード番号カード名義有効期限が流出の恐れ海外大手クレジットカード３社韓国で１億人超分のクレジットカードや銀行口座に関する個人情報漏洩事故発生大手クレジットカード会社３社が謝罪不正使用は全額保障の方針このように特にクレジット関連における情報漏洩は金銭的損害に直結するためクレジット業界団体にてグローバルなセキュリティ基準が制定されています 5

7 第 2 章 PCIDSS について 6

8 ２１ PCIDSSの成り立ち大規模なクレジットカード犯罪を背景にグローバルスタンダードのセキュリティ基準である PCIDSS が策定されました国内でも2018年までの準拠が目標となっています PCIDSS策定の経緯各ブランド独自のセキュリティ基準策定 2001年国際カードブランドセキュリティ基準 Visa AIS Master SDP 2004年 USで4,000万件のカード情報流出事件発生 2006年 5ブランドが国際的にセキュリティ基準を統一 AMEX DSOP JCB JDSP Discover DISC P C I D S S Payment Card Industry Data Security Standard 近年の国内事故事例規模カード情報の流出元 2011年 A社のゲーム機ネットワーク 2012年 B社のPCソフト販売レンタルサイト 26万件 2013年 C社の海外渡航用携帯電話レンタルサイト 10万件 7,700万件 2012年日本クレジット協会が日本国内におけるPCIDSS実行計画を策定 2018年までに全てのクレジット会社の準拠が目標 7

9 2-2.PCIDSS の概要紹介 PCIDSS は主に 6 つの目的 12 の要件から成りますクレジットカード情報を取扱うあらゆる事業者が則るべき基準でネットワークやシステム運用等の各領域を網羅し詳細な対応基準が設けられております PCIDSS の 12 要件 1 安全なネットワークの構築維持要件 1 カード会員データを保護するためにファイアウォールを導入し最適な設定を維持すること要件 2 システムパスワードと他のセキュリティパラメータにベンダー提供のデフォルトを使用しないこと 2 カード会員データの保護要件 3 保存されたカード会員データを安全に保護すること要件 4 公衆ネットワーク上でカード会員データを送信する場合暗号化すること 3 脆弱性を管理するプログラムの整備要件 5 アンチウィルスソフトウェアを利用し定期的に更新すること要件 6 安全性の高いシステムとアプリケーションを開発し保守すること 4 強固なアクセス制御手法の導入要件 7 カード会員データへのアクセスを業務上の必要範囲内に制限すること要件 8 コンピュータにアクセスする利用者毎に個別の ID を割り当てること要件 9 カード会員データへの物理的アクセスを制限すること 5 定期的なネットワークの監視およびテスト要件 10 ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し監視すること要件 11 セキュリティシステムおよび管理手順を定期的にテストすること 6 情報セキュリティポリシーの整備要件 12 情報セキュリティに関するポリシーを整備すること 8

10 ２２ PCIDSSの概要紹介 PCIDSSは Gap分析の結果を元に対策を実施し ASVのスキャニングテスト QSAの審査を経て認定取得となりますまた取得後にも年次の継続認定があり年に4回以上の脆弱性スキャンや QSAの訪問審査にて実際のシステムやドキュメントの審査を受けるという対応を行いながら認定を継続していきます認定事前分析対応カード会社加盟店サービスプロバイダ Gap分析ポリシー整備セキュリティ対策 QSA (認定審査機関) 事前診断対策支援 ASV (認定スキャンベンダ) 脆弱性スキャン脆弱性スキャン検査継続認定(年次) 訪問審査準拠認定脆弱性スキャン認定脆弱性スキャン検査審査受審訪問審査 ROC/AOC発行四半期に 1回以上 ASV スキャン ASV スキャン 9 訪問審査準拠認定審査受審認定訪問審査 ROC/AOC発行

11 ２３他業界への展開も注目されるPCIDSS PCIDSSはクレジット会社にとどまらず業界の枠を超えセキュリティ強化の指針の１つとなっています汎用性の高い内容でかつ基準が具体的に記述されているため幅広い業種にとって有効なセキュリティ対策となりまた定期的な改訂があるために新たな脅威への対応の指針となります PCIDSSの特長１ネットワークやシステム運用等の各領域をカバーしておりかつ内容も汎用性が高くネットワークを利用する幅広い業種にとって有効２基準が非常に具体的であり対策の強度の指針あり３経営層にとっても分かりやすいセキュリティの拠り所 PCIDSSの適用検討例エンタープライズ DSS PCI DSSの改訂を継続して確認することでいま何が脅威として認識されているのかどのような対策が有効なのか自治体DSS 学校教育DSS など新たな脅威と対策の指針が得られる出典クラウドWatch PCIDSS最新動向過去最大の漏えい事件で見えた不足要件 End-to-Endの暗号化より 10

12 第 3 章 PCIDSS 準拠の共同利用型インフラ TRINOS の紹介 11

13 ３１共同利用型インフラ TRINOS の紹介エクサではクレジット会社様へ提供していたクラウドサービスについて 2014年4月にPCIDSS認定を取得しました現在そのセキュアなインフラを共同利用型で低価格でご利用頂けるサービス TRINOS の提供を開始しております Webサービス用のセキュアな基盤共同利用型インフラ TRINOS 堅牢なiDC PCIDSS メール送信インターネット接続ファイル伝送サービスデスクシステムリソース共同利用型でリソースを提供 A社様 B社様 C社様 12 D社様

3-1. 共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS ではデータセンター等のファシリティから運用サービスまで合わせてご提供しますお客様は既存 Webアプリの移管新規 Webアプリの構築に加え弊社 Webアプリを SaaSでご利用頂くことが可能です A 社様向けアプリケーション B 社様向けアプリケーション C 社様向けアプリケーション 1 お客様既存

14 3-1. 共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS ではデータセンター等のファシリティから運用サービスまで合わせてご提供しますお客様は既存 Webアプリの移管新規 Webアプリの構築に加え弊社 Webアプリを SaaSでご利用頂くことが可能です A 社様向けアプリケーション B 社様向けアプリケーション C 社様向けアプリケーション 1 お客様既存 Web アプリの移管 2 新規 Web アプリの構築 3 弊社 Web アプリの SaaS 提供が可能! サーサビースビデスデクスク運用監視セキセュキリュテリィティ管理 (PCIDSS) システム管シ理ステム管理 Web アプリケーション Ee メール送信機能実行基盤機能 Web サーバメールサーバ OS OS 仮想サーバ群 DNS ファイア不正侵入負荷分散ウォール検知防御 SSL DBMS ファイル DBMS 機能機能伝送機能 DBサーバ HULFTサーバ OS OS 物理物理サーバ群 / 仮想サーバ群ネットワークインフラネットワークインフラ ( インターネット接続設備 ( インターネット接続設備 etc) etc) データセンター共同利用型インフラ TRINOS 13

３１共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS のセキュリティ概要をご紹介しますインターネットへの接続を前提としたWebシステムのため多層の不正アクセス対策を施しておりデータベースの情報についてもハッシュ化(不可逆な不読化)をする事でセキュリティを担保しております 1 セキュリティーオペレーションセンターサーバ証明書 3 2014年4月1日

15 ３１共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS のセキュリティ概要をご紹介しますインターネットへの接続を前提としたWebシステムのため多層の不正アクセス対策を施しておりデータベースの情報についてもハッシュ化(不可逆な不読化)をする事でセキュリティを担保しております 1 セキュリティーオペレーションセンターサーバ証明書年4月1日認定取得悪意のある第三者侵入防止システム Webページお客様基幹システム拠点 Internet 専用線 1 データベース 2 2 対外接続FW 5 6 インターネット接続FW カード会員様メール送信 4 SSL通信システムオペレーションセンター暗号化システムアクセス管理システムウィルスチェックシステム脆弱性情報収集とパッチ適用改ざん検知システム Webセキュリティ診断 9

16 ３１共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS では各利用者毎に専用の論理ネットワークでご提供するため物理環境と変わらないセキュリティ環境を実現しますインターネット TRINOS 共同利用に関するセキュリティの担保弊社 TRINOS は各利用者毎に専用の論理ネットワークでご提供致しますので物理環境と変わらないセキュリティ環境をご提供致します 1 2 共通基盤ファイアウォールお客様専用VLAN ① インターネットとのアクセス制御インターネットとの通信はファイアウォールにて必要な通信のみ透過致します他利用者VLAN 3 共通基盤侵入防止システム(IDS/IPS) ② 利用者間のアクセス制御各利用者様環境は共通基盤ファイアウォールにて全ての通信を遮断致します ③ インターネットからの不正アクセス侵入防止システム IDS/IPS にて不正アクセスを検知または遮断致します ④ 専用VLAN お客様専用の VLAN をご提供致しますお客様専用VLAN 他利用者VLAN 5 お客様専用仮想マシン他のご利用者様環境お客様専用VLAN 共通仮想基盤ハイパーバイザお客様WAN 利用者様環境を論理ネットワークで分離 ⑤ 専用仮想マシンお客様専用の仮想マシンをご提供致しますお客様環境 4 15

17 3-1. 共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS のサービスメニューについてご紹介します初期構築サービスからシステムの運用監視やサービスデスクの提供に至るまで一連のサービスをご提供します TRINOS サービス一覧 NO サービス名サービス概要初期構築は勿論運用 ~ 管理までインフラ構築運用にかかる作業を一手にお引受けいたします! 1 初期構築サービスお客様向け専用環境を構築する 2 基盤システム提供サービス 3 サービスデスク 4 システム運用サービス 5 システム監視サービス 6 システム保守サービス 7 システム管理サービスお客様向け仮想基盤および付帯機能 ( インターネット接続負荷分散機能 SSL アクセラレータ機能侵入防止システム機能プライベート接続機能 ) を提供する本サービスに関する問い合わせ受付障害発生時の連絡や経過結果報告サービス停止連絡等お客様ご担当者様との窓口業務を行なうお客様向けシステム環境に関する運用作業を実施すると共に障害発生時の障害 1 次対応障害 2 次対応およびリストア作業を実施するネットワーク監視各種サーバ監視等お客様向けシステム環境に対するシステム監視を実施するファシリティ提供サービスにて提供する各種ハードウェアソフトウェアに対するシステム保守を実施するお客様向けシステム環境に関するセキュリティ管理構成管理変更管理問題管理資産管理月次定例報告等の各種システム管理作業を実施する 16

ハードウェアベンダーお客様向けシステム環境ソフトウェアベンダー各種問合せ障害調査依頼保守対応

18 ３１共同利用型インフラ TRINOS の紹介共同利用型インフラ TRINOS の運用体制についてご紹介しますお客様専用サービスデスクを設けお客様からのお問合せや依頼事項にワンストップでご対応致します TRINOS サービス運用体制お客様エクサフロント部門保守ベンダオペレータ部門オペレータ 24時間365日ネットワークキャリアハードウェアベンダーお客様向けシステム環境ソフトウェアベンダー各種問合せ障害調査依頼保守対応監視サービスデスク障害報告月次報告障害連絡エンジニア部門情報連携障害対応変更管理セキュリティ管理問題管理構成管理資産管理 17 保守コール

各種お知らせメール受領明細ダウンロード etc 会員様向け主な機能クレジット会社様向け入会申込各種会員照会請求利用明細照会入会申込受付主な機能販促メール配信ポイント照会加盟店様

19 ３２共同利用型インフラ TRINOS の活用実績実績としてアプリケーションを含めたSaaSとしてクレジット会社様でご利用頂いておりますまた TRINOS を活用したクレジットシステムも現在某クレジット会社様で構築中です TRINOS 活用実績例 SaaS提供会員様クレジット会社様クレジット会社様向けWebサービスインターネット利用明細照会各種お知らせメール受領明細ダウンロード etc 会員様向け主な機能クレジット会社様向け入会申込各種会員照会請求利用明細照会入会申込受付主な機能販促メール配信ポイント照会加盟店様加盟店様向け主な機能インターネットインターネット会員様/加盟店様の照会会員様ご利用明細の照会販促メールの配信 etc 基幹システム個別クレジット Web申込返済シミュレーション個別クレジットWeb申込返済シミュレーション etc 各種データ連携(暗号化) 18

20 第 4 章流通系業界等での活用 19

か悩ましい ISMS認証取得済みだが具体的なセキュリティルールが万全であるか不安セキュリティポリシーが不充分で早急な整備が急務セキュリティ対策への投資について経営層の

21 ４１流通系業界における共同利用型インフラ TRINOS の活用案 PCIDSSはクレジット会社にとどまらず業界の枠を超えセキュリティ強化の指針の１つとなっていますが特にクレジット会社様のPANに準ずる機微情報例個人情報を多数取り扱う業界においてセキュリティ向上のご支援が可能と考えております増大し続ける情報漏洩リスクにどこまで対応すべきか悩ましい ISMS認証取得済みだが具体的なセキュリティルールが万全であるか不安セキュリティポリシーが不充分で早急な整備が急務セキュリティ対策への投資について経営層の理解が得づらい個人情報を多数取扱う企業様の悩み共同利用型インフラ TRINOS の活用により機微情報を取扱うクレジット業界と同等のセキュリティ基準に準拠したシステム基盤がルールおよび運用も含めて手に入ります 20

22 ４１流通系業界における共同利用型インフラ TRINOS の活用案共同利用型インフラ TRINOS の活用形態として ①現在あるシステムのセキュリティ向上 ②新規システム構築時 ③Webシステムのインフラや運用集約において効率的低コストでの実現が可能です活用方法ケース① 現在あるシステムのセキュリティ向上ケース② 新規システムの構築時ケース③ Webシステムのインフラ運用集約 Before After Webアプリ PCIDSS準拠要インフラ PCIDSS準拠要 Webアプリ新規構築インフラ新規構築 Web アプリ ① Web アプリ ② Web アプリ ③ インフラ ① インフラ ② インフラ ③ 21 Webアプリアプリのみ PCIDSS準拠要共同利用型インフラ Webアプリアプリのみ新規構築共同利用型インフラ Web アプリ ① Web アプリ ② Web アプリ ③ 共同利用型インフラ

４１流通系業界における共同利用型インフラ TRINOS の活用案共同利用型インフラ TRINOS は特にPAN(カード番号)を例とする機微な情報を扱う企業の情報漏洩防止に大きく貢献するものと考えており１つの例としてECサイト事業者様への活用が可能です ECサイトアプリケーション個人情報等の機微情報を PCIDSS 基準でセキュアに管理 TRINOS 堅牢なiDC 利用者様

23 ４１流通系業界における共同利用型インフラ TRINOS の活用案共同利用型インフラ TRINOS は特にPAN(カード番号)を例とする機微な情報を扱う企業の情報漏洩防止に大きく貢献するものと考えており１つの例としてECサイト事業者様への活用が可能です ECサイトアプリケーション個人情報等の機微情報を PCIDSS 基準でセキュアに管理 TRINOS 堅牢なiDC 利用者様インターネット接続 ECサイト PCIDSS メール送信ファイル伝送システムリソースサービスデスクアプリ対応範囲を除く TRINOS でのカバー範囲 TRINOS 活用によりカバー可能なPCIDSS要件範囲 ①安全なネットワークの構築維持要件１カード会員データを保護するためにファイアウォールを導入し最適な設定を維持すること要件２システムパスワードと他のセキュリティパラメータにベンダー提供のデフォルトを使用しないこと要件３保存されたカード会員データを安全に保護すること要件４公衆ネットワーク上でカード会員データを送信する場合暗号化すること要件５アンチウィルスソフトウェアを利用し定期的に更新すること要件６安全性の高いシステムとアプリケーションを開発し保守すること要件７カード会員データへのアクセスを業務上の必要範囲内に制限すること (一部アプリでの対応範囲あり) 要件８コンピュータにアクセスする利用者毎に個別のIDを割り当てること要件９カード会員データへの物理的アクセスを制限すること ⑤定期的なネットワークの監視およびテスト要件10 ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し監視すること要件11 セキュリティシステムおよび管理手順を定期的にテストすること ⑥情報セキュリティポリシーの整備要件12 情報セキュリティに関するポリシーを整備すること ②カード会員データの保護 ③脆弱性を管理するプログラムの整備 ④強固なアクセス制御手法の導入 22 (アプリでの対応範囲) (アプリでの対応範囲)

４２共同利用型インフラ TRINOS 活用によるメリット共同利用型インフラ TRINOS の活用によりセキュリティ向上を低価格で実現できるのはもちろん

新規アプリケーション構築のご提案が可能ですコストメリットもあるのでセキュリティを高めながら運用コスト削減もできたセキュリティ基準が明確になったので

負担やコストが削減できたエクサならではのメリット現在までに実際に複数社で安定稼働実績のあるインフラを鉄鋼の24h365日のシステム運用

24 ４２共同利用型インフラ TRINOS 活用によるメリット共同利用型インフラ TRINOS の活用によりセキュリティ向上を低価格で実現できるのはもちろんその後の運用負荷や費用も抑えることができますまたインフラ上に構築するアプリケーションについてもお客様既存のアプリケーションを活かすご提案の他に新規アプリケーション構築のご提案が可能ですコストメリットもあるのでセキュリティを高めながら運用コスト削減もできたセキュリティ基準が明確になったので何をどこまでやれば良いかが見えた PCIDSSに基づく詳細かつ高いセキュリティ基準を手に入れられた PCIDSSの運用時に毎年発生する認定更新の負担やコストが削減できたエクサならではのメリット現在までに実際に複数社で安定稼働実績のあるインフラを鉄鋼の24h365日のシステム運用で培った高品質な運用サービスで提供アプリケーションについてお客様既存資産の移管は勿論弊社の多数のソリューションを活用し更なるサービス向上やコスト削減に繋がる新規アプリ提案可能 23

25 おわりにご清聴ありがとうございました不正利用の巧妙化やサイバー攻撃の増大が続く現在セキュリティリスクは日を追うごとに高まっていますまた一度情報漏洩するとその対応や補償風評被害により企業の損害は計り知れないものとなります弊社はお客様の安全ひいては社会全体の安全に貢献すべく低価格でご利用可能な共同利用型インフラを積極的に展開を図ってまいりますまた合わせて PCIDSS の知見を活かしたお客様システム全般に関わるご支援もさせて頂きたく存じます本日の講演で気になる点や共同利用型インフラの活用等についてご関心がございましたらいつでも弊社宛にご連絡頂ければ幸いです 24

スライド 1

スライド 1 EVF2012 Sec.2A 幸せを運ぶ青い鳥新決済ソリューション Web ASP サービス BLUEBIRD (R) ~ Web 申込み利用明細照会サービス ~ 2012 年 7 月 13 日決済ビジネスソリューション部決済ビジネス営業部 2 はじめにこのたびエクサでは新たなソリューションとして BLUEBIRD(R) を発表しました BLUEBIRD(R) とは Web 申込み機能機能利用利用明細明細照会照会機能を提供