事例紹介:PCI DSS準拠
富士通エフ・アイ・ピー株式会社「PCI DSSセキュリティコントロールサービス」

PCI DSS認証取得 - 富士通エフ・アイ・ピー 株式会社

▲写真左より:富士通エフ・アイ・ピー株式会社 セキュリティサービス部 西山 直輝 様、同社SaaSソリューション事業部 主席部長 仁木 裕子 様、同社 セキュリティサービス部 長澤 駿 様

 

富士通エフ・アイ・ピー株式会社 川幡様

▲富士通エフ・アイ・ピー株式会社 取締役
ソリューションビジネス本部長 川幡 和利 様

BSIジャパンは、富士通エフ・アイ・ピー株式会社のFUJITSU セキュリティソリューション PCI DSSセキュリティコントロールサービス(以下 PCI DSS セキュリティコントロールサービス)に対し、PCI DSS(カード業界データセキュリティ基準)の準拠評価を行い、準拠証明書を授与いたしました。(監査完了日:2018年3月15日)

同社は、全国に展開する富士通のデータセンターをベースに、システムの企画から設計、開発、運用、保守まで、ライフサイクル全般にわたりお客様の支援を行っています。 「ITアウトソーシング&クラウド」、「システムインテグレーション」、「プロフェッショナル」、「SaaS」の4つのサービスを柱とし、お客様に安心・安全で、高品質かつ高コストパフォーマンスのサービスを提供し、これらのサービスを通じて、お客様のデジタル革新を支援し、ベストパートナーになることを目指しています。

1.まず、今回PCI DSS準拠に至った背景と経緯をお聞かせください。

富士通エフ・アイ・ピー株式会社 仁木様

▲同社SaaSソリューション事業部 主席部長 仁木 裕子 様

当社は以前より、PCI DSSコンサルティング、ソリューションの実装、脆弱性検査などワンストップでサービス体制を整え、PCI DSS準拠を目指すお客様と向き合ってまいりました。

そのような背景から、お客様がサービスプロバイダの選定をする際に、PCI DSSに準拠していることが重要なサービス選定基準になると考えました。

また、第三者機関より証明を得ることは、セキュリティの担保としてお客様から評価をいただけると想定し、今回の準拠に至りました。

2. 準拠への取組みとして工夫した点、特長がございましたらお聞かせください。

適用範囲であるPCI DSS セキュリティコントロールサービスは、PCI DSSに必要なセキュリティの機能を提供するクラウドサービスです。お客様自身でセキュリティソリューションをご導入いただくことなく、既存のサイトをそのままご利用いただいた上で、外部からセキュリティ対策を提供します。
よって、お客様ご自身でオンサイトにてセキュリティソリューションを構築するよりも短期間でご導入いただけることが1つ目のメリットです。

2つ目のメリットは、運用負荷の低減を実現させた点です。PCI DSS準拠用に導入したセキュリティ対策は運用が必要となり、担当者の運用負荷が高くなります。その運用をサービス化して提供することにより、運用担当者の負荷軽減を実現しました。

前述のような背景から、PCI DSS準拠の要求を満たした上でお客様のセキュリティをどのように担保していくか、工夫と考慮を重ねてきました。また、当サービスをPCI DSS準拠させるにあたり、サービスレベルを満たすためには、どこまでの要件を満たすべきなのか非常に悩みました。(仁木 様)

富士通エフ・アイ・ピー株式会社 長澤様

▲同社セキュリティサービス部 長澤 駿 様

私は、日ごろPCI DSSのコンサルティング業務に携わっています。お客様のシステムをPCI DSS準拠することは、これまで経験してきたことですが、当サービスを使用したお客様のシステムをPCI DSSにどのように準拠させるかは、今回初めての視点でした。 当サービスを準拠させることと、そのサービスを利用したお客様が準拠する際にどのような対応が必要かの2つの側面で、サービス及びお客様の責任範囲と要件の分界点の線引きをどのようにするかに多くの時間をかけました。(長澤 様)

富士通エフ・アイ・ピー株式会社 西山様

▲同社セキュリティサービス部 西山 直輝 様

サービス(システム)の構築及び、プロジェクトマネジメントを担当するなかで工夫した点は、レビューに長澤を含むコンサルティングチームを加えたことです。PCI DSSに準拠する上で必要な内容、観点を概要設計や要件定義に入れこみつくりこました。その分時間はかかりましたが、その点が審査の際にも功を奏し、重大な指摘を受けずに予定通りのサービスローンチにこぎつけました。
今後はサービスの維持段階に入りますが、お客様の決済情報を守っていることによるリスクがあることが、逆にモチベーションとなっています。ログ分析の仕組みや自動化の仕組みをより拡張させていかなければなりません。今回の準拠はそのためのスタートラインに立ったと考えています。(西山 様)

3. 今後の展開と目標を教えてください。

富士通エフ・アイ・ピー株式会社 小高様

▲同社 取締役 ソリューションビジネス本部 副本部長
小高 信人 様

セキュリティ全体の市場拡大が加速するなか、セキュリティ対策は企業活動において経営課題となっています。PCI DSS セキュリティコントロールサービスのPCI DSS準拠によって、幅広くセキュリティを強化したいというお客様には、ご検討いただけるサービスになるのではないでしょうか。クレジットカード業界では、カード会社加盟店へも裾野が広がっていくと期待しています。
また、クレジット情報と関係のないお客様もセキュリティの課題をお持ちであり、PCIDSSに準拠した当サービスをセキュリティ対策として、ぜひご活用いただきたいと考えています。
開始したばかりのサービスではありますが、データセンターをすでに運用されているお客様からの強い興味をいただいています。 今後は、PCI DSS セキュリティコントロールサービスを利用した当社サービスの安定的な品質の確保、デリバリーのスピードアップ、ご提供価格の低減などを目指して邁進してまいります。

4. BSIジャパンを審査機関として選定いただいた理由と審査についてお聞かせください。

世界でサービス展開を行っており、国内でも実績がある点です。以前データセンターでのPCI DSS準拠時にもBSIジャパンにサポートを依頼しましたが、非常に満足しており、今回も安心して相談をすることができました。また、PCI DSSのバージョンアップ頻度も高いなかで、情報提供をいただけることも助かっています。(小高 様)

5. 審査の感想や今後、BSIジャパンに期待することをお聞かせください。

経験豊富な審査員が、受審側の立場に立ち、サービスのどの部分に一番大きなリスクがあるか考えた上での審査を行っており、安心して審査をまかせることができました。現場の担当者の満足度も高く信頼がおけました。

BSIジャパンには、今後のセキュリティの実務的なトレンドを含め、バージョンアップの際など情報提供を行っていただきたいと考えています。(皆様より)

 

貴重なお話をありがとうございました。


富士通エフ・アイ・ピー株式会社に関して

今回インタビューにご協力いただきました富士通エフ・アイ・ピー株式会社の詳細情報に関しては、下記URLよりご参照いただけます。

URL:http://www.fujitsu.com/jp/fip/