PCI DSS 準拠支援ソリューション
サービス活用事例

常にPCI DSSを意識した運用が会社全体に浸透し
セキュリティ意識が向上していることを強く感じます

株式会社ecbeing 様

B2C、B2B向けのECサイト構築パッケージを、ECの専用のインフラ環境と一緒にご提供しています。国内ECサイト構築では17年連続シェア1位の評価をいただいております。ECサイトで必要となるさまざまな機能を「マイクロサービス」としてご用意しており、必要なものを選んでいただくことでお客様のニーズに合わせたサイトを構築いただけるのが特徴です。

2016年の割賦販売法改正により、EC加盟店にもクレジットカード情報保護義務が課せられました。これに対応して、2017年4月からオプションでご利用いただけるPCI DSS対応環境のご提供を開始しています。

PCI DSSで要求されるクレジットカード情報流出事件を想定したインシデント対応演習をお願いしたことがきっかけで、PCI DSS準拠運用についてもコンサルティングをお願いするようになりました。月1回の定例会で不明点や課題を相談しながら日々の運用を社内で行ってきました。

サービス利用の背景

PCI DSS関連業務量の偏りで他の業務に支障

PCI DSSの運用や審査対応は兼任のセキュリティエンジニアが担当しています。社内にはインフラエンジニア、セキュリティエンジニアのチームがありますが、月次の証跡取得や審査対応は担当者がすべて行っています。

他の業務との兼ね合いで、PCI DSS関連の業務は時間がある時にまとめて行うことになるため、計画的な作業が難しく、必要な作業がきちんと可視化できていませんでした。また、日常業務の中にPCI DSSの考え方を入れ込んでいくBAU(Business As Usual)ができていませんでした。

審査時には2ヶ月前から必要なドキュメントを確認し、5日間の実地審査の後、指摘事項を1ヶ月かけて修正するという対応をしていました。実地審査の間は他のことが何もできないため、兼任している業務に支障をきたしていました。

運用の証跡や文書をクラウド上で確認していただけるのが、ありがたいということ、また実地審査の期間が短縮され、準拠にかかる費用も下がるということで、ご提案をお断りする理由が見つかりませんでした。

会社はPCI DSS準拠・運用のコストが下がることに一番のメリットを感じていました。運用担当者は、業務が平準化され実地審査の拘束時間が短縮されることに加え、運用時の課題が可視化され業務を計画的に行えることや、定期的にコンサルタントに運用状況を確認してもらえることで優先順位や対応すべきことのバランス良い判断ができることを期待しました。

代表取締役社長 林 雅也氏

株式会社ecbeing
代表取締役社長
林 雅也氏

採用の効果

BAUの浸透で社内全体のセキュリティが向上

オンクラウドレビューの利用を2020年5月から開始し、課題の可視化や業務の平準化については、期待どおりの効果があると感じました。想定外だったのは、オンクラウドレビューの導入により常に社内の多くのメンバーがPCI DSSを意識するようになり、自然とBAUの考え方を取り入れたセキュリティ運用ができるようになってきたことです。

PCI DSSで必要とされる「ログを取る」「文書化する」「変更管理の証跡をとる」といったことが、インフラ部門の末端まで浸透してきています。そこから派生して、何か必要な情報を得る時には「証跡を下さい」という習慣が社内全体に広がっています。会社全体としてセキュリティ意識が向上していることを強く感じます。

2021年3月に、オンクラウドレビュー導入後最初の実地審査がありました。今までの実地審査は、まず各種証跡をその場でQSA審査員に見せて、確認しながらヒアリングを行っていましたが、オンクラウドレビューでは事前にQSAによる証跡確認を済ませた状態で審査に臨めます。

結果、とてもスムーズに確認を進められて、2拠点の現地確認を各1一2時間とヒアリングが2時間で終わりました。これまでは5日間まるまる拘束されていたのが、所要時間が8割減ったことになります。事前に確認できることで、こんなにも違うのかと驚きました。

CSIRT部長代理 加藤 新氏

株式会社ecbeing
CSIRT部長代理
加藤 新氏

今後の展望

クラウド活用で社内の情報共有もスムーズ

今までも月次の定例会議でPCI DSSの運用について相談していましたが、オンクラウドレビューを導入したことで、いつでも質問や相談ができる場所があることが安心感につながっています。インフラ担当者も専用のクラウドサービスにユーザー登録して、ログや証跡を直接アップロードしたり、コンサルタントやQSAによる確認の様子を直接見てもらえますので、社内でのデータのやり取りや指示伝達の手間も減らすことができています。

今回、オンクラウドレビューを導入したことで、PCI DSS運用と審査をワンストップでお願いできるようになりましたので、今後は脆弱性スキャンやペネトレーションテストなどの診断についてもワンストップ化をはかりたく、内製化を含めて検討したいと考えています。2022年にはPCI DSS v4.0のリリースがありますから、移行についても相談していきたいですね。

CORPORATE PROFILE
会社名
株式会社ecbeing
設立
2012年
所在地
東京都渋谷区渋谷2-15-1 渋谷クロスタワー7F
事業内容
ECサイト構築、 ECビジネスコンサルティング、ECサイトデザイン制作、 EC・プロモーション・マーケティン グ、 EC専用インフラサービス
代表者
代表取締役会長 林 勝、代表取締役社長 林 雅也
記載されている情報は取材時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。本書に含まれる技術情報は、予告なく変更されることがあります。記載されている会社名および商品名は、各社の商標または登録商標です。