NTTスマートトレード株式会社

マルチ OS 対応と集中管理で
PCI DSS v3.0 準拠を強力にサポートする
Trend Micro Deep Security™

概要

お客さまの課題

増大するサイバーリスクや厳しさを増すPCI DSS要件に効率的に対応する方法を模索していた

解決策と効果

マルチOS環境での複数のセキュリティ施策を集中管理・一元運用。セキュリティ運用の負荷を大きく低減しつつ、PCI DSS対応を強力に支援

"Deep Security ならば、当社が目指すセキュリティ施策・運用のスタイルが実現できるとの手ごたえを得ています。PCI DSS 対応でも頼れる存在です"

NTTスマートトレード株式会社
送金決済本部 情報システム部 部長
堀地 謙 氏

導入の背景・課題

NTTスマートトレードは、NTTコミュニケーションズの100%出資で、2010年から電子マネー決済やクレジットカード決済、さらには送金などの金融サービスを手がけ、ビジネス・プラットフォームとしてのインターネットの発展に寄与してきた。

そんな同社のIT 部門(情報システム部)が取り組んでいるのが、サービスを支えるITインフラ(以下、サービス基盤)の刷新だ。現在(2015年6月現在)、2015年9月のシステム・ローンチ(運用開始)に向け、新サービス基盤の構築を着々と進行させている。またもう1つ、情報システム部が取り組む課題がある。それは、クレジットカードのデータセキュリティ国際規格「PCI DSS v3.0」への対応だ。

NTTスマートトレードは2014年12月に「PCI DSS v2.0」を取得したが、PCI DSSの場合、1 年ごとの更新が義務づけられている。したがって、2015年12月には、PCI DSS v3.0を取得しなければならず、9月始動の新サービス基盤にもPCI DSS v3.0の要件を満たす強固なセキュリティが求められている。もっとも、サービス基盤のセキュリティ・レベルを上げることは、NTTスマートトレードにとってPCI DSS v3.0対応以前に必須の施策である、と情報システム部長の堀地 謙氏は指摘する。

「当社が提供しているサービスは、お客さま情報やクレジットカード情報を厳重に管理し、信頼を得ることが極めて重要です。サイバーリスクが増大の一途をたどる今、サービス基盤のセキュリティをさらに強化することは不可避の取り組みと言えるのですこう語る堀地氏が、新サービス基盤のセキュリティ強化を目的に導入を決めたツールが、トレンドマイクロの「Trend Micro Deep Security™(以下、Deep Security)」だ。

選定理由・ソリューション

堀地氏がDeep Securityを選定した理由の1つは、このソリューションがPCI DSS対応の支援に有効な製品であったことだ。また、「Deep Securityの多彩で小回りの利く機能・設計も魅力的でした」と堀地氏は言う。

NTTスマートトレードの新サービス基盤を構成するサーバは、すべて仮想化環境上に配備され、全体としては数十台のサーバが4台の物理筐体に集約される格好となる。仮想化環境上で動作するサーバOSは、Windows Server系、Linux系、Solaris系の3種類。これらすべてのサーバOSにDeep Securityエージェントをインストールし、変更監視(改ざん検知)やセキュリティログ監視、ウイルス対策などに役立てていくというのがNTTスマートトレードの計画だ。「Deep Securityが優れているのは、多機能で、かつマルチプラットフォームに対応していることです。

とりわけ私たちにとってありがたかったのは、Solarisの改ざん検知をサポートしていたことです。まさに、"かゆいところに手が届く製品"だと感じましたね」と、堀地氏は語り、こう続ける。「異機種混在のサーバ環境に対して、ここまできめ細かくセキュリティ施策が講じられるツールは他に例を見ません。加えて、PCI DSS対応の支援にも有用で、多機能な割に価格もリーズナブル。当社が、新システム(新サーバ基盤)の防御を固めるうえでも、PCI DSS v3.0の要件を満たすうえでも、Deep Securityは最適な選択肢だったのです」

システム構成イメージとセキュリティ対策の概要

導入効果

先に触れたとおり、新サービス基盤の運用開始は2015年9月であり、Deep Securityについては、まだ検証段階にある。それでも、Deep Securityによって多くのメリットがもたらされるとの手ごたえは得られているようだ。情報システム部のマネージャー、岡 泰之氏は言う。

「Deep Securityで講じたセキュリティ施策ならば、自社開発した監視システムなどの場合と比べてPCI DSS審査の際の説明が格段に簡単になりますし、実質的な効力は十分にあるとの感触を得ています。PCI DSS v3.0の取得に向けて、非常に頼りになるツールだと感じています」

また、堀地氏によれば、Deep Securityは、セキュリティ施策の運用管理の負荷削減にも極めて有効であるという。「例えば、PCI DSSでは毎日のログ監視を義務づけていますが、仮に、異なるシステムのログを個別に監視・管理しなければならないとすれば、それこそ多大な負荷が管理者側にのしかかります。対するDeep Securityの場合、1つの管理コンソールであらゆるシステムのログを集中的に監視・管理できます。つまり、PCI DSS要件を満たすための運用管理の負担を極小化することが可能ということです」

実のところ、NTTスマートトレードの新サービス基盤はNTTデータのデータセンター内で運用管理される計画であり、そのセンター自体はWAF/IPS/IDSなどのツールによって強固に守られている。また、NTTスマートトレードのサービス基盤と、銀行/クレジットカード会社との間は閉域網で結ばれるため、インターネット上の脅威にさらされる心配もない。それでも、NTTスマートトレードはDeep Securityを採用し、データセンターの防御網と組み合わせてサービス基盤を守ることを選んだ。理由はもちろん、サイバー攻撃の多様化と増大という大きなリスクが、NTTスマートトレードのサービスを脅かしているからだ。

堀地氏は最後にこう語る。「サイバーリスクの増大につれて、PCI DSSの要件も厳しさを増し、当社のような金融サービス事業者には徹底的なセキュリティ対策が求められています。ただし、そのために運用管理負担が増大するのでは、かえってセキュリティ上の漏れが生じかねません。それを避けるためにも、セキュリティ運用管理の集中化が必須です。Deep Securityはそれを実現してくれるツールとして評価していますし、今後の発展に大きな期待をかけています」NTTスマートトレードのサービスを支えるテクノロジーとして、Deep Securityの果たすべき役割はますます重みを増すことになりそうだ。

※ 記載内容は2015年6月現在のものです。内容は予告なく変更される場合があります。