目指したのは厳格なカード情報管理。Logstorageで電話受注システムのPCI DSS準拠を達成
株式会社ジャパネットホールディングス
- 導入製品/サービス…
- Logstorage
|
<取材協力> (写真左より) |
|
ジャパネットホールディングスでは、クレジットカードの国際セキュリティ標準 PCI DSSのバージョンアップにより、電話受注システムで同標準に準拠する必要が生じました。そこで同社はWindowsサーバのイベントログ収集・検知機能に優れたLogstorageを採用。構築したシステムによりPCI DSS準拠を見事達成しました。それと同時に独自のデータ監視体制も構築、この機にカードデータセキュリティに関して将来にわたる拡張性も確保しました。 |
|
導入のPOINT
1.LogstorageでWindowsサーバ15台のログ管理・監視体制を構築しPCI DSS準拠を達成
2.Logstorageの機能を活用し、シナリオベースの独自データ監視体制も確立
3.将来的なデータ量増加や保存方針の変化にも対応可能な堅牢性・拡張性を確保
課題
- クレジットカードの国際セキュリティ標準PCI DSS 3.2により、電話受注システム、及び、関連するネットワーク内のサーバ群が準拠の対象となった
- PCI DSSで求められるログ管理の運用を、人海戦術で実現するのは非現実的であると感じた
- 自社カードの発行、運営の開始によりますますクレジットカードの重要性が増していた
対策
- Windowsサーバのイベントログ収集・検知機能を評価しLogstorageを採用
- Logstorageの諸機能を駆使し、極力手間のかからないログ管理の運用を確立
- 同じ目線で課題に取り組んでくれる技術力の高いアシストを採用
効果
- 2018年6月、データ管理・監視体制が認められPCI DSS準拠を達成
- ジャパネットホールディングスならではのシナリオに基づいたデータ監視体制を確立、大きな抑止力を発揮
- カードデータセキュリティにおいて将来にわたる拡張性を確保
システム概要図
|
|
カード情報管理の厳格化を目指しPCI DSS準拠を決断
ジャパネットホールディングスは、日本を代表する通信販売事業を有しています。多くの顧客を獲得している理由に、同グループが商品の仕入れからアフターフォローまで自前主義を取り、全てに責任を持っていることがあります。また、顧客の多様なライフスタイルに合わせて、テレビ、ラジオ、インターネット、カタログ、チラシなどたくさんの入り口を用意するとともに、徹底的に選び抜いた商品だけを磨きあげて紹介する少品種多量販売を実践。このような事業方針からも同グループは顧客から選ばれています。
今日、通信販売企業にとってクレジットカードは重要な決済手段の一つです。クレジットカード業界にはPCI DSSという国際的なセキュリティ基準が存在し、加盟店やサービスプロバイダがクレジットカード会員データを安全に取り扱う方法が規定されています。2016年4月、PCI DSSバージョンが3.2へアップデートされた際に、カード会員データを大量に保存、処理、伝送している組織は準拠が求められることになりました。PCI DSSが定めるほど大量ではないものの、同グループではWindowsベースの電話受注システムにおけるデータ伝送がその要件に合致します。
他方、ジャパネットホールディングスでは最近独自の特長を盛り込んだ自社カードを発行、ますますクレジットカードの重要性が増していました。そこで、将来的にデータの取り扱い量が増えたり、全社的にカード会員データを保存することになっても保護できるように、今ここで十分なセキュリティ体制を整えようと、2017年6月、同グループはPCI DSS準拠プロジェクトを立ち上げました。
ログ収集・検知機能を評価してアシスト提供のLogstorageを採用
専門コンサルティングを受けた結果、手作業では抜け漏れの無い管理・監視は困難と判断、Windows OS上の全ての動作が記録されるイベントログを収集するパッケージ製品の調査を開始しました。3つの候補製品を挙げましたが、ベンダーの1社は九州での保守サービスが提供不能でした。残った2製品を試用も含めて比較検討した結果、同グループに選ばれたのがアシストの提供するLogstorageでした。株式会社ジャパネットホールディングス 情報システム開発部 システム運用課 リーダー 松瀬 勇治氏は、選定の理由を次のように語ります。
|
|---|
松瀬氏
まず、プッシュ型の自動メール通知機能が備わっていたことが大きな理由です。人が起点となるプル型では、我々が多様な業務を抱えていることもあって、どうしても対応が後手に回ってしまいます。
さらに、内部DBの仕様が公開されていないことも重要でした。パッケージDBだとDB自体も管理・監視の対象にしなければならず、二重の手間が発生するからです。
これらに加えて拡張性の高さも評価されました。この先カード会員データを自社内で保存する方針に変更したとしても、Logstorageは製品を再度調達しなくてもライセンスを追加購入するだけで使い続けられます。
そして保守サービスを提供するアシストの存在もあります。数年前からOracleの保守サービスをアシストが担当して以来、同グループとアシストは良好なパートナー関係にあります。松瀬氏はアシストについて次のように語ります。
松瀬氏
アシストとは大きな困難を一緒に乗り越えたことがあり、そのとき同じ目線で課題に取り組んでくれる仲間だと感じました。SEは勉強熱心で担当製品以外のこともよく知っており、Logstorageで壁に直面することがあってもアシストがついていれば困らないと思いました。
PCI DSS準拠達成に加え独自のデータ保護体制も確立
2017年12月に導入を正式決定し、同グループはほぼ独力でLogstorageを基にしたPCI DSS準拠体制を構築しました。Logstorageは大きく二つの領域を管理・監視対象としています。一つはCDEと呼ばれるクレジットカード会員データの利用業務があるエリアで、もう一つは隣接エリアと呼ばれるインターネット接続可能なエリアです。この二つの領域に計15台のサーバが存在し、LogstorageはこれらのWindowsイベントログを収集・集計し、レポートを作成します。作成されたレポートは、管理者に1年365日休むことなくメール送信され、レビューされます。
これに加えて同グループでは、Logstorageの機能を利用し、シナリオベースのデータ保護体制も作り上げました。業務上必要の無いサーバへのアクセスなどはその試みがLogstorage上で明らかになるため、大きな抑止力となっています。
松瀬氏はLogstorageの導入効果を以下のように語ります。
松瀬氏
2018年6月、無事にPCI DSS準拠を達成しました。まずはこれが何より大きいです。しかも、当グループ独自のデータ保護体制も確立できました。これでカード会員データの取り扱いについては将来的な拡張性を含めて格好がついたと思います。抜け漏れ無く管理・監視ができるということで、経営層から労いの言葉をいただくとともに、我々の気持ちも楽になりました。
ただ、準拠は一里塚に過ぎず、重要なのはこれからこの体制を維持し続けることです。アシストの助けも借りながら、気を緩めることなくデータを守っていきたいと思います。
責任ある企業として達成したジャパネットホールディングスのPCI DSS準拠。そこで要塞の役割を果たしているのはアシストの提供するLogstorageです。
ジャパネットホールディングス様の事例記事(PDF)をダウンロード
本事例をまとめたPDF資料を今すぐダウンロードいただけます。印刷や社内共有等にご活用ください。
|
|
本事例でご紹介したお客様情報
※お客様情報は取材時の内容に基づくものです。
| 会社名 | 株式会社ジャパネットホールディングス |
|---|---|
| 概要 | 企業理念は『「今を生きる楽しさ」を!』。モノの向こうにある生活や変化を伝えることによって、見る人聴く人に「今」この時を楽しんでもらえるショッピングを作ること。そしてお客様の「今」が豊かなものになること。そのためにグループは日々挑戦し続けています。 |
| 本社 | 長崎県佐世保市日宇町2781 |
| 設立 | 2007年6月27日 |
| 資本金 | 1,000万円 |
| 従業員 | 129人(パート・アルバイト含む、2018年4月現在) |
| URL | https://www.japanet.co.jp/ |
| 取材日 | 2018年11月 |
関連製品/サービス
Logstorage
Logstorageは、大量のログデータを収集し、分析できるようにする統合ログ管理システムです。ログ管理システムのデファクトスタンダード製品として、小規模から大規模まで圧倒的なシェアを誇ります。
- 多彩な収集機能によりログ収集の手間を大幅に軽減
- 独自の構造化によるログの圧縮でストレージコストを軽減
- 使いやすいWebアプリでログ活用を簡単に実現
事例に関するお問い合わせ
ご興味のある事例がございましたら、お気軽にお問い合わせください。より詳しい情報をお届けします。
