2022.05.31

PCI DSS Ready Cloud の新サービス 「マネージドモデル」を提供開始

  • このエントリーをはてなブックマークに追加


PCI DSS 準拠を促進するクラウドサービス 「PCI DSS Ready Cloud」「BIZTEL コールセンター PCI DSS」や、店舗向けのサブスクリプション(継続課金)決済端末およびゲートウェイサービス「Smart TG」を展開する株式会社リンク(本社:東京都港区、代表取締役社長:岡田 元治、以下 リンク)は、PCI DSS の最新バージョン4.0への効率的な対応と運用コストの削減を図る事業者向けに、PCI DSS Ready Cloud 「マネージドモデル」の提供を開始します。

■マネージドモデルの特長 1 : PCI DSSバージョン4.0への早期対応

PCI DSS の最新バージョンである 4.0 が、2022年 3月 31日(※1)に公開されました。バージョン 4.0 では、新たな脅威やテクノロジー・決済業界の変化に対応し、最新の基準として維持するための変更が行われています。主な変更点は次の4つ (※2)で、移行期間が終了する 2024年 3月 31日までに対応を終える必要があります (※3)。
  • オンラインスキミングやフィッシングなどの新しい攻撃手法への対応
  • 多要素認証を実装するための要件追加
  • カスタマイズアプローチ(※4)の導入
  • クラウドサービスの利用により準拠する場合の考え方の整理
今回提供を開始するマネージドモデルは、お客さまによるPCI DSS バージョン4.0への準拠に求められる新たな要件に対応したサービスを提供することで、スムーズなバージョンアップを支援します(※5)。

※1 Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0
※2 バージョン4の主な変更内容( Summary of Changes from PCI DSS Version 3.2.1 to 4.0 )
※3 PCI-DSS-v4-0-At-A-Glance
※4 PCI DSS 要件の目的を別の手段で達成することを可能にするための枠組みの一つです。
※5 PCI DSS Ready Cloud 「マネージドモデル」のバージョン 4.0 準拠は、2022 年内を予定しています。

■マネージドモデルの特長 2 : PCI DSSの維持・運用コストと工数を削減

PCI DSS Ready Cloud 「マネージドモデル」は、60 社超の導入実績を有する PCI DSS 準拠促進クラウドサービスをさらに進化させる新しいラインナップです。Amazon Web Services・Microsoft Azure・オンプレミス環境など、幅広くお客さまの PCI DSS インフラ環境への対応が可能になったことに加え、PCI DSS の維持・運用にかかるコストと工数を削減するさまざまなサービスをパッケージ化しています。

本サービスは、バージョン 4.0 で追加された要件にお客さまが対応できるよう、新機能や新サービスを順次提供していきます。また、老朽化した PCI DSS インフラ環境からの移行や、カード会員データを取り扱うサブシステムでの利用、新たに PCI DSS に準拠する際など、幅広いシーンで活用できます。

■PCI DSS Ready Cloud「マネージドモデル」について

(1)サービス概要

  • 名称:PCI DSS Ready Cloud マネージドモデル
  • 対象インフラ:Amazon Web Services・Microsoft Azure・オンプレミス環境など
  • セキュリティコンポーネント / セキュリティ運用:標準提供
  • お客さま契約環境向け運用代行サービス:オプション

(2)セキュリティコンポーネント / セキュリティ運用

当サービスが標準で提供するセキュリティコンポーネントとセキュリティ運用により、お客さまにかかる PCI DSS 運用工数を大幅に低減することが可能です。
  • セキュリティ管理
    • お客さまサーバと踏み台サーバにマルウェア検知機能、IDS/IPS 機能および改竄検知機能を提供
    • その他のセキュリティコンポーネントについても、当サービスがマルウェア検知を実施
  • ログ管理
    • すべてのログを改竄不可の状態で1年間アーカイブ
    • すべてのログの統合管理・監視を行う SIEM(※6) サービスを提供
  • 統合アカウント認証
    • お客さまサーバ・踏み台サーバなどに統合アカウント認証機能を提供
    • 統合アカウント認証と多要素認証 / シングルサインオンサービスを連携して提供
  • セキュリティパッチ適用
    踏み台サーバには自動的に Windows Update パッチを、その他のセキュリティコンポーネントにも、当サービスにて定期的にセキュリティパッチを適用(※7)
  • 構成管理
    踏み台サーバへの構成管理機能を提供
  • 障害対応
    踏み台サーバやセキュリティコンポーネントで障害が発生した場合、当サービスが 24 時間 365 日態勢で再起動などの障害対応を実施
  • ペネトレーションテスト
    踏み台サーバへのネットワークペネトレーションテスト、境界ペネトレーションテストを当サービスにて実施
  • 脆弱性スキャン
    • 定期的な踏み台サーバへの内部脆弱性スキャンを実施
    • 発見された踏み台サーバの脆弱性の修正作業を当サービスで実施(※7)
    • お客さまサーバへの脆弱性スキャン機能を提供(オプション)
※6 Security Information and Event Management (セキュリティ情報およびイベント管理)の略
※7 お客さまがインストールしたアプリケーションへのパッチ適用および脆弱性対応は本サービスの対象外です。
※8 Penetration-Testing-Guidance-v1_1

(3)お客さま契約環境向け運用代行サービス(オプション)

お客さま側で契約した Amazon Web Services / VPC、Microsoft Azure / VNet に加え、オンプレミス環境などの運用代行サービスをオプションで提供します。標準サービスとの併用により、お客さまにかかる PCI DSS 運用工数のさらなる低減が可能です。
  • パッチ適用
    お客さまのサーバに対し、手動でパッチ適用作業を実施
  • セキュリティ監視
    対応フローに基づいて、SIEM サービスから出力されるアラートの通知を 24 時間 365 日態勢で通知
  • 障害対応
    手順書に基づく障害対応を 24 時間 365 日態勢で実施
  • 脆弱性スキャン
    • お客さまの公開サーバに対し、外部脆弱性スキャンサービス(ASV)を提供
    • お客さまのサーバに対し、定期的に内部脆弱性スキャンを実施
  • ペネトレーションテスト
    お客さまのサーバに対し、定期的に Information Supplement: Penetration Testing Guidance(※8)に準じたサービスを提供
リンクは、カード情報の非保持化や PCI DSS 準拠が求められている、クレジットカードなどのペイメントカード情報を取り扱う加盟店および事業者に対し、さまざまなサービスを通じて、より安全にペイメントカードの決済が行える環境の構築・運用を支援してまいります。

株式会社リンクについて

株式会社リンクは、業界最大級の稼動台数を持つ専用ホスティング「at+link」、クラウド型ホスティング「リンク・ベアメタルクラウド」を軸として、5年連続シェア第1位のクラウド型コールセンターシステム「BIZTEL」、セキュリティプラットフォームサービス「PCI DSS Ready Cloud」など、さまざまなサブスクリプション型サービスを提供しています。農系事業にも取り組んでおり、2011年10 月からは岩手県岩泉町にある自然放牧酪農場「なかほら牧場」を運営しています。
事業の詳細は、https://www.link.co.jp/ をご覧ください。

本プレスリリースに関するお問い合わせ先

株式会社リンク セキュリティプラットフォーム事業部 担当:加藤・滝村
TEL:03-6704-9090 / FAX:03-5785-2277 / Email:spdsales@link.co.jp

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加