ファイルサーバ暗号化サービス

PCI DSS Ready Cloud

ファイル単位での暗号化を実現

ディスクレベルおよびパーティションレベルの暗号化はリムーバブルメディア以外認められない。
新要件「3.5.1.2 」への対策。

PCI DSS準拠済み鍵管理環境を提供

PCI DSS準拠済インフラ「PCI DSS Ready Cloud」からサービスを提供。
ファイルサーバにソフトウェアをインストールし、専用線を開通すれば即時に利用可能

資料を今すぐ確認
資料ダウンロード
講演動画 見逃し配信中
オンデマンド動画配信

ファイルサーバ暗号化対応の課題

PCI DSSに準拠した専用ソフトウェアやサーバを用意すると、
構築や運用コストが想定以上にかかり、ディスク暗号化要件をクリアするのはハードルが高い

番号 要件
3.5.1.2

ディスクレベルまたはパーティションレベルの暗号化(ファイル、列、フィールドレベルのデータベース暗号化ではない)を使用して PAN を読み取り不能にする場合、以下のようにのみ実装される。

  • リムーバブル電子メディア上
  • またはリムーバブルでない電子メディアに使用する場合

要件 3.5.1 を満たす別のメカニズムで PAN も読み取り不能にする。

3.6

保存されているアカウントデータを保護するために使用される暗号化鍵が保護されている。

3.7

保存されているアカウントデータを保護するために暗号が使用されている場合、鍵のライフサイクルの すべての側面を網羅する鍵管理 プロセスおよび手順が定義され、実施されている。

12.8

サードパーティサービスプロバイダ(TPSP)との関係に関連する情報資産へのリスクが管理されている。

ディスクレベル暗号化についての制限とは?

新しい要件では、ディスク全体やパーティション単位の暗号化は、
リムーバブルメディアに対してのみ許可されます。

ファイルサーバ暗号化サービス EncFile Cloudとは?

ファイルサーバをPCI DSS要件「3.5.1.2」に対応するクラウドサービスです。
クレジットカード情報(PAN)を保存している、お客さまのファイルサーバ環境がオンプレミス、クラウドに依存せずサービス提供します。

PCI DSS要件:
3.5.1.2
ディスクレベルの
暗号化はNG
対策に困っている

ファイルサーバ暗号化サービス
ファイル単位での暗号化を実現

ディスクレベルおよびパーティションレベルの暗号化は
リムーバブルメディア以外認められない。 新要件「3.5.1.2 」への対策。

PCI DSS準拠済み鍵管理環境を提供

PCI DSS準拠済インフラ「PCI DSS Ready Cloud」からのサービス提供のため、ファイルサーバにソフトウェアをインストールし、専用線を開通すれば即時に利用可能

システムイメージ

お客さまのファイルサーバ(オンプレミス、AWSなどのクラウド環境)に暗号化処理を行う専用のソフトウェアをインストール。暗号化処理を行うために必要な暗号化キーをPCI DSS準拠している本サービス内で安全に管理いたします。

利用イメージ

  • カード発行 業務
  • カード会員 管理・サポート(コールセンター対応等含む)
  • カード会員 データ分析 / カード会員向けマーケティング業務

ファイルサーバ暗号化サービス 仕様

分類 サービス仕様/考え方
対象システム

暗号化可能な対象システムはファイルサーバ(Windows Server)です。
※データベースは本サービスの対象外です。
アクセス権設定

ガードポイントという単位で「ファイル/フォルダ」と「ユーザー/グループ」を紐づけてアクセス権を設定可能です。

取り扱い可能な
ファイル

Word、Excel、PDF、画像、動画、音声、EXE、ZIP 等、一般的なファイルは暗号化可能です。
※OSの特殊ファイルについては一部制限あり。
導入要件
(サーバスペック)

ファイルサーバに専用エージェントソフトのインストールが必要です。インストールには、CPU4コア、メモリ8GB、インストール領域として 1GB の空き DISK が必要です。

暗号化・復号化
にかかる時間 目安

ライブ暗号化/復号化機能をサポートしています。
そのため、利用者は暗号化/復号化の待ち時間を意識することはありません。

暗号化処理
初回実行

ライブ暗号化機能によって、暗号化処理中でも利用者は暗号化の待ち時間を意識せずに利用可能です。
ADサーバ、ローカルアカウントデータ
との連携

ファイルサーバのユーザ情報は、エージェントソフトを通じて、当社の鍵管理サービスに連携されます。連携されたユーザ情報を使用して、アクセス権の設定が可能です。鍵管理サーバへのログインは、当社が発行したユーザを使用して実施します。

アクセス権設定と
利用イメージ

クライアントPC内のソフトウェアからファイルアップロードしたファイルに対しても暗号化は可能です。またアプリケーションがファイルを取り出す際に復号化もされます。
※ユーザー/グループ単位でアクセス権を設定します。アプリケーションからのアクセスの場合、アプリケーションユーザーに対してアクセス件を設定します。

暗号化したデータを別のファイルサーバに移行した場合

暗号化したフォルダから別のフォルダに移動するタイミングで復号化されます。
専用線に
接続トラブルが
発生した場合

ファイルサーバにインストールしたエージェントに鍵がキャッシュされます。そのため、専用線に接続トラブルが起きた場合でも問題なく暗号化/復号化可能です。
ファイルサーバを再起動した際にキャッシュされていた鍵は削除され、鍵管理サービスにオリジナル鍵の再取得を実施します。
複数のファイル
サーバの管理

複数台のファイルサーバも一つの管理UIで管理可能です。
お客さま側の
ルーター提供

ルータの提供は行っておりません。お客さまにて調達をお願いしております。
専用線の準備と
必要な回線数

お客様にて調達をお願いしております。
同一のローカルNW上のファイルサーバは1本の専用線で管理可能です。