導入事例 株式会社エクシード様

×

〜日本初! セキュリティ国際規格の「ISMS」及び「PCI DSS」認証の同時取得でLogstorageを活用〜


 ホスティングサービスを展開する株式会社エクシードは、「ISMS」と「PCI DSS」認証を日本で初めて同時に取得し、更に「PCI DSS Ver.2.0」の認証も一早く取得するなど、同社のユーザが利用するITインフラのセキュリティ向上への取り組みを続けている。
 認証取得の際に導入されたLogstorageは、同社のホスティングサービスを構成するサーバやネットワーク機器のログを統合し、セキュリティ・ポリシーの監査ツールとして日々利用されており、今後、同社が展開するクラウドサービスへの活用も視野に入れる。


Logstorage導入の背景

 エクシードがISMSとPCI DSSの認証取得の準備に着手したのは2009年2月。自社のホスティングサービスを利用するユーザに対して安心感を与え、また社内のセキュリティ意識の向上に役立つと考えたからだ。
 また、PCI DSSに関しては、カード会員データの保管、処理、送信を行うサービスプロバイダが同社のデータセンターを利用する事により、スムーズにPCI DSSに準拠することが可能になるため、新たなビジネスを生み出せると考えていた。

 認証取得に当たっての課題は、「PCI DSS対応に必要となる機器やソフトウェアに掛かるコストだった」と、同社テクニカル・サービス・グループ マネージャの苙口氏は当時の状況を語る。
特に、ログ管理システムについては複数の製品の見積もりを取ってみたが、価格が高いものが多く、認証取得自体を見直す事も考えた程だった。

 そうした中で目に留まったのが統合ログ管理システムLogstorageである。Logstorageは、同社が必要と考えていたログ管理機能を全て備え、収集・管理を予定していたログについても全て対応実績があった。そして何よりポイントは、低コストで導入できる、費用対効果が高い製品であることだった。
 2009年10月、エクシードはLogstorageの導入に踏み切った。

PCI DSS対応に統合ログ管理システムは必要なのか

オペレーションサービスグループ
シニアマネージャー 苙口 裕介氏
 PCI DSSにおいて、ログ管理に関する内容は「PCI DSS 要件とセキュリティ評価手順 要件10」にまとめられている。
この要件に対応するために、Logstorageは必要なのか。

 苙口氏は「サーバや機器を追加する際、それらのログを収集する仕組みをその都度用意するのは時間もコストも掛かる。また、例えば管理者権限のユーザのログを検索しようとしても、単にログを溜めているだけでは難しい」という。
 Logstorageはまさに、こうした課題を解決するツールであり、また、PCI DSSで求められるログの暗号化や改ざん検出機能を標準で持つ。これらの機能を1つ1つ自前で準備していくのは時間・コストの両面で難しく、サービス提供の迅速性や柔軟性をも損ないかねないのである。

 2010年3月、エクシードはPCI DSS認証審査を受けた。
QSA(認定セキュリティ評価機関)による訪問審査では、「審査員が実際にLogstorageの画面を見て、ログのモニタリングの仕組みが適切に用意されているかが確認されたが、Logstorageの機能や用意されたテンプレートで問題無く対応できた」(苙口氏)
 ログ管理の要件について、Logstorageで代替コントロール(*)を用いることなく、対応出来たのである。

(*)代替コントロール:要件を満たすことが出来なかった場合、その他の方法で要件に関連するリスクを軽減すること。

 その後、PCI DSSに準拠した同社のサービスは、カード決済代行事業者などのユーザに利用が広がっており、2011年3月には、PCI DSS Ver.2.0 の認証取得も完了した。

今後の展望

 統合ログ管理システムは、PDCAサイクルを回して「可視化」のレベルを上げていくものであるとされる。
 クラウド基盤の設計・構築を強みとするエクシードは、ユーザに更なる安心を提供するため、中身が見えにくいとされるクラウド環境の運用・利用状況の可視化にログが活用できると見る。
 加速するクラウド化の流れの中で、クラウド・セキュリティをいかにして確保するのかが重要な課題になっている。そういった面でも、「ログ」が果たす役割は今後、より一層重要になっていくのである。

株式会社エクシード様 会社概要



株式会社エクシード
本社所在地/東京都品川区東五反田3-20-14 高輪パークタワー7F
設立/2006年9月21日
代表取締役社長/立川 健児
主な事業内容:クラウドシフト推進事業および
          ITインフラ運用サービスの提供
URL: http://www.xseed.co.jp/