クレジット取引セキュリティ対策協議会は、2016年2月および2017年3月に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で、国内のクレジットカード情報管理の基準をPCI DSSと定め、クレジットカード情報を取扱う業界各社に対して、PCI DSS準拠を前提とした情報セキュリティ管理体制の構築を求めている。
企業が自社のセキュリティ体制をPCI DSSに準拠させるためには、最大で400以上の要件を満たす必要があり、この中には、365日欠かさずネットワークへの不正侵入や不正な操作がないかといったシステムのログを収集し、確認する項目がある。
企業にとって負担となるこの課題に対し、DNPとBBSecは企業のログの確認を代行する新サービスの提供を開始するという。新サービスの特徴は次のとおり。
■PCI DSS準拠維持に必要な業務負荷とコストを大幅に削減
・PCI DSS準拠要件の1つである「日次ログレビュー」のために、365日欠かさず行わなければならないログの確認を代行。
・本サービスを利用することで、PCI DSSへの準拠を目指す企業は、高額なログ収集・解析ツールの導入が不要となるだけでなく、高度な知識が要求される専用ツールを操作する専任担当者を用意する必要もない。
■専門スタッフがログ確認を代行、分かりやすい結果レポート、質問にも対応
日々収集するログの確認は、BBSecの経験豊富な専門スタッフが行い、確認結果を分かりやすくまとめたレポートを 365日、指定された宛先にメールで送信。レポート内容の不明点など、メールや電話での問い合わせにも対応。
必要なログに対する適正な確認結果レポートを 毎日メールで受信することができるため、PCI DSS準拠を目指す企業は、このレポートメールを確認、保存するだけで、日次ログレビューの要件を満たすことができる。
新サービスでは、ユーザーの環境で収集するログをBBSecのサーバに1日1回自動送信。なお、ログはトランケート処理を行うため、クレジットカード情報(PAN)を含まない。送信中のログや保存データは、暗号化などによって安全を保つ。
