プレスリリース
2017年6月22日
富士通エフ・アイ・ピー株式会社
PCI DSS準拠の期間短縮と負荷軽減を実現する
「PCI DSSクラウドサービス」を提供
~クレジットカード取引の国際的なセキュリティ基準への準拠を支援する新たなサービス、
2018年1月(予定)より提供開始~
富士通エフ・アイ・ピー株式会社(注1)(以下 富士通エフ・アイ・ピー)は、カード情報に関わるデータセキュリティの国際規格である「PCI DSS」に準拠が必要な企業に対して、その準拠を支援する新たなサービス「FUJITSU セキュリティソリューション PCI DSSクラウドサービス」(以下 PCI DSSクラウドサービス)を提供します。本サービスは、PCI DSSの準拠に必要なセキュリティ機能をクラウド型のサービスとして提供するもので、2018年1月から提供開始予定です。
これによりPCI DSSの準拠を目指す企業は、その準拠にあたり自社でシステムを導入する場合と比べ、導入期間の短縮と導入費用の削減が可能になります。また、クラウド型のサービスのため、準拠要件を満たすセキュリティレベルを維持するために必要なウィルス対策やアクセス制御などに関する運用負荷の軽減も可能になります。
背景
政府は、「日本再興戦略」においてキャッシュレス決済の普及による決済の利便性や効率性の向上を図ることを掲げ、クレジットカードなどを安全に利用できる環境の整備に取り組んでいます。その一方で、昨今はクレジットカード取引において、不正アクセスによるカード情報の漏えい事故などにより、偽造カード取引やネット取引上でのなりすましといった不正使用被害が増加しています。
これに対し経済産業省は、クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を発表しました。この実行計画では、カード会社および決済代行業者に対し、PCI DSSへの準拠を2018年3月末までに求めています。一方、カード情報を取り扱う各加盟店に対しては、カード情報を保持しない仕組みとするか、保持する場合にはPCI DSSへの準拠を求めており、ECサイトなどの非対面加盟店は2018年3月末まで、小売店など対面加盟店においては2020年3月末までを、それぞれ対応期限としています。このため各事業者において、その準拠に向けた取り組みが加速しています。
当社はPCI DSS準拠を目指す企業に対して、2010年から「PCI DSS準拠支援サービス」を提供してきました。本サービスは現状分析から実装、運用、検査、審査支援という準拠までのステップにワンストップで対応しています。2013年には、2か所のデータセンターでPCI DSSの物理的なセキュリティに関する要件に準拠しました。コンサルティングから対策ソリューションの導入、セキュリティの検査に加え、データセンターまで、準拠に関するサービスを強化してきました。一方で当社は、自社のサービスにおいても全ての要件に準拠した決済代行サービスなどの提供も行ってきました。
今回発表する「PCI DSSクラウドサービス」は、これまで当社が培ってきたPCI DSS準拠におけるノウハウを生かし「PCI DSS準拠支援サービス」に新たなクラウド型のサービスをラインナップとして用意するものです。PCI DSSの準拠に必要なセキュリティ機能をクラウドサービスとしてお客さまに提供することにより、準拠対応におけるセキュリティシステムの構築費用や運用負荷を軽減するとともに、導入期間の短縮も実現します。
当社は今後もPCI DSSに関わるサービスの強化に努め、お客さまのセキュリティの強化を支援してまいります。
「PCI DSSクラウドサービス」の特長
- ウィルス対策、アクセス制御、ログ管理、脆弱性検査などに対応したサービスにより、自社導入に比べて導入期間の短縮と構築費用の削減が可能です。
- クラウド型のサービスにより、本サービスの提供範囲において準拠要件を満たすセキュリティレベルの維持に必要な運用を当社が実施するため、運用負荷を軽減できます。
- 従来から当社が提供してきたPCI DSSに関するサービスとの連携により、ワンストップでのサービス提供をさらに強化します。
PCI DSS(Payment Card Industry Data Security Standard)について
クレジットカード会員データを安全に取り扱うことを目的として、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって共同で策定された、クレジットカード取引の国際的なセキュリティ基準です。前述の5社が共同で設立したPCI SSC (Payment Card Industry Security Standards Council)によって運用、管理されています。2004年12月に制定され、2016年4月に現行のv3.2にバージョンアップされています。カード会社、加盟店、決済代行業者など、カード情報を保存、処理、送信するすべての組織が対象です。
PCI DSSの目的と要件
PCI DSSでは、カード会員情報を適切に管理するための6つの目的を達成するために、12の準拠要件があります。これらの12の要件は、さらに詳細な400項目以上に細分化され規定されています。
| 目的 | 要件 |
|---|---|
| 安全なネットワークとシステムの構築と維持 | 1.カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
| 2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない | |
| カード会員データの保護 | 3.保存されるカード会員データを保護する |
| 4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する | |
| 脆弱性管理プログラムの維持 | 5.すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
| 6.安全性の高いシステムとアプリケーションを開発し、保守する | |
| 強力なアクセス制御手法の導入 | 7.カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 8.システムコンポーネントへのアクセスを識別・認証する | |
| 9.カード会員データへの物理アクセスを制限する | |
| ネットワークの定期的な監視およびテスト | 10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
| 11.セキュリティシステムおよびプロセスを定期的にテストする | |
| 情報セキュリティポリシーの維持 | 12.すべての担当者の情報セキュリティに対応するポリシーを維持する |
出典:PCI SSC「Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン3.2 2016年4月」
「PCI DSS準拠支援サービス」について
当社では、ISMS(注2)やプライバシーマークなどの認証取得支援で培ったノウハウを活用し、PCI DSSの準拠を目指す企業や、PCI DSSレベルのセキュリティ対策を検討されているお客さまに対し、「PCI DSS準拠支援サービス」を展開しています。現状分析から、実装支援、審査支援まで、12の準拠要件に対し、「5つのフェーズ」と「9つのサービス」を提供します。また、認証取得後に必要となる運用支援・改善もサポートいたします。
「PCI DSS準拠サービス」のサービス体系イメージ
PCI DSSのデータセンターにおける準拠について
富士通が全国に展開する16か所のデータセンターのうち「横浜データセンター」と「横浜港北データセンター」はPCI DSSの12の準拠要件のうちの、物理的なセキュリティに関する要件9と要件11.1(不正なワイヤレスアクセスポイントの検出)に準拠しています。
提供価格および提供時期
| 内容 | 提供価格(税別) | 提供時期 | |
|---|---|---|---|
| 月額費用 |
|
2018年1月 |
・別途、初期導入費用が必要です。
販売目標
5年間で200社
関連Webサイト
商標について
記載されている製品名などの固有名詞は、各社の商標または登録商標です。
注釈
- 注1 富士通エフ・アイ・ピー株式会社:
- 本社:東京都港区、代表取締役社長:米倉 誠人
- 注2 ISMS(Information Security Management System):
- 英国規格(BS7799-2:2002)を基に財団法人日本情報処理開発協会(JIPDEC)が定めた認証基準に基づく情報セキュリティマネジメントに関する認証制度
本件に関するお問い合わせ先
富士通エフ・アイ・ピー株式会社 広報部
TEL:03-6722-0231
E-mail:fip-info@cs.jp.fujitsu.com
受付時間:8時40分~17時30分(土曜日・日曜日・祝日ほか当社休業日を除く)
以上
プレスリリースに記載された製品の価格、仕様、サービス内容、お問い合わせ先などは発表日現在のものです。その後予告なしに変更されることがあります。あらかじめご了承ください。
