Skip to content

導入事例:TIS株式会社

PCI DSS 対応の安全なプラットフォームで
クレジットカード加盟店の
集客支援ビジネスを本格始動へ

導入の背景・課題

40年以上の歴史を有する大手システムインテグレーター、TIS。同社は、 クレジットカード・決済のシステムに関しても豊富なノウハウと卓越した技術力を持ち、その強みを活かした新サービスとして、米国カードスプリング社のクラウドサービス「CardSpring」の日本での展開を決めた。

CardSpringは、PaaS(Platform as a Service)型の「CLO(Card Linked Offer)」サービスであり、デジタルクーポンと クレジットカードの利用情報を結び付け、カード利用者に対するインセンティブ(割引・ポイント付与など)の提供を可能にする。利用者が従来のようにクーポンを印刷して持参する必要がなくなるという利便性からCLOへの期待は高まっており、TISは、ペイメントプロセッサー(決済事業者)やメディア事業社との連携・協業を推し進め、どの店舗、どのカードでも使えるサービスを目指しているという。また、加盟店もクーポン利用者の属性(新規/リピーター、来訪回数等)をとらえられるようになり、クーポン配布対象の絞り込みやクーポン効果の測定なども的確に行えるようになるという。

TIS株式会社 アドバンストソリューション事業部 アドバンストソリューション事業統括部 モバイルプラットフォーム推進室 吉川 大亮 氏

このように、CardSpringはカード加盟店の集客施策の先鋭化・最適化に極めて有効な基盤だが、そのインフラ上では多くのカード情報が扱われ、セキュリティには万全を期すことが求められる。加えて、CardSpringのサービスは、米国CardSpringとのデータ連携によって実現されるものでもあり、日本での展開に際してカードスプリング側が求めるセキュリティ要件にCardSpringの国内インフラを対応させる必要があった。その要件が、PCI DSS(※1)への準拠だ。「つまり、PCI DSS認定を取得しないかぎり、CardSpringのサービスを日本で立ち上げることはできなかったのです」と、TISでCardSpring事業を担当するアドバンストソリューション事業部の吉川 大亮氏は振り返る。この重要命題を遂行する一手として、TISが採用したのがトレンドマイクロの「Trend Micro Deep Security™(以下、Deep Security)」だった。

※1 PCI DSSは、「Payment Card Industry Data Security Standard」の略。
   クレジットカード・データのセキュリティを確保するための国際標準規格。

選定理由・ソリューション

TIS株式会社 IT基盤サービス本部 IT基盤サービス第1事業部 IT基盤サービス第4部 江口 哲平 氏

CardSpringの国内インフラをPCI DSSに対応させるに際して、吉川氏らが全面的な協力を仰いだのは、TISのIT基盤サービス部門だ。同部門は、ITインフラの設計・構築・運用などを手がける組織であり、PCI DSS認定取得のコンサルティング・サービスも社内外に向けて提供している。その部門が「可能な限り手間とコストをかけずにPCI DSS対応を実現したい」との要請に従って選定したセキュリティソリューションの1つが、Deep Securityだ。現在、CardSpringの国内インフラでは、基幹サーバのすべてにDeep Securityのエージェントが組み込まれ、ウイルス対策や変更監視(重要ファイルの改ざん防止)、仮想パッチ適用(IPS/IDS機能を通じた脆弱性対策)など、複数のPCI DSS要件に対応するセキュリティ施策が包括的に講じられている。

IT基盤サービス本部の江口 哲平氏は、PCI DSSソリューションとしてのDeep Securityの利点を次のように説く。

「通常、PCI DSS準拠などを目的に改ざん防止やウイルス対策などの施策を講じようとすると、施策ごとに個別のツールの導入が必要とされ、導入・運用の負担が増すばかりか、管理サーバもツールごとに設置しなければなりません。対するDeep Securityの場合、1つの製品で複数のPCI DSS要件をカバーでき、複数の対策を1つの管理サーバから管理・運用することができます。そのため、導入・運用負担も少なく、セキュリティ確保のために多くのITリソースを割く必要もなくなるのです」

TIS株式会社 IT基盤サービス本部 IT基盤サービス第1事業部 IT基盤サービス第4部 主任 宮崎 優 氏

なお、CardSpringの国内インフラは、TISが管理・運用するデータセンター内に配備されており、ネットワーク全体はファイアウォール・アプライアンスやIPSアプライアンスなどによって保護されている。この構成の中で、TISはDeep SecurityのIPS機能も用いているが、その理由について、IT基盤サービス本部の宮崎 優氏は以下のように説明する。

「例えば、ホスト型のDeep SecurityのIPS機能を使えば、SSLで暗号化された通信など、ネットワーク上のIPSアプライアンスで捕捉しづらい攻撃も検知、対応することが可能です。要するに、アプライアンスだけでは足りない部分をDeep Securityで補完し、全体のセキュリティ強度を高めているということです」

CardSpringプラットフォームの概要図

導入効果

Deep Securityの導入・活用によって、TISはCardSpringインフラのPCI DSS対応(PCI DSS認定取得)を約6カ月間で完了させ、2014年12月1日から同インフラの運用を始動させている。その結果を踏まえ、吉川氏はDeep Securityの導入メリットについて改めてこう話す。

「我々にとっては、PCI DSS認定の取得は非常に大きなタスクでした。それが滞りなく遂行できたのは、Deep Securityの活用で多くのPCI DSS要件をカバーできたおかげです」

吉川氏はまた、Deep Securityの運用のしやすさも高く評価する。

「CardSpringのシステムは管理すべき情報が多く、全体の運用には相応の手間がかかります。そうした中で、ファイル改ざんやウイルス対策などのオペレーションが1つの画面から行える意義は決して小さくありません。また、脆弱性対策のためのセキュリティパッチの適用においても、Deep Securityで提供される『推奨スキャン』機能でサーバの脆弱性を自動的に検出し、仮想パッチを当てるという運用スタイルを採用しています。その効率性にもかなり助けられています」

吉川氏によれば、TISでは今後も決済系サービスの拡充・強化を推し進める計画であり、その流れの中で、Deep Security活用がさらに進展する可能性は十分にあるという。また、宮崎氏・江口氏も、対外的なPCI DSSソリューションを構成する選択肢の1つとして、これからもDeep Securityを位置づけていく考えであり、宮崎氏は、Windows Server 2003のサポート切れなどOSの老朽化対策として、Deep Securityを有効活用することも視野に入れている。

CardSpringインフラのPCI DSS対応を短期間・低コストで実現したDeep Security――。その活躍の場は、TISにおいても着実な広がりを見せつつあるようだ。

お客さまプロフィール

  • TIS株式会社
  • 業種:情報サービス
  • 従業員:6,077名(2014年4月1日現在)
  • 地域:東京都、日本
  • URL:http://www.tis.co.jp/

TISは、1971年創設の独立系システムインテグレーター。年間売上高は1,426億円強(2014年3月期/単体)に上り、金融・製造・流通/サービス・公共・通信などの広範な領域で、3,000社を超える企業のビジネスパートナーとして機能。それぞれの基幹ITインフラを支えるシステム構築を手がけてきた。また、SI・受託開発の事業に加えて、データセンター/クラウドなどのサービス型ITソリューションの提供にも注力。中国・ASEAN地域を中心にグローバルなサポート体制を築いている。

 

Trend Micro Deep Security の製品詳細情報

サーバセキュリティ対策事例はこちら

※ 記載内容は2014年12月現在のものです。内容は予告なく変更される場合があります。