カード情報セキュリティ基準「PCI DSS」準拠を目的として九州のカード会社がエンカレッジ・テクノロジの本人確認ソリューション「ID Inspector」を採用
[18/01/10]
提供元:@Press
提供元:@Press
システム運用のリスク管理ソリューションを提供するエンカレッジ・テクノロジ株式会社(本社:東京都中央区、代表取締役社長兼CEO:石井 進也、以下、「当社」)は、九州日本信販株式会社(本社:福岡県北九州市、代表取締役:塩塚 茂、以下、「九信販」)がPCI DSS(※1)準拠を目的として当社製品「ID Inspector」を採用したことを発表いたします。
画像1: https://www.atpress.ne.jp/releases/146827/LL_img_146827_1.png
ID Inspector 利用イメージ
九信販は1957年に設立、JCBブランドカードの発行業務や、各種提携カードの発行などのクレジットカード事業を展開しており、現在のカード会員数は19万人に上ります。今回、九信販ではPCI DSSへの準拠を目的として当社の本人確認ソリューション「ID Inspector」の採用を決定しました。
当初課題となっていたのは、PCI DSS準拠で求められている要件の中で、管理者のアクセス権を持つ担当者によるすべての非コンソールアクセス(※2)に多要素認証(※3)を必要とするもの(要件8.3.1)でした。この要件は、PCI DSS基準の中でも、2016年4月に改訂されたPCI DSS基準バージョン3.2で新たに設けられたものであり、この要件を満たすソリューションは、対象システムが限定されているなど、必ずしも選択肢が多い状況ではありませんでした。九信販が当初導入を想定していたソリューションについては高額だったこともあり、採用に踏み切ることができませんでした。
そのため引き続き情報収集を行った結果、当社の本人確認ソリューション「ID Inspector」を新たな選定候補として比較検討し、以下の点が優れているとして採用を決定しました。
■採用の決め手
●OSや管理システムのログインに加え、使用者個人のID・パスワードや、スマートカードによる本人確認によって、PCI DSS準拠の課題となっている要件を満たせること。また導入にあたり、OSやアプリケーションに対し、設定変更やカスタマイズを必要としないこと。
●利用者が10名程度の場合のライセンス価格が約150万円と小規模であれば比較的安価に導入できること。
●同業他社をはじめ多くの企業におけるPCI DSS準拠を目的とした採用実績があること。
PCI DSSの新要件である「管理者のアクセス権を持つ担当者の非コンソールアクセス」に対する多要素認証の要件は、既にPCI DSS準拠済の企業であっても、新たに求められる要件です。「ID Inspector」は、本要件をカスタマイズ不要かつ安価に対応できるソリューションとして、他のクレジットカード関連企業に対しても提供を行うことで、安全なカード社会の実現に貢献してまいります。
■当社について
2002年に創業。金融、通信などの社会インフラの一端を担う大規模システム運用管理および運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール8年連続市場シェア1位(※4)を確保している「ESS REC」をはじめ、当社ソフトウェアは多くの企業で採用されています。
社名 : エンカレッジ・テクノロジ株式会社
(東京証券取引所マザーズ 証券コード:3682)
代表者 : 代表取締役社長兼CEO 石井 進也
本社 : 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL : http://www.et-x.jp/
資本金 : 5億738万円(2017年9月末)
事業内容: コンピュータシステムソフトウェアの開発、保守ならびに販売
コンピュータ運用管理に関するコンサルティング
コンピュータ運用管理に関するBPOサービス
【サービス内容に関するお問い合わせ窓口】
エンカレッジ・テクノロジ株式会社
ソリューション営業部
TEL : 03-3527-2624
FAX : 03-3660-5822
Email: etx-contact@et-x.jp
※1 「PCI DSS」とは、クレジットカード情報および取引情報を保護するために2004年12月、クレジットカードブランド5社が共同で策定した、クレジット業界におけるセキュリティ基準です。
※2 「非コンソールアクセス」とは、サーバーなどのシステムに対する操作を、ネットワークを経由してリモートでアクセスする方法です。従来オンプレミス環境が主流だった時代には、直接サーバーに直結したキーボードを使用して操作する「直コンソールアクセス」が一般的でしたが、外部のデータセンターやクラウドにシステムを保管するケースが増加する昨今は、非コンソールアクセスによるシステム管理が主流となりつつあります。
※3 「多要素認証」とは、IDとパスワード以外に、個人を識別するための他の要素を組み合わせることにより、認証される仕組みです。社員証などでも使用されているスマートカード、指紋、静脈、顔などの体の一部の特徴を使用する生体認証などが一般的です。尚、IDとパスワードを用いて認証後、ワンタイムパスワードがメールなどで送信されるような段階的な認証方式は、「多段認証」と呼ばれます。多段認証は、PCI DSSの多要素認証の要件としては、原則として認められていないため、注意が必要です。
※4 出典:
情報セキュリティソリューション市場の現状と将来展望 2010
同2011、2012、2013、2014、2015、2016、2017
【内部漏洩防止型ソリューション編】株式会社ミック経済研究所
※文中に記載されている製品名および会社名は、商標または商標登録です。
■参考資料
今回、九信販で採用された製品は、当社の運用統制ソリューション「ESS SmartIT Operation」を構成する製品群の中で、本人確認を担うコンポーネントです。
同製品群は、保険会社、銀行など130以上の金融機関を含む400社以上の企業に採用されています。
【「ID Inspector」とは】
「ID Inspector」は、共有IDの実操作者を特定・記録する本人確認用の製品で、以下のような特徴があります。
●ログオン直後や、一定時間操作されていない場合、また、任意で設定できる条件を満たした時点で、本人確認用のダイアログを表示し、本人確認ができるまでデスクトップをロックすることで、共有IDを使用する場合も本人確認が可能。
●ICカード使用による本人確認が可能。入退室で使用するカードを利用することで、より厳格な確認体制を実現。
●本人確認の回数や、ログオンに失敗した回数はすべて蓄積され、総合レポートの作成が可能。だれが、どのログオンIDで、いつ操作を行ったのか確認をすることができる。ESS RECを連携すれば各ログオンに合わせた作業内容の記録も取得ができ、どのような操作を行ったのかも併せて取得が可能。
詳細情報: http://www.et-x.jp/product/inspector/
画像1: https://www.atpress.ne.jp/releases/146827/LL_img_146827_1.png
ID Inspector 利用イメージ
九信販は1957年に設立、JCBブランドカードの発行業務や、各種提携カードの発行などのクレジットカード事業を展開しており、現在のカード会員数は19万人に上ります。今回、九信販ではPCI DSSへの準拠を目的として当社の本人確認ソリューション「ID Inspector」の採用を決定しました。
当初課題となっていたのは、PCI DSS準拠で求められている要件の中で、管理者のアクセス権を持つ担当者によるすべての非コンソールアクセス(※2)に多要素認証(※3)を必要とするもの(要件8.3.1)でした。この要件は、PCI DSS基準の中でも、2016年4月に改訂されたPCI DSS基準バージョン3.2で新たに設けられたものであり、この要件を満たすソリューションは、対象システムが限定されているなど、必ずしも選択肢が多い状況ではありませんでした。九信販が当初導入を想定していたソリューションについては高額だったこともあり、採用に踏み切ることができませんでした。
そのため引き続き情報収集を行った結果、当社の本人確認ソリューション「ID Inspector」を新たな選定候補として比較検討し、以下の点が優れているとして採用を決定しました。
■採用の決め手
●OSや管理システムのログインに加え、使用者個人のID・パスワードや、スマートカードによる本人確認によって、PCI DSS準拠の課題となっている要件を満たせること。また導入にあたり、OSやアプリケーションに対し、設定変更やカスタマイズを必要としないこと。
●利用者が10名程度の場合のライセンス価格が約150万円と小規模であれば比較的安価に導入できること。
●同業他社をはじめ多くの企業におけるPCI DSS準拠を目的とした採用実績があること。
PCI DSSの新要件である「管理者のアクセス権を持つ担当者の非コンソールアクセス」に対する多要素認証の要件は、既にPCI DSS準拠済の企業であっても、新たに求められる要件です。「ID Inspector」は、本要件をカスタマイズ不要かつ安価に対応できるソリューションとして、他のクレジットカード関連企業に対しても提供を行うことで、安全なカード社会の実現に貢献してまいります。
■当社について
2002年に創業。金融、通信などの社会インフラの一端を担う大規模システム運用管理および運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール8年連続市場シェア1位(※4)を確保している「ESS REC」をはじめ、当社ソフトウェアは多くの企業で採用されています。
社名 : エンカレッジ・テクノロジ株式会社
(東京証券取引所マザーズ 証券コード:3682)
代表者 : 代表取締役社長兼CEO 石井 進也
本社 : 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL : http://www.et-x.jp/
資本金 : 5億738万円(2017年9月末)
事業内容: コンピュータシステムソフトウェアの開発、保守ならびに販売
コンピュータ運用管理に関するコンサルティング
コンピュータ運用管理に関するBPOサービス
【サービス内容に関するお問い合わせ窓口】
エンカレッジ・テクノロジ株式会社
ソリューション営業部
TEL : 03-3527-2624
FAX : 03-3660-5822
Email: etx-contact@et-x.jp
※1 「PCI DSS」とは、クレジットカード情報および取引情報を保護するために2004年12月、クレジットカードブランド5社が共同で策定した、クレジット業界におけるセキュリティ基準です。
※2 「非コンソールアクセス」とは、サーバーなどのシステムに対する操作を、ネットワークを経由してリモートでアクセスする方法です。従来オンプレミス環境が主流だった時代には、直接サーバーに直結したキーボードを使用して操作する「直コンソールアクセス」が一般的でしたが、外部のデータセンターやクラウドにシステムを保管するケースが増加する昨今は、非コンソールアクセスによるシステム管理が主流となりつつあります。
※3 「多要素認証」とは、IDとパスワード以外に、個人を識別するための他の要素を組み合わせることにより、認証される仕組みです。社員証などでも使用されているスマートカード、指紋、静脈、顔などの体の一部の特徴を使用する生体認証などが一般的です。尚、IDとパスワードを用いて認証後、ワンタイムパスワードがメールなどで送信されるような段階的な認証方式は、「多段認証」と呼ばれます。多段認証は、PCI DSSの多要素認証の要件としては、原則として認められていないため、注意が必要です。
※4 出典:
情報セキュリティソリューション市場の現状と将来展望 2010
同2011、2012、2013、2014、2015、2016、2017
【内部漏洩防止型ソリューション編】株式会社ミック経済研究所
※文中に記載されている製品名および会社名は、商標または商標登録です。
■参考資料
今回、九信販で採用された製品は、当社の運用統制ソリューション「ESS SmartIT Operation」を構成する製品群の中で、本人確認を担うコンポーネントです。
同製品群は、保険会社、銀行など130以上の金融機関を含む400社以上の企業に採用されています。
【「ID Inspector」とは】
「ID Inspector」は、共有IDの実操作者を特定・記録する本人確認用の製品で、以下のような特徴があります。
●ログオン直後や、一定時間操作されていない場合、また、任意で設定できる条件を満たした時点で、本人確認用のダイアログを表示し、本人確認ができるまでデスクトップをロックすることで、共有IDを使用する場合も本人確認が可能。
●ICカード使用による本人確認が可能。入退室で使用するカードを利用することで、より厳格な確認体制を実現。
●本人確認の回数や、ログオンに失敗した回数はすべて蓄積され、総合レポートの作成が可能。だれが、どのログオンIDで、いつ操作を行ったのか確認をすることができる。ESS RECを連携すれば各ログオンに合わせた作業内容の記録も取得ができ、どのような操作を行ったのかも併せて取得が可能。
詳細情報: http://www.et-x.jp/product/inspector/