導入事例

PCI DSS準拠のため決済サービスを提供している全ての業務サーバ内(Linux)の全ファイルの定期検査を実施している株式会社ペイジェント様の導入事例です。
Linuxサーバ内にクレジットカード番号や氏名、住所などの個人情報が含まれているファイルが存在しないことを定期的に確認しお客様情報の情報漏えい対策を徹底してます。

株式会社ペイジェント様

お客様情報の橋渡しをするサービスだからこそ強固なセキュリティ運用体制を作る
  • 本社:東京都渋谷区円山町19-1 渋谷プライムプラザ
  • 設立:2006年5月1日
  • 代表者:河合 正博
  • 資本金:4億円
  • 事業内容:インターネット・携帯電話上での電子商取引に係る収納代行事業
  • URL:https://www.paygent.co.jp/

Linux サーバ上の個人情報検査のために

Linuxサーバー上の個人情報検査のために

株式会社ペイジェントは、株式会社エヌ・ティ・ティ・データと三菱UFJニコス株式会社が出資している安定した経営基盤を持つ決済サービス会社で、2006年に設立されました。EC事業者を中心にクレジットカード決済、コンビニ決済、ネット・モバイルバンキング決済など、多様な決済サービスを提供しています。クレジットカード番号の取り扱いは割賦販売法の改正によりPCIDSSに準拠することが求められ、法律上もセキュリティに対する要求が強化されました。

同社はLinuxサーバ上の個人情報を検査するツールとして「すみずみ君 REX SEARCH」を2018年9月に導入。各種業務サーバ上で動作検証作業を進め、順次稼働範囲を拡大し数百台におよぶ全業務サーバでの稼働を2019年5月に実現しました。

導入背景

導入背景

個人情報の保護は企業としての生命線

決済サービスを提供する株式会社ペイジェントにとって、個人情報の保護はサービスの質に直結する重要な問題です。決済に関わる情報の中継をするサービスであるだけに、クレジットカード番号(PAN)はもとより、氏名や住所などの個人情報の漏えいは、規模にかかわらず加盟店様の信用を一気に失う可能性すらあります。
これまでも、可能な限りの情報漏えい対策をとってきましたが、よりいっそうの安全性を確保するために、業務で使用するLinuxサーバを対象とした個人情報検査を行う計画を立てました。

  • 万一の情報漏えいは信用の失墜に直結
  • 中継する情報には多様な個人情報が含まれる
  • 使用するLinuxサーバ内の個人情報検査が必要
  • PCI DSSに準拠したカード情報の取扱が必須

導入経緯

導入経緯

Linux版の個人情報検査ツールを求めて

個人情報の検査ツールで、Linux 対応の製品はなかなか見つかりませんでした。海外製品ではPANには対応していても、日本語には対応しておらず名前などの検索に限界がありました。多様な決済を扱う同社は、名前や住所などの個人情報もチェックする必要があったのです。そこで、Windows 版の検査ツール、すみずみ君の開発元である三菱スペース・ソフトウエア株式会社(MSS)に、Linux版への対応が可能か相談を持ちかけました。

MSSでは、Linuxベースのネットワークフォレンジックシステムで外部ネットワークへ送信されるファイルの個人情報検査機能を2010 年10月から提供していました。
このLinux 版の個人情報検索エンジンをベースに個人情報ファイル検出ツール「すみずみ君 REX SEARCH」の製品化を2018 年3 月に決定しました。開発開始から6 ヶ月後の2018年9月に株式会社ペイジェントがファーストユーザとして「すみずみ君 REX SEARCH」を導入しました。

導入効果

導入効果

数百台の業務サーバが検査対象に

すみずみ君 REX SEARCHは、決済に関わる情報が24時間365日流れている業務サーバ上の個人情報を検査します。
稼働中のシステム上ですみずみ君 REX SEARCHを動作させるため、検査によりサーバに過剰な負荷がかかり、決済に影響するなど本来の動作に悪影響を及ぼすことは避けなければなりません。検査能力を下げれば、こうした可能性を回避できますが、今度は検査時間が長くなります。

トレードオフとなる条件を変えながら最適解を求めるテストが続きました。
どの程度の間隔で、どの程度の粒度を設定すればセキュリティを担保できるのか、5か月間の検証で確認することができました。その後は業務に影響の少ないサーバから稼働をはじめ、徐々に提供範囲を拡大して、2019年5月に全業務サーバでの稼働を完了しました。

検査対象となるサーバは数百台に及ぶため、運用面での工夫も大切です。導入期待効果は予防ではなく対処にあるため、「個人情報が、本来あってはならない場所に記録されている」などの気づかないリスクを限りなくゼロに近づけることを目指しています。さらには、単体では個人情報ではないデータも、組み合わせによっては個人情報となり得るものとして検査対象とするなど、徹底した取り組みも進める計画です。
いかに早く検知できるか、そして、いかに早く確実に対応できるか、実運用では負担を最小限にしながらセキュリティを確保していく工夫も求められます。

今後の課題

今後の課題

検査対象となるサーバの数が多く、今後ファイルサーバなども検査対象に加わるため、一定程度の個人情報の検出が見込まれます。検知に対して誰がどのような方法で、どのような対応をするのか、合理的な対応手順も導いておく必要があります。

同社は、大量のサーバを対象とした検査結果を、システム管理者以外のセキュリティ担当者が、1 台のマシンで確認できるような運用体制も整備したいと考えています。そのためには、新たな仕組みの整備が必要ですが、完成の暁には、こうした徹底したセキュリティ対応が、同社の信頼を揺るぎないものとすることでしょう。

すみずみ君REX SEARCH

製品特長

  1. Linux OS上で動作する数少ない日本語対応の個人情報ファイル検出ツールです
  2. 複雑な検索条件でも1億文字/秒で文字列照合ができる高速検索エンジンを搭載しています
  3. マルチスレッド検索や多重起動検索で複数ファイルを同時に高速で検索します
  4. キーワード検索だけではなく正規表現検索により任意の文字列パターンも検索できます
  5. クレジットカード番号はチェックデジット検証(Luhnアルゴリズム)を行い検索します