deep...
DESCRIPTION
2014.11.21トレンドマイクロのイベントDIRECTIONで話した講演の資料です。 cloudpackのお客さまが気にされるエリアを中心にセキュリティ対策の考え方を、AWS、マネージドサービス、セキュリティ対策ソフトウェアなどを交えて解説しました。TRANSCRIPT
9 3C I /170.9154
2 7 A h jsr ei di i
v
ÑĊ�³Ė(/ 2 0 0
W A
☁ R P
☁
O
wy
2
4
10
, 12 37 70, 5
087t g p h d r@ A
) (+
4/ ,
6.1 /88 1838 6 n
1 50()
)
D 9 C
(+ 3
rknv
087i d
w w
w
D 9 C
(+� , (,� �
S S
���� .4 %%@
8
D 9 Ci g
O
v w in sm uhz obcNNJ IA N C I I DJ
aM D l
G M Wm
v w in a g f fed pi WbcNNJ N C I I DJ DJ M O CNR C N CA M M
e
e sr
v w in a g f fed pi WbcNNJ N C I I DJ DJ M O CNR C N CA M M
O
087i )
087i W
d y S g sc
fl
+
Customer
t
NNJ M C M N I CR MO M
NNJ M C M N - SI : 8 PC M2 J I M
NNJ M C M N MM MJI MC C CNR I
NNJ M C M N MM MJI MC C CNR I
087 /3 )
☁ K G y c PC7 1
571 5
☁ K G y oVcSn e zur Pp ur
5 l it
Sc g I K GA
O
g
☁ 087 2A 1☁ MA
g w
☁ y yP y
d087kP i
io eP y i
y
087di
5w
71 75vyw
w
y
w
57
☁P
P wiw
P i
P i
P y
☁ 087
9 3C I / J 8 O CNR
☁ w
P y 8 :
P 8 :w
P 327 367
P vyw
P vy o gfi
P
sm uh
☁ 087 d arbni y
S A () W CA
( SW C E B )
S EC (B A
E E BA B( BS BA )
PCW )
E P A (P A )
M O CNRJ E
☁ 2 7 A pldt
☁ ) (+ e
☁ i ×
gf
1 A
CUSTOMER SUCCESS STORY導入事例
こうしたクラウドの特徴は、コイニーを起業した佐俣氏にとっても魅力だった。「私たちのような、お金も時間もないスタートアップ企業にとってクラウドの活用が最善策。それ以外の選択肢は考えられませんでした」と、同氏は振り返る。 ただし、当時の日本では、クラウド(パブリッククラウド)上でカード決済サービスの開発・運用を行う前例はなかった。ゆえに、クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム選定が進められた。その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への対応だ。同規格準拠の認定を得ることは、カード決済サービスを始める際の必須要件。クラウドインフラを使いながら、この要件をいかにすみやかに満たしていくかが、最大の懸案となったのである。
クラウドのインフラを用いながら、PCI DSSのセキュリティ要件を満たす̶̶その課題解決に向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS)」だ。採用の決め手は、そのプラットフォームがPCI DSSに対応したからにほかならない。つまり、AWSは、PCI DSS
準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 とはいえ、AWSのセキュリティ機能だけでは、およそ「360項目」にも及ぶPCI DSSの要件は満たせない。そこで、佐俣氏はトレンドマイクロの「Trend Micro Deep SecurityTM(以下、Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、IDS(侵入探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI
DSSのセキュリティ要件を満たすうえで、 AWSではカバーすることができない部分を、Deep
Securityで穴埋めしていったのだ。 「当初は、オープンソースのセキュリティ・ツールも候補として挙がりましたが、私たちにとっては、スピードと確実性が最重要。ですから、実績が高く、検証の手間がかからず、しかも、さまざまな機能やツールがワン・パッケージで提供されているDeep Securityを選んだのです」(佐俣氏)。
コイニーの選択は奏功した。AWSの導入設計から運用・保守までをトータル・サポートするcloudpackのサポートの下、同社ではDeep Securityを含めた本番環境でのサービス実装を約 1カ月間で完了させたのである。 これにより、コイニーの技術チームは、PCI DSS準拠認定の取得というコンプライアンス業務を約3カ月という短期間でやり遂げた。通常であれば、「 1年強は必要な大仕事」(佐俣氏)というから、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、「セキュリティ管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Securityの信頼性・運用性の高さを評価する。 近年、クラウド・インフラの進化・発展とともに、「クラウドにシステムを預けてしまえば、情報セキュリティも盤石」といった少し乱暴な考え方も散見されている。 だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致したセキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへのIT移行でセキュリティ施策が不要になるのではなく、「自社のビジネスにとって、どの部分のセキュリティを重点的に強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」と見なすべきだろう。そして、Deep Securityは、クラウド環境におけるセキュリティ上の重点課題を効率的に解決する、極めて投資対効果の高いソリューションと言える。コイニーの事例は、それを端的に物語っている。
「カード文化が定着している欧米とは異なり、日本では現金払いがまだまだ主流。小売りのレジでも、クレジットカードが使えるのは大規模チェーンや百貨店がほとんどで、個人商店では使えないことのほうが多い。私はそれを変えたかった」̶ ̶コイニー起業の経緯をこう語るのは、同社の創業社長、佐俣 奈緒子氏だ。 この変革に向けた、コイニーの考え方はシンプルだ。今日の生活者にとって最も身近で、使い慣れた情報ツール「スマートフォン」をクレジットカード決済の端末として用いることで、これまで「カード払い」に対応できていなかった、小規模/個人営業の小売店や飲食業、美容業などの「キャッシュレス化」を推進する̶̶それが、同社の基本戦略と言える。 従来、「カード払い」に店舗が対応しようとした場合、カード会社や銀行による与信審査に長い時間がかかったり、専用端末/専用線の導入/運用のコストがかさんだりと、さまざまなハードルがあった。対するコイニーのサービスでは、必須の機材はスマートフォンと、無償提供される小型カードリーダー「Coineyリーダー」の2つ。あとは、サービスに加入してユーザアカウントを取得し、専用のアプリをインストールすれば、スマートフォンによるカード決済が始められる。しかも、カード決済額に応じて利用者に課される手数料の料率も3.24%と割安(相場は5%~6%)。そんな手軽さから、コイニーのサービス利用者は急カーブを描いて増え続け、ビジネスは軌道に乗っている。 そんなコイニーが創設された当時(2012年3月当時)、すでにスタートアップ企業の間では、「 ITインフラはクラウドで」が当然の流れとなっていた。理由は、サービス成長に柔軟に対応できる拡張性や俊敏性、そして、サービス立ち上げ時の投資の少なさだ。
業種 決済サービス
設立 2012年3月
地域 東京都、日本
お客様の課題● カード決済サービスの早期立ち上げ● PCI DSS 認定の早期取得
導入製品・ソリューション● Trend Micro Deep SecurityTM
導入効果● 3ヶ月でのPCI DSS 認定の取得 (システムへのDeep Securityの実装は約1ヶ月で完了)
● クラウド(Amazon Web Services)インフラのセキュリティ強化
● セキュリティ投資対効果の最適化
利用環境● アマゾン ウェブ サービス (AWS)
コイニー株式会社
Page 1 of 2 • Customer Success Story コイニー株式会社
が適用されたコイニー・サービスのインフラ概念図
>>
【カード決済の変革で起業 インフラに求めたのはセキュアな俊敏性】
コイニー起業に際し、カード決済のセキュリティ要件を満たすサービス&ITシステムの早期立ち上げが不可避だった。
「アマゾンウェブサービス( )」と「 」で、セキュアな決済サービス・インフラを約 1カ月で実装。決済ビジネス始動の必須要件、「 」準拠認定を早期に取得。
セキュアなクラウドインフラがカード決済のイノベータを強力にバックアップ
CUSTOMER SUCCESS STORY導入事例
こうしたクラウドの特徴は、コイニーを起業した佐俣氏にとっても魅力だった。「私たちのような、お金も時間もないスタートアップ企業にとってクラウドの活用が最善策。それ以外の選択肢は考えられませんでした」と、同氏は振り返る。 ただし、当時の日本では、クラウド(パブリッククラウド)上でカード決済サービスの開発・運用を行う前例はなかった。ゆえに、クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム選定が進められた。その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への対応だ。同規格準拠の認定を得ることは、カード決済サービスを始める際の必須要件。クラウドインフラを使いながら、この要件をいかにすみやかに満たしていくかが、最大の懸案となったのである。
クラウドのインフラを用いながら、PCI DSSのセキュリティ要件を満たす̶̶その課題解決に向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS)」だ。採用の決め手は、そのプラットフォームがPCI DSSに対応したからにほかならない。つまり、AWSは、PCI DSS
準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 とはいえ、AWSのセキュリティ機能だけでは、およそ「360項目」にも及ぶPCI DSSの要件は満たせない。そこで、佐俣氏はトレンドマイクロの「Trend Micro Deep SecurityTM(以下、Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、IDS(侵入探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI
DSSのセキュリティ要件を満たすうえで、 AWSではカバーすることができない部分を、Deep
Securityで穴埋めしていったのだ。 「当初は、オープンソースのセキュリティ・ツールも候補として挙がりましたが、私たちにとっては、スピードと確実性が最重要。ですから、実績が高く、検証の手間がかからず、しかも、さまざまな機能やツールがワン・パッケージで提供されているDeep Securityを選んだのです」(佐俣氏)。
コイニーの選択は奏功した。AWSの導入設計から運用・保守までをトータル・サポートするcloudpackのサポートの下、同社ではDeep Securityを含めた本番環境でのサービス実装を約 1カ月間で完了させたのである。 これにより、コイニーの技術チームは、PCI DSS準拠認定の取得というコンプライアンス業務を約3カ月という短期間でやり遂げた。通常であれば、「 1年強は必要な大仕事」(佐俣氏)というから、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、「セキュリティ管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Securityの信頼性・運用性の高さを評価する。 近年、クラウド・インフラの進化・発展とともに、「クラウドにシステムを預けてしまえば、情報セキュリティも盤石」といった少し乱暴な考え方も散見されている。 だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致したセキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへのIT移行でセキュリティ施策が不要になるのではなく、「自社のビジネスにとって、どの部分のセキュリティを重点的に強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」と見なすべきだろう。そして、Deep Securityは、クラウド環境におけるセキュリティ上の重点課題を効率的に解決する、極めて投資対効果の高いソリューションと言える。コイニーの事例は、それを端的に物語っている。
コイニー株式会社代表取締役社長
佐俣 奈緒子 氏
東 京 本 社 〒1 5 1 -0053 東京都渋谷区代々木2-1-1 新宿マインズタワー TEL.03-5334-3601(法人お問い合わせ窓口) FAX.03-5334-3639名古屋営業所 〒460-0002 愛知県名古屋市中区丸の内3-22-24 名古屋桜通ビル7階 TEL.052-955-1221 FAX.052-963-6332大阪営業 所 〒532-0003 大阪市淀川区宮原3-4-30 ニッセイ新大阪ビル13階 TEL.06-6350-0330(代表) FAX.06-6350-0591福岡営業 所 〒8 12-00 1 1 福岡県福岡市博多区博多駅前2-3-7 サンエフビル7階 TEL.092-471-0562 FAX.092-471-0563
「すべてをかんたんに」を基本理念とし、スマートフォンやタブレット端末と専用のカードリーダーを使った、クレジットカード決済(代行)サービスを提供する。2012年3月設立。URL: http://coiney.com/
導入先プロフィール
Page 2 of 2 • Customer Success Story コイニー株式会社
TREND MICRO、Trend Micro Deep Security、およびDeep Securityは、トレンドマイクロ株式会社の登録商標です。アマゾン ウェブ サービス、Amazon Web Services、 Amazon S3、Amazon EC2、Amazon RDS およびAmazon Web Services ロゴは、Amazon.com, Inc.またはその関連会社の商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2014年5月現在のものです。内容は予告なく変更になる場合がございます。Copyright © 2014 Trend Micro Incorporated. All rights reserved. [Item No. BR-CASE-032]
【セキュアなサービスを1カ月で実装 準拠認定を3カ月で取得】
「確実性とスピード重視で、Deep Securityを選択しました。選択は正解で、トラブルの報告はゼロです。」
【 対応で を選択 でセキュリティ要件を満たす】
NNJ N C I I DJ IO I N N DJ J M OMC MM M MNO R IC R J M MNO R IC R J
n jw tyv
-313595 -31 /8 8l q
☁ 27997 2 7 A043
☁ y
s pO
s pi
☁ hwh
r iar
☁ S☁ S i ni
T1/. 2 J bd sm uh WNNJ C D J I DJ 6 MM .O N -J N
087i i
iph uc