京セラコミュニケーションシステム(KCCS、小林元夫社長)は、トリップワイヤの変更管理システム「Tripwire Enterprise(トリップワイヤ エンタープライズ)」を使った、PCI DSS対策を紹介するセミナーを開催した。同セミナーでは、トリップワイヤ・ジャパンの細野玲子・マーケティングマネージャーとKCCSの内田浩史・セキュリティ事業部 セキュリティシステム課 ソフトウェアサポートグループ長が登壇。また「Tripwire Enterprise」の導入者に向けて、実践的なトレーニングを行った。

 PCI DSSとは、国際的なクレジットカード事業者5社が共同策定したセキュリティ規格。「ISMSが、企業自らが規定した情報資産を保護対象とするセキュリティ規格、いわば経営的な観点なのに対し、PCI DSSはそれとは異なる。まず準拠すべき要件が決まっていて、具体的な基準を示している。例えばISMSを取得した企業が何をどこまで実装するか、を判断したい場合にPCI DSSは有効となる」(細野マネージャー)という。

 日本でも今年6月に「改正割賦販売法」が可決され、カード関連の情報漏えいに対して、より厳しい罰則が下されることとなった。同法の対象となるクレジットカード取扱い業者には、おおいに注目されている規格でもある。

 Tripwire Enterpriseは企業におけるマルチベンダー環境のサーバーやネットワーク機器などで、発生したあらゆる変更を一元管理するIT全般統制ソリューション。変更を評価・検証することで、管理プロセスの有効性を証明する。ITシステムのセキュリティ強化や可用性向上、コンプライアンスの証明などに役立つ製品となっている。

 PCI DSSにおける同製品導入のメリットは、規格を構成する12要件のうち、11.5の「ファイルの整合性ソフトウェアを導入して重要システム、コンテンツファイルに権限のない者が変更した場合に担当者に警告する。重要システム比較は少なくとも週1回実行する」を満たすだけでなく、ほかの要件の実現にも役立つこと。

 Tripwire Enterpriseは、米国では決済事業者のVesta社、クレジットカードや周辺バックオフィス業務のアウトソーシングを手がけるCapitalCardServices社などで導入されている。