116 Views
November 21, 14
スライド概要
2014.11.21トレンドマイクロのイベントDIRECTIONで話した講演の資料です。
cloudpackのお客さまが気にされるエリアを中心にセキュリティ対策の考え方を、AWS、マネージドサービス、セキュリティ対策ソフトウェアなどを交えて解説しました。
9 2 7 i A 3C I /170.9154 h jsr i di v e
☁ R ☁ W A (/ 2 0 0 O P
wy 2 4 10 , 1 2 3 7 70, 5
087t g p @ A h d r
) 4/ 1 (+ 50() , 6.1 /88 ) 1838 6 n
(+ 3 D 9 C
087i d rknv
w w w
D (+ S 9 C , S (,
D . 9 Ci g 4 %% @ 8
O
v w in sm uhz obc NNJ IA N C I I DJ
e G aM v w NNJ in N a g f fed C I I DJ DJ M O CNR C N CA M Wm D pi M M l Wbc
e v w NNJ in N sr a g f fed C I I DJ DJ M O CNR C N CA pi M M Wbc
O
087i )
087i W d y S g sc Customer + fl t NNJ MC M N I CR MO M
NNJ MC M N - SI : 8 PC M2 J I M
NNJ MC M N MM MJI MC C CNR I
NNJ MC M N MM MJI MC C CNR I
087 ☁ K G y /3 c ) PC 7 1 5 71 ☁ 5 K G y VcSn e zur 5 l Sc o Pp ur it g I K GA
O
g ☁ 087 2A ☁ 1 MA
g w ☁ y P y y d087k P i io P e y i y
087di 5 w 71 vyw 75
☁ w P P y w 57 wiw P i P P i y ☁ 087
9 3C I / J8 O CNR ☁ w P y 8 : P 8 :w P 327 367 P vyw P vy P o gfi
sm ☁ 087 d uh arbni y S W ) C A ( E W S B ( CA ) S E EC B ( A S A ( E BA B ) B B PC E P A P W A ) ( )
M O CNRJ E ☁2 ☁ ) 7 A ldt (+ e ☁ i × gf p
1 A
CUSTOMER SUCCESS STORY CUSTOMER SUCCESS STORY 導入事例 導入事例 セキュアなクラウドインフラが カード決済のイノベータを 強力にバックアップ コイニー株式会社 代表取締役社長 佐俣 奈緒子 氏 はゼロです。 」 ● ● いことのほうが多い。私はそれを変えたかった」 ̶̶コイニー起業の経緯をこう語るのは、同社 マートフォンやタブレット端末と専用のカード 慣れた情報ツール「スマートフォン」をクレジッ リーダーを使った、 クレジットカード決済(代 トカード決済の端末として用いることで、これ 行) サービスを提供する。20 1 2 年 3 月設立。 まで「カード払い」に対応できていなかった、 Ki\e[D`Zif;\\gJ\Zli`kpKDが適用された コイニー・サービスのインフラ概念図 URL: http://coiney.com/ などの「キャッシュレス化」を推 進 する̶̶ Trend Micro Deep Security 3 ヶ月での PCI DSS 認定の取得 (システムへの Deep Security の実装は約 1 ヶ月で完了) ● クラウド (Amazon Web Services)イ ン フラのセキュリティ強化 ● セキュリティ投資対効果の最適化 利用環境 アマゾン ウェブ サービス (AWS) 探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、 探知システム) PCIやファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI Deep AWS ではカバーすることができない部分を、Deep DSS のセキュリティ要件を満たすうえで、AWS ではカバーすることができない部分を、 DSS のセキュリティ要件を満たすうえで、 Security で穴埋めしていったのだ。 Security で穴埋めしていったのだ。 「当初は、 オープンソースのセキュリティ・ツールも候補として挙がりましたが、 私たちにとって 「当初は、 オープンソースのセキュリティ・ツールも候補として挙がりましたが、 私たちにとって は、 スピードと確実性が最重要。 ですから、 実績が高く、 検証の手間がかからず、 しかも、 さまざまな は、 スピードと確実性が最重要。 ですから、 実績が高く、 検証の手間がかからず、 しかも、 さまざまな コイニーの選択は奏功した。AWS の導入設計から運用・保守までをトータル・サポートする コイニーの選択は奏功した。AWS の導入設計から運用・保守までをトータル・サポートする 従来、 「カード払い」 に店舗が対応しようとし ● (侵入 ) 」 を採用し、 セキュリティのさらなる強化に乗り出した。 強化部分は、 Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、 DeepIDS Security IDS(侵入 【セキュアなサービスを1カ月で実装G:@;JJ準拠認定を3カ月で取得】 それが、同社の基本戦略と言える。 TM 準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。 (佐俣氏) 。 (佐俣氏) 。 機能やツールがワン・パッケージで提供されている Deep Security を選んだのです」 機能やツールがワン・パッケージで提供されている Deep Security を選んだのです」 小規模/個人営業の小売店や飲食業、美容業 導入効果 ● 「すべてをかんたんに」を基本理念とし、ス この変革に向けた、コイニーの考え方はシンプルだ。今日の生活者にとって最も身近で、使い 導入製品・ソリューション ● 導入先プロフィール の創業社長、佐俣 奈緒子氏だ。 カード決済サービスの早期立ち上げ PCI DSS 認定の早期取得 は、PCI DSS そのプラットフォームが PCI DSS に対応したからにほかならない。つまり、AWS そのプラットフォームが PCI DSS に対応したからにほかならない。つまり、AWS は、PCI DSS TM (以 下、 満たせ な い。そこで、佐 俣 氏はトレンドマイクロの「Trend Micro Deep Security 満たせ な い。そこで、 佐 俣 氏はトレンドマイクロの「Trend Micro Deep SecurityTM(以 下、 でも、クレジットカードが使えるのは大規模チェーンや百貨店がほとんどで、個人商店では使えな お客様の課題 クラウドのインフラを用いながら、PCI DSS のセキュリティ要件を満たす̶̶ その課題解決に クラウドのインフラを用いながら、PCI DSS のセキュリティ要件を満たす̶̶ その課題解決に 」だ。採用の決め手は、 」だ。採用の決め手は、 向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS) 向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS) の要件は とはいえ、AWS のセキュリティ機能だけでは、およそ「360 項目」にも及ぶ PCI DSS とはいえ、 AWS のセキュリティ機能だけでは、およそ「360 項目」にも及ぶ PCI DSS の要件は 「カード文化が定着している欧米とは異なり、日本では現金払いがまだまだ主流。小売りのレジ 東京都、日本 以外の選択肢は考えられませんでした」と、同氏は振り返る。 【G:@;JJ対応で8NJを選択;\\gJ\Zli`kpでセキュリティ要件を満たす】 選択しました。 選択は正解で、 トラブルの報告 【カード決済の変革で起業インフラに求めたのはセキュアな俊敏性】 地域 以外の選択肢は考えられませんでした」と、同氏は振り返る。 フラを使いながら、 この要件をいかにすみやかに満たしていくかが、 最大の懸案となったのである。 フラを使いながら、 この要件をいかにすみやかに満たしていくかが、 最大の懸案となったのである。 「確実性とスピード重視で、 Deep Securityを 20 1 2 年 3 月 スタートアップ企業にとってクラウドの活用が最善策。それ 選定が進められた。その中で、特に重視されたのが、 データセキュリティ標準規格「選定が進められた。 PCI DSS」への その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への 」と「Ki\e[D`Zif;\\gJ\Zli`kpKD」 「アマゾンウェブサ ービス(8NJ) で、セキュアな決済サービス・インフラを約 1 カ月で実装。 決済ビジネス始動の必須要件、 「G:@;JJ」準拠認定を早期に取得。 設立 とっても魅力だった。 「私たちのような、お金も時間もない スタートアップ企業にとってクラウドの活用が最善策。それ 対応だ。 同規格準拠の認定を得ることは、 カード決済サービスを始める際の必須要件。 対応だ。 クラウ 同規格準拠の認定を得ることは、 ドイン カード決済サービスを始める際の必須要件。 クラウドイン 8]k\i 決済サービス とっても魅力だった。 「私たちのような、お金も時間もない う前例はなかった。 ゆえに、 クレジットカード会社との交渉を重ねながら、手探りでプラッ う前例はなかった。 トフォーム ゆえに、 クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム コイニー起業に際し、カード決済のセキュリティ要件を満たす サービス&IT システムの早期立ち上げが不可避だった。 業種 こうしたクラウドの特徴は、コイニーを起業した佐俣氏に ただし、 当時の日本では、 クラウド (パブリッククラウド) 上でカード決済サービスの開発 ただし、 ・運用を行 当時の日本では、 クラウド (パブリッククラウド) 上でカード決済サービスの開発・運用を行 9\]fi\ >> コイニー株式会社 こうしたクラウドの特徴は、コイニーを起業した佐俣氏に た場合、 カード会社や銀行による与信審査に長 cloudpack のサポートの下、同社では Deep Security を含めた本番環境でのサービス実装を cloudpack のサポートの下、同社では Deep Security を含めた本番環境でのサービス実装を い時間がかかったり、 専用端末/専用線の導入 約 1 カ月間で完了させたのである。 約 1 カ月間で完了させたのである。 /運用のコストがかさんだりと、 さまざまな これにより、コイニーの技術チームは、PCI DSS 準拠認定の取得というコンプライアンス業務 これにより、コイニーの技術チームは、PCI DSS 準拠認定の取得というコンプライアンス業務 ハードルがあった。 対するコイニーのサービス 「 1 年強は必要な大仕事」 (佐俣氏) という 「 1 年強は必要な大仕事」 (佐俣氏)という を約 3 カ月という短期間でやり遂げた。通常であれば、 を約 3 カ月という短期間でやり遂げた。通常であれば、 では、 必須の機材はスマートフォンと、 無償提供 から、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、 から、 「セキュリティ このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、 「セキュリティ される小型カードリーダー「Coiney リーダー」 管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Security の信頼性・運用 管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Security の信頼性・運用 の 2 つ。あとは、サービ スに加 入してユーザ 性の高さを評価する。 性の高さを評価する。 近年、クラウド・インフラの進化・発展とともに、 「クラウドにシステムを預けてしまえば、 近年、クラウド・インフラの進化・発展とともに、 情報 「クラウドにシステムを預けてしまえば、情報 アカウントを取得し、専用のアプリをインス セキュリティも盤石」といった少し乱暴な考え方も散見されている。 トールすれば、スマートフォンによるカード決済 セキュリティも盤石」といった少し乱暴な考え方も散見されている。 が始められる。しかも、カード決済額に応じて だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致した だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致した 利用者に課される手数料の料率も 3.24%と リティ セキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへの IT 移行でセキュ セキュリティ機能を追加していくのが基本となる。 そう考えれば、クラウドへの IT 移行でセキュリティ 。そんな手軽さから、 割安(相場は 5%〜6%) 施策が不要になるのではなく、 「自社のビジネスにとって、どの部分のセキュリティを重点的に 施策が不要になるのではなく、 「自社のビジネスにとって、どの部分のセキュリティを重点的に コイニーのサービス利用者は急カーブを描い 強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」 強化すべきかがより鮮明になり、 と セキュリティ施策やツールの投資対効果が見定めやすくなる」と て増え続け、ビジネスは軌道に乗っている。 見なすべきだろう。そして、Deep Security は、クラウド環境におけるセキュリティ上の重点課題 見なすべきだろう。そして、Deep Security は、クラウド環境におけるセキュリティ上の重点課題 を効率的に解決する、 極めて投資対効果の高いソリューションと言える。 コイニーの事例は、 を効率的に解決する、 それ 極めて投資対効果の高いソリューションと言える。 コイニーの事例は、 それ そんなコイニーが創設された当時(20 12 年 を端的に物語っている。 3 月当時)、すでにスタートアップ企業の間で を端的に物語っている。 が当然の流れと は、 「 IT インフラはクラウドで」 なっていた。理由は、サービス成長に柔軟に 対応できる拡張性や俊敏性、 そして、 サービス トレンドマイクロ株式会社の登録商標です。 アマゾン ウェブ サービス、 TREND MICRO、Trend Micro Deep Security、およびDeep Securityは、 Amazon Web Services、 Amazon S3、Amazon EC2、Amazon RDS およびAmazon Web Services ロゴは、Amazon.com, Inc.またはその関連会社の商標です。本ドキュメントに記載されている各社 の社名、 製品名およびサービス名は、各社の商標または登録商標です。記載内容は2014年5月現在のものです。内容は予告なく変更になる場合がございます。 Copyright © 2014 Trend Micro Incorporated. All rights reserved. [Item No. BR-CASE-032] 立ち上げ時の投資の少なさだ。 東 京 本 社 名古屋営業所 大阪営業所 福岡営業所 Page 1 of 2 • Customer Success Story コイニー株式会社 NNJ N C I I DJ IO 〒1 5 1 -0053 〒460-0002 〒532-0003 〒8 1 2 -00 1 1 東京都渋谷区代々木 2-1-1 新宿マインズタワー TEL.03-5334-3601 (法人お問い合わせ窓口) FAX.03-5334-3639 愛知県名古屋市中区丸の内 3-22-24 名古屋桜通ビル7階 TEL.052-955-1221 FAX.052-963-6332 大阪市淀川区宮原 3-4-30 ニッセイ新大阪ビル 13 階 TEL.06-6350-0330(代表) FAX.06-6350-0591 福岡県福岡市博多区博多駅前 2-3-7 サンエフビル7 階 TEL.092-471-0562 FAX.092-471-0563 Page 2 of 2 • Customer Success Story コイニー株式会社 I N N DJ J M OMC MM M MNO R IC RJ M MNO R IC R J
n jw tyv
D 9 C / :D D ☁ 9 C . ☁2 7 A ☁2 7 A (( 9I 9 7 A
-313595 -31 /8 8l q ☁ 27997 ☁ 2 043 y 7 A
O s p
s pi ☁ h wh r ar i ☁ S ☁ T1/. 2 J NNJ bd C D J sm uh I DJ 6 MM .O S i ni W N -J N
087i i i ph uc