大日本印刷とブロードバンドセキュリティ 　　セキュリティ基準の認定に必要なシステムログの確認を代行するサービスを開始

大日本印刷株式会社（以下：DNP）とセキュリティ診断・コンサルティングサービスを手がける株式会社ブロードバンドセキュリティ（以下：BBSec）は共同で、クレジット業界における国際的なセキュリティ基準であるPCI DSS＊1への準拠及び認定取得を目指す企業に向けた新サービスの提供を2018年1月より開始します。

【新サービス提供の背景】

■クレジット取引セキュリティ対策協議会の指針への対応

クレジット取引セキュリティ対策協議会は、2016年2月および2017年3月に発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で、国内のクレジットカード情報管理の基準をPCI DSSと定め、クレジットカード情報を取扱う業界各社に対して、PCI DSS準拠を前提とした情報セキュリティ管理体制の構築を求めています。こうした中、DNPとBBSecはPCI DSSに準拠するために必要な施策などの支援を行うコンサルティングサービスを2016年4月より提供しています。

■PCI DSS準拠を目指す企業にとって負荷が高い、日次ログレビュー*2

企業が自社のセキュリティ体制をPCI DSSに準拠させるためには、最大で400以上の要件を満たす必要があります。この中には、365日欠かさずネットワークへの不正侵入や不正な操作がないかといったシステムのログを収集し、確認する項目があります。これに対応するためには、セキュリティイベントや重要なシステムのログを収集・解析する高額な専用ツールの導入、そのツールを操作する専任担当者を365日配置することなどが必要となります。PCI DSS準拠を目指す企業にとって、その負荷の高さが課題となっていました。この課題に対し、DNPとBBSecはお客さまのログの確認を代行する新サービスの提供を開始します。*3

【新サービスの特長】

■PCI DSS準拠維持に必要な、業務負荷とコストを大幅に削減

・ PCI DSS準拠要件の1つである「日次ログレビュー」のために、365日欠かさず行わなければならないログの確認を代行します。
・ 本サービスを利用することで、PCI DSSへの準拠を目指す企業は、高額なログ収集・解析ツールの導入が不要となるだけでなく、高度な知識が要求される専用ツールを操作する専任担当者を用意する必要もありません。

■専門スタッフがログ確認を代行、分かりやすい結果レポート、質問にも対応

日々収集するログの確認は、BBSecの経験豊富な専門スタッフが行い、確認結果を分かりやすくまとめたレポートを　365日、指定された宛先にメールで送信します。レポート内容の不明点など、メールや電話での問い合わせにも対応します。
必要なログに対する適正な確認結果レポートを　毎日メールで受信することができるため、PCI DSS準拠を目指す企業は、このレポートメールを確認、保存するだけで、日次ログレビューの要件を満たすことができます。

【新サービスの提供イメージ】

お客さまの環境で収集するログをBBSecのサーバに1日1回自動送信します。なおログは、トランケート処理を行うため、クレジットカード情報（PAN）を含みません。送信中のログや保存データは、暗号化などによって安全を保ちます。

【価格】（税別）

初期費用150万円、月額費用30万円
※オプションで、ファイルの改ざんを検知するサービスも提供します。

【今後の展開】

DNPとBBSecは、2018年までにPCI DSS準拠を目指す企業約100社に対して本サービスを提供し、約5億円の売上を目指します。

大日本印刷株式会社　　本社:東京　社長:北島義俊　資本金:　1,144億円
株式会社ブロードバンドセキュリティ　　本社:東京　社長:持塚朗　資本金:　１億円

*1　PCI DSS　（Payment Card Industry Data Security Standards） ： 国際クレジットカードブランド5社によって設立されたPCI SSC （PCI Security Standards Council）が、カード発行会社や加盟店等に対し、カード会員情報の保護や安全な取引の実現を目的として策定したセキュリティの業界基準。以下のような項目に対する具体的な管理方法や運用などが規定されています。
・ 安全なネットワークとシステムの構築と維持 ・ 強力なアクセス制御手法の導入
・ カード会員データの保護   ・ ネットワークの定期的な監視およびテスト
・ 脆弱性管理プログラムの維持  ・ 情報セキュリティポリシーの維持
*2　PCI DSS要件10.6.1「毎日1度以上、セキュリティイベントや重要なコンポーネントのログをレビューする」と定義されています。
*3　 DNPが本サービスを販売し、BBSecがサービスの提供及び、運用を行います。