日本セーフネット、PCI DSSのセキュリティ要件を基にしたデータ保護ソリューション：NEWS

PCI DSSで定義されたセキュリティ要件を軸に、企業ごとに最適なスイート製品を構成する。暗号化とDLP、監査などを包括的にカバーした理想的な情報漏えい対策が可能だという。

[上口翔子，TechTargetジャパン]

　日本セーフネットは4月21日、PCI DSS（クレジットカード情報のセキュリティ対策基準）のセキュリティ要件を基に構成する「SafeNet PCI DSS ソリューション」を発表、同日より提供を開始した。PCI DSS準拠が必須とされる企業に限らず、データ保護の観点で包括的な情報漏えい防止を目的とする企業向けに幅広く提供する。

　同ソリューションは、PCI DSSで定義されている12の要件のうち、システム設定やテストの実行などを除く以下7つの要件を満たすよう、構成される。導入企業は、自社のセキュリティレベルで不足していると思われる要件（機能）を洗い出し、それを同社の既存製品（暗号化やファイアウォール、DLPなど）で補うことで、物理的な情報漏えい保護、アカウントの不正利用防止、悪意のある漏えい防止といった対策が可能になるという。

• 要件3：機密データの保護
• 要件4：ネットワーク転送における暗号化
• 要件5：アンチウイルスの導入と更新
• 要件7：必要最低限のデータアクセス権限
• 要件8：各個人へのID付与
• 要件9：機密情報への物理アクセス制御
• 要件10：機密情報アクセスの監視

　21日に開催された説明会の中では、例として、PCやファイルサーバ、ネットワーク上の機密データを内部・外部双方の脅威から保護する「Enterprise Security スイート」、データベースの暗号化に特化し、不正アクセスを防止する「Database Protection スイート」、オラクルとマイクロソフトのデータベースを使用している企業向けに暗号鍵管理機能をアドオン提供する「Database Security Add-on スイート」という3つのスイート製品が紹介された。

SafeNet PCI DSS ソリューション構成例

　いずれのスイート製品も、データ暗号化・内部統制アプライアンス「DataSecure」を中心に構成されており、例えばEnterprise Security Suiteでは、それにWeb・メールセキュリティゲートウェイ「eSafe」、データベース暗号化ソフト「ProtectDB」、ファイル暗号化ソフト「ProtectFile」、セキュリティトークン「eToken」が追加され、価格は従業員数1000人、クレジットカードデータ100万件以上、クライアントPC1000台の企業規模で3800万円から（運用条件により変動）。PCI DSSの要件に当てはめると3、4、5、7、8、9、10に対応している。

　PCI DSSの要件3、5、7、8、9、10に対応するDatabase Protection Suiteは、DataSecureとeSafe、ProtectDBで構成され、価格は1200万円から。要件3、4、8、9、10に対応するDatabese Security Add-on Suiteは、eSafeと暗号鍵の運用・管理ソフト「Luna SA」で構成され、価格は900万円から。

高橋氏

　エンタープライズセキュリティ事業部第2営業部長の高橋実氏は、「PCI DSSのセキュリティ要件は、エンタープライズにおける理想的な内部統制の指針」だとし、同社のユーザー企業の中にも、PCI DSSを参考にしたセキュリティ対策を講じたいといった声が聞かれている旨を紹介した。

　既に某交通機関では、オンライン予約システムで同ソリューションを導入した実績があるという。

関連ホワイトペーパー

PCI DSS | 暗号化 | DLP(Data Loss Prevention) | 運用管理 | データベース | アクセス制御 | 情報漏洩 | 内部統制 | セキュリティ対策 | 機密情報 | アプライアンス | ファイアウォール | 不正アクセス | Microsoft（マイクロソフト） | Oracle（オラクル） | サーバ | ウイルス