セキュリティとコンプライアンスを確立することで信頼の構築に成功

Sitel社

グローバルなコンタクトセンター企業であるSitel社は、TEのファイル整合性監視、コンフィグレーション・アセスメント、レポート機能による「監査対応」オペレーションにより、世界中の2,000社を超える顧客システムの安定性とセキュリティの向上、およびPCIへの準拠を実現しています。また同社は、自動監査レポート機能を開発し、顧客の継続的な規制要件にも効率的に対応しています。この機能により、監査プロセスに費やす時間を5日からわずか1日に削減（80％減）し、コンプライアンスの維持と監査の対応に必要な50人分の人件費の増加を回避しました。さらに、より厳格な変更規律を採用することにより、システムの可用性と安定性を向上させ、システムやセキュリティに関する問題が大きくなる前に、解決できるようになりました。今やSitel社は、将来のグローバルスタンダードに対し、迅速かつ低コストでコンプライアンスを達成できるプラットフォームを備えています。

世界中のコンタクトセンターで60,000人を超える社員が働くSitel社は、グローバルな顧客ケアと補完的なバックオフィスプロセスにフォーカスし、屈指のビジネス・プロセス・アウトソーシング・プロバイダとなっています。そのサービスは、顧客の獲得からトランザクション処理、顧客サービス、技術サポート、料金徴収に至る顧客ライフサイクルに及び、全てが多様なグローバルITシステムによって実行されています。「当社では、あらゆるお客様のニーズに答えるユニークなアプローチを採用しています。全ての実装の基礎となるのは、セキュリティに対する統合された一貫性のあるアプローチです。データの安全性は、優れたサービス提供に不可欠であり、セキュリティの確保は、当社とクライアント双方にとって最優先です」（Sitel社EMEAデータシステム担当取締役、ロバート・フォスター氏）

このことは、特にクレジットカードで決済を行うサービスにとって非常に重要です。Sitel社では、何千ものエージェントが、2,000社を超える顧客に代わって機密の個人データやクレジットカードデータを記録しています。同社では、セキュリティに対して厳格なアプローチを採る一方で、SOX法とPCI DSSの両方に対策を導入したことが「Sitel社を次のレベルへとステップアップさせた」とフォスター氏は話しています。「既存のセキュリティソリューションは、広く認められた業界基準やお客様の期待を満たすことを目指していましたが、PCIDSSの具体的なポイントとは直接には整合していませんでした。もしSOX法やPCI DSS対策を導入していなければ、監査中に曖昧さが残ったままになっていたでしょう」（フォスター氏）

PCIコンプライアンスを越えて

このように多くの顧客からPCIコンプライアンスに対する要請が高まるなか、Sitel社にとって、組織を横断してプロセスを自動化・合理化できるソリューションを実装することは必要不可欠でした。「各クライアントに個別のソリューションを実行することは現実的ではありません。当社とクライアント双方が、企業間を横断する標準アプローチから恩恵を受けられるように、グローバルなレベルでコンプライアンスに対応することが必要だったのです」（フォスター氏）

Sitel社は、PCIコンプライアンス向けのオプションを評価するために、3つのソリューションを評価しました。「PCIコンプライアンスを達成するだけではなく、より長期的に価値をもたらすソリューションを選ぶことが重要でした」とフォスター氏は言います。「PCIコンプライアンスは優先事項でしたが、SOX法のヨーロッパ版のような、まもなく登場する他の要件も非常に意識していました」

Sitel社では、リアルタイムのPCIコンプライアンスを提供する堅牢でマルチティアなインフラストラクチャを構築するために、ウイルス対策やパッチ保護など既存のセキュリティソリューションを強化することを希望していました。このプロセスの鍵となるのが、コンプライアンス達成のために何を解決しなければならないのかを判断することでした。変更を制御できていないと、コンプライアンスの損失や、深刻なセキュリティの脅威が引き起こされる可能性があります。10,000台のサーバーを継続的に監視することにより、いかなる変更も検知し、かつ継続的な構成評価を可能にするソリューションが必要でした。「堅牢なセキュリティとPCIのコンプライアンスには、優れた運用・変更管理プロセスをリアルタイム監視と組み合わせたマルチティアな戦略が必要です。これは、システムインフラストラクチャへの予期しない変更や原因不明の変更など、あらゆる事態に対応するためです」（フォスター氏）

詳細な調査の結果、Sitel 社は、TE のコンフィグレーション・アセスメント、および強化されたファイル整合性監視テクノロジーを選択しました。フォスター氏によると、TE は、PCI コンプライアンスを達成するソリューションであるだけではなく、インフラストラクチャの安定性を向上させる可能性があり、また将来新たに出現する規制標準を迅速に遵守するためのプラットフォームを提供する唯一の製品でした。

ベースラインの作成

Sitel 社は、PCI コンプライアンスの要件を定義するために、Tripwire ProfessionalServices の経験や専門知識を活用しました。Professional Services と連携して、グローバルなレポート作成の仕組みを設計しました。これは、組織全体を横断するシステムコンプライアンスの単一ビューを提供するものであり、同社のセキュリティ・コンプライアンスチームによって求められた要件でした。

PCI コンプライアンスを達成するため、自社のインフラストラクチャを改善するために何が必要かを判断する最初のアセスメントに続き、クレジットカード情報の処理を行うサーバーに対して、サーバーコンフィグレーションのベースラインを構築しました。次に、TE が提供する継続的なアラートを極めて重要かつ意味のあるものとして、ビジネスルールが策定されました。

重大な懸念としてあったのは、例えばクレジットカードデータを保持するサーバーを外部組織が遠隔操作できるようにするウイルスやキーロガーの蔓延です。「リアルタイムに監視しないと、そうした事態が起こっても、会社は何日、何週間、あるいは何か月も気付かない可能性があります」（フォスター氏）

Sitel 社は、アラート設定を管理しやすいように、TE を変更管理システムにリンクし、発生したアラートが計画された変更かどうかを判断できるようにしました。不適切な変更や、申請されていない時刻の変更は、管理者側でその変更を精査しなければなりません。容易に判断ができない場合、アラートにはさらなる調査が必要になります。「これは重要な点ですが、当社ではアラートが深刻なものであるかどうかを10 分か15 分で識別できるため、すぐに調査にとりかかれるのです」とフォスター氏は言います。「Tripwire Enterprise のおかげで、セキュリティに問題が発生した後ではなく事前に対処できます。この点は当社のクライアントにとってますます重要になっています」「重要性の低いアラートや誤検出がなくなったため、現在当社で発生するアラートは1 日当たり平均10件になっています」とフォスター氏は話します。「扱いやすいレベルまでアラートの数を減らすことで、すべてのアラートを素早く効率的に調査できます。加えて最も重要なのは、当社のPCI コンプライアンスやデータセキュリティに対し、重大で深刻な脅威を与える実際の問題に、ほぼリアルタイムで対応できる点です」

さらなる財務上の利点

Sitel 社では、もしTE を導入しなければ、世界中のクライアントに対してPCI コンプライアンスを維持するために、手作業で行わなければならず、さらに50 人のスタッフが必要であったと推測しています。さらに、監査役が要求するレポートをTE が自動的に作成することで、監査時間を短縮しています。「2,000 社を超えるクライアントの多くがPCI DSS 監査を要求するため、当社は内部と外部どちらの監査役とも密接に連携する必要があります」とフォスター氏は話します。「確実に一定水準に到達することが期待できるTripwire Enterprise を使うことで、当社は監査役に信頼できるレポートを提供できます」

Sitel 社ではTE を使い始める前、主に監査役からの質問に答えるため、一回の監査毎に５日以上を費やしていました。しかし、TE が作成した標準的なレポートを監査役に提供することで、監査の長さを平均1 日に短縮できました。

さらに、他にもメリットがありました。最も顕著なのは、運用環境の安定性が大幅に向上したことです。また、多くの問題が明らかになり、解決することができました。TE がなければ、そこまで到達するには、はるかに長い時間がかかったであろうとフォスター氏は考えています。

「不適切な変更や予定外の変更は検知され、調査対象となることを、オペレーターは知っています。その結果、変更管理のプロセスが厳格になり、業務がスケジュール通りに進んでいます」とフォスター氏は説明します。「これにより、当社は稼働時間と安定性の両方を向上させることができ、収益にも好影響が現れています」

TE 内の独自のレポート機能により、進行中の変更状況のチェックに関わる手作業のオーバーヘッドもなくせました。「以前なら、必要なウイルス対策やパッチの更新は、オペレーターが実行し、私が手作業でチェックする必要がありました。今ではTripwire Enterprise の例外報告を頼りにしています」とフォスター氏は言います。

その結果、スタッフには以前の事後的な監視タスクではなく予防的な役割が与えられ、インフラストラクチャの改善や、財務上の利益をもたらすことに集中しています。

将来への対応

PCI コンプライアンス要件を満たしたSitel 社は、クレジットカードデータを保持するサーバー以外にもTE の使用を拡張し、グローバルなインフラストラクチャ全体をカバーしようと考えています。「Tripwire Enterprise を使うきっかけはPCI でしたが、全般的な運用の安定にも明らかに好影響を与えています」（フォスター氏）

さらに同社は、将来のあらゆるコンプライアンス要件に対し、TE を用いて迅速に対応する準備も整っています。「どんな新しい規制標準が導入されても、TripwireEnterprise のコンフィグレーション・アセスメントのおかげで、コンプライアンスを達成するために必要な作業の領域がわかります」とフォスター氏は言います。「直面する問題を見通し、その修正方法が提示されるため、当社はコンプライアンスをより早く、はるかに低コストで達成できます」

• その他の事例をみる