Tripwire Enterpriseによる構成統制により監査が容易に

MarketLive社

課題

カタログショッピング企業、高級小売店、Norm Thompson, Sur La TableもしくはArmaniのような世界的に有名なブランドでオンラインショッピングをしたことがあれば、最高級のE-コマースソリューションプロバイダであるMarketLive社のサービスをご利用いただいたことがあるはずです。250以上の世界規模のオンラインサイトがMarketLive社を通じて顧客にスムーズな取引が出来るようにサービスを提供していますが、これは同時にカード保持者情報の保護手段とPCI DSSのような業界基準とのコンプライアンスが必要になることを意味します。

ますます多くの小売業者がPCI要件の遵守を迫られる中で、MarketLive社では戦略的な市場での優勢を築き、PCIコンプライアンスの達成を目指すことを決定しました。この目標の達成のために、MarketLive社ではTripwireの採用を決定し、IT運用の効率性と有効性を向上するためにTripwireEnterpriseが提供するプロセス統制を利用しました。

コンプライアンスソリューションの選定

MarketLive社ではNational Geographic、Gump’s、Stride Rite, Trek BicyclesおよびSundanceCatalogのようなオンライン小売サイトに対してホスティングサービスを提供します。このようなオンライン小売業者では年間2億ドル以上の売り上げがあります。このような加盟店では顧客データを収集/保存しますので、クレジットカード情報の保護を目的にデザインされたPCI基準の遵守を求められます。MarketLive社自身は加盟店ではありませんが、MarketLive社はPCIコンプライアンスを実現することによって既存の顧客にペナルティが課される危険性を未然に防ぎ、同時に新規ビジネスを拡大することで競争上の優位が達成できると判断したのです。MarketLive社はPCIコンプライアンスソリューションを選定するにあたって、数百もの選択肢を検討しました。検討の結果、MarketLive社は多くのPCI要件に有効に対応できるソリューションとして監査人から広く認識されているTripwireを採用しました。また、Tripwireの構成統制ソリューションによって、MarketLive社は変更管理プロセスの改善、ビルドプロセスの合理化、および運用効率の向上を自動化することができました。

コンプライアンスプロセスを容易に

MarketLive社のデータセンターでは数十万もの変更が発生するために、PCIが要求するデータセキュリティポリシーと個々の変更を調整し、監査人を満足させるようなレポートを提供するのは非常に難しいタスクのように思えました。Tripwireのコアとなる機能ではすべての変更を自動的に検知、追跡し、承認済みの変更と未承認の変更を区別することによって、すべての変更がビジネスプロセスにそって行われることを保証します。監査人は通常以前の変更のサンプルを受け取るだけですが、Tripwireでは現在、過去を問わずすべての変更アクティビティを完全に可視化し、望ましくない変更に対して適切に対応できます。これによって、監査人に対して完全な証拠を提供し、当該企業のコンプライアンスが達成されているという確信を高めることができます。監査人からドキュメントの要求があった際には、MarketLive社は監査人からの要求を満たし、PCI要件を満たすために必要なすべての情報が含まれたTripwireレポートを素早く提出することができました。まさにこのために、Tripwireは監査人の間でコンプライアンス達成のために最適なツールとして認識されているのです。さらに、Tripwireはコンプライアンスを継続的に維持するために最適なツールでもあります。

「PCIコンプライアンス達成のためのツールを選定するにあたって、Tripwireは最も優れたツールであったために購入の意思決定をするのも容易でした。」
MarketLive社CISO Barak Engel氏

データセンター内で発生する莫大な数の変更に対応

大規模なE-コマースサービスプロバイダにとって重要な問題のひとつが、管理する変更数の多さです。MarketLive社のIT運用チームでは1つのビルド内で30,000、1週間に400,000もの変更を実施します。この400,000の変更の内、サービスを中断させ、セキュリティに脅威をもたらす可能性があるのはせいぜい数十ほどです。

Tripwireを導入する前は、このような疑わしい変更は手動で識別されていましたが、変更数の多さから見て、これは不可能に近いタスクでした。問題が発生すると、MarketLiveのIT部門では従来はシステム全体をリビルドして対応していました。このプロセスを行う場合、ほとんど必ずと言っていいほど新しい問題が発生し、予定外かつ不必要な作業が発生していました。また、すべての変更はシステムに影響を与えるという前提に立っていましたが、これも必ずしも正しいとは言えませんでした。

Tripwireによってすべての変更を可視化することによって、疑わしい変更は迅速に識別され、影響を受けたサーバ上でのみ修復されました。ITチームではシステム全体のリビルドは必要なくなり、問題の原因となっている変更だけに対処するだけでよくなりました。これによって時間とリソースが大幅に節約され、高いデータ完全性とリスクの軽減が可能になりました。MarketLive社にとってこれはTripwireの最も大きな利点の一つでした。

プロセスを合理化して効率性を大幅に向上

MarketLive社ではTripwireプロフェッショナルサービスチームと協力して、より強固な変更管理プロセスを確立し、ビルド手順の合理化を行い、サーバ、データベース上にTripwire Enterpriseを導入しました。プロフェッショナルサービスチームでは変更管理チームのヒアリングを行うことで、ビジネスプロセスを理解し、変更管理のベストプラクティスを定義しました。これにより、Tripwire Enterprise内での監視ルールとアラートアクションの作成が可能になりました。変更はまず変更タイプに応じて分類され、適切なアクションが実行されます。予定通りの変更は自動的に許可される一方で、ポリシー違反とみなされる変更は識別され、調査されます。ポリシー違反の変更だけに集中できるようになったことで、MarketLive社はTripwireを使って、未承認の変更に未然に対応して、効率的に修正します。

また、Tripwire Enterpriseを活用することによって、ITチームはデータベース監視を効率的に行うことができるようになりました。多数のユーティリティを作成して、データベースデバッグ手法を使用する代わりに、Tripwireではデータベースのパフォーマンスに影響を与えることなく、関連するデータベース要素を監視します。

Tripwireはこのタスクに特化してデザインされているために、ITスタッフはTripwireエージェントを調整して、適切なレベルで状況に適した頻度で監視を行うことができます。この機能だけで、MarketLive社は数百時間もの社内開発時間を節約できました。

「Tripwireのおかげでとても効率的に疑わしい変更を識別、監査、調査することができるようになりました。」
MarketLive社セキュリティ運用マネージャRichard Lindberg氏

行き届いた統制によって作業の軽減と顧客満足度の向上を実現

MarketLive社は締め切りよりもはるか前にVisaとMasterCardからコンプライアンスの認可を受けました。すべての顧客に対する契約上の義務も果たし、予算内/時間内に目標を達成することができました。今では、MarketLive社の顧客企業で監査が行われる場合も、以前と比べて監査がはるかにシンプルかつコストのかからないタスクになりました。コンプライアンスによって顧客データの安全性とMarketLive社のシステムの信頼性および予測可能性が保証され、新規ビジネス開拓の大きな助けとなりました。「Tripwire Enterpriseで達成しようとしていた当初の目標はPCIコンプライアンスでしたが、Tripwireは日々の業務の中でも強固な変更管理や運用上の効率性の向上など様々な付加価値をもたらしてくれます。このような分野で実現できた節約効果だけでもはるかに投資を上回ります。これはPCIコンプライアンスを無料で達成した上に顧客に様々な面で付加価値を提供できていることを意味します。」MarketLive社のCISOであるBarak Engel氏は語ります。

• その他の事例をみる