セキュリティとコンプライアンスを実現し信頼を構築

Vesta社

クライアントから信頼を受ける理由

Vesta 社が非常に多くのクライアントから信頼を得てきた最大の理由は、何百万件ものトランザクション全体に対する不正行為によるリスクをすべて、積極的に引き受けるためです。Vesta社が自信を持ってこうしたリスクを引き受けられるのは、サービスにとって極めて重要であると考えるセキュリティとIT システムのパフォーマンスに対し、監査人からのお墨付きと業界向け基準へのコンプライアンス認証を取得しているからです。
携帯電話の利用と電子商取引が増加するにつれて、Vesta 社のIT 業務に対する需要も拡大しました。Vesta 社は、北米とアイルランドで運用しているデータセンターを通して、グローバルなクライアントベースをサポートしています。CEOが信頼性・冗長性・拡張性を目指して、安全な環境を構築し維持するための具体的な指標を掲げたことにより、当初のチームでは分かったつもりになっているだけで、システムを安全で効率的に運用し続けるには信頼できないと、IT 管理部門は気づきました。しっかりしたプロセスとテクノロジーこそが、企業の成長を牽引する土台であることを知ったのです。
Vesta 社のセキュリティとネットワークインフラを担当するのは、CISO であるジェームズ・サマーズ氏です。サマーズ氏は、Vesta 社の成功を維持するために、継続的なセキュリティとコンプライアンスを担当するグローバルチームを組織しました。

基盤としてのTripwire Enterprise

2004 年からTripwire, Inc. 社製品を利用しているVesta 社は、2006 年に中小企業向け変更監視ソリューションであるTripwire® forServers からTripwire Enterprise へとアップグレードしました。TEへ移行したのは、より多数のファイルサーバーを監視するためだけではなく、Active Directory やSQL Serverデータベースも合わせて監視するためです。
「レポート、対象の範囲、機能などにおいて、Tripwire for Servers とTripwire Enterprise の違いには驚かされました」とサマーズ氏は言います。Vesta 社は、わずか数日で新しいプラットフォームへ移行しました。IT チームは、その作業を「予想より楽だった」と評価しています。
今やVesta 社の各々の業務サーバー上でTEは稼動しており、Vesta 社の中核テクノロジーの1つと見なされています。
「私たちはTE が提供する変更監査機能を非常に信頼しており、当社の業務サーバーの基盤の一部となっています。まるで、本番稼動を許可する前にサーバーの出生証明書を発行してもらうような感じです」（サマーズ氏）

コントロールすることが重要

決済代行というビジネス形態と利用するクライアントの規模を考える、Vesta 社の内部プロセス制御の監査はいつ終わるとも知れない作業になります。毎年、サマーズ氏と彼のチームは、PCI DSS (Payment Card Industry Data Security Standard)、SAS 70 (Statement on Auditing Standards No. 70)、Vesta 社自身の内部財務監査という3 件の監査を受けています。さらに、多くの既存および見込みクライアントも、Vesta 社の内部運用、セキュリティプロセス制御を自分で検査する権利を定期的に行使し、独自の要件やリスク上の問題が適 切に対応されているかどうかを確認します。
あらゆる監査の中でも、PCI はおそらく最も重要で包括的な監査です。PCI は、データの漏えいと侵害からカード会員を保護するのに必要な、情報セキュリティに関する12 の要件からなります。年間600 万件を超えるトランザクションを処理する最高クラスのレベル１の加盟店として、Vesta 社は審査機関による認定を毎年受ける必要があります。年1 回のPCI 認証を得られないことは、多額の罰金とビジネス機会の損失を意味しています。

Tripwire Enterprise でPCI を完全遵守

Vesta 社は2004 年以来PCI を遵守しています。以前はPCI 評価に2 週間もかかりましたが、TE の導入後、わずか3 日でPCI コンプライアンスの認証を受けました。
「大幅にコストが削減できました」とサマーズ氏は言います。監査プロセスは70% 近くまで短縮できました。「Tripwire Enterprise が素晴らしいのは、PCI 基準の複数要件を審査機関に一度に提示できる点です。業界のだれもが使っているツールなので、監査人もすぐに受け入れてくれます。なぜTripwire Enterprise なのかを説明する余分な時間は必要ありません」

こうした理由からサマーズ氏は、「PCI コンプライアンスの達成を支援するソリューションに何か１つ投資するのであれば、Tripwire Enterprise を推奨します」と話してくれました。

TE であれば、プロセスコントロールが機能していることを、監査人に迅速かつ簡単に示すことができます。高度なレポート機能とPCIのアセスメント機能を備えたTEは、企業に必須のセキュリティ・コントロールを提供し、承認されていない変更がすぐに管理者に通知されているという確証を与えてくれます。最も重要な点は、監査人が必ず確認したい重要な情報である「いつだれが、何を、何のために変更したか」を、TE が提供することです。

個々の守るべき要件が集まった一つのイベントとして監査を捉えると、手に負えなくなります。一方、サマーズ氏は、主としてISO27001とPCI標準に基づいた全体的なセキュリティポリシーを導入しました。また、多様な監査人のニーズを満たすだけでなく、自社のビジネスやクライアントにも役立つように、実体験を活かして機能を強化しました。サマーズ氏のアプローチにとって、TEは欠くことのできない要素でした。企業全体でセキュリティポリシーに遵守していることを証明する自動コントロール機能を、TE は提供します。

Tripwire Enterprise の活躍

Vesta 社のセキュリティエンジニア、ライアン・キング氏は、ジェームズ・サマーズ氏と連携して仕事をしています。キング氏はTE のレポートをすべて管理し、疑わしい変更へのあらゆるアラートに対応します。キング氏の仕事は、Vesta 社の変更管理システムとTEが検知した変更を一致させ、すべての変更にルールを厳守させることです。未承認の変更が見つかると、キング氏は調査を行い、適切な処置を講じます。
「Tripwire Enterprise はすべてを検知します。常に自動的に監視しているので、だれもTripwire Enterprise を欺くことはできません。従業員が変更プロセスに沿って行動していることを明らかにしてくれることは、重要です」（キング氏）

キング氏が最も評価するTE の新機能の1 つに、Active Directory 監視があります。Vesta 社はActive Directory 監視により、IT環境の重要部分に誰が変更を行っているか、完全に把握しています。現在、Active Directory監視によって、信頼のおける監査証跡を維持できるおかげで、スタッフの役割を拡張してより幅広い権限を与えられるようになりました。TEによって、「単に信頼するだけではなく確認も行う」ことができるため、迅速な対応、良質な仕事、発生したミスの素早い解決を可能にします。「Tripwire Enterprise のActive Directory監視機能は、この目的に特化して設計された他の多くのユーティリティよりも、さらに多数の情報を提供してくれます」（キング氏）

さらにVesta 社は、TE のコンフィグレーション・アセスメントを使用して、CIS (Centerfor Internet Security) およびVesta 社内のセキュリティポリシー双方のベンチマークに対する各システムのコンプライアンスを評価しています。Vesta 社は、システムに対するコンフィグレーション・アセスメント機能が、システムの変更を監査するのと同じソリューションで実現できることに、満足しています。「どちらの作業にもTripwire Enterprise を利用することで、監視サーバー上にエージェントが１つあるだけで両方のタスクを実行できます。さらに、２つのソフトウェアパッケージを購入し管理する時間と費用を節約できます」（キング氏）

TE はインフラストラクチャ全体をカバーするので、何が変更されたのかを正確に把握できます。サービスの停止または低下が発生した場合、原因となった変更を素早く除外し、関連する変更がある場合は迅速に確認し修正できます。この新機能により、Vesta 社は障害回復に擁する平均時間を数時間短縮し、可用性を99.95%まで向上させました。
可用性とシステム・パフォーマンスの向上は、財務にも明らかな影響があります。ダウンタイムが１５分発生するごとに、Vesta社は１０万ドルを超える収益を失い、さらにSLA の違約金を支払うことになるかもしれません。

継続的なコンプライアンスを通じてビジネスを拡大

Vesta 社がTE を購入したのは、コンプライアンスとセキュリティのためだけではありません。ビジネスに役立つからでもあります。クライアントからのトランザクションを週７日２４時間、迅速に処理することに加え、Vesta 社はコンフィグレーションの監査とコントロールを利用して、競争上も優位に立つことができます。クライアントが市場で先行するために新機能や追加機能を要求すると、Vesta 社は積極的に対応します。その結果、システムへの変更は頻繁に行われますし、事前の情報なしに変更が行われることもしばしばです。しかしVesta 社は、成熟し実施可能なIT 統制によって、素早く顧客ニーズに対応しながらも、意図した変更は受け入れ、未承認の変更は隔離し調査を行います。

さらにPCI コンプライアンスは、Vesta社の販売部門やマーケティング部門が市場シェアを拡大するために使用するツールともなります。実際、PCI コンプライアンスのおかげで、セーフハーバールールを満たすことができたため、ヨーロッパ市場に素早く展開できました。またライバルがコンプライアンスを実現できない間に、Vesta 社はさらに事業を拡大しています。その洞察力と成熟により、ライバルと競合することなく、2007 年だけでも４社の新規クライアントと契約しました。

　Vesta 社を信頼する企業はますます増えています。TE が舞台裏で働いているおかげで、１日の処理量が１万トランザクション未満から５０万トランザクションを超えるまで事業を拡大できました。「紙によるプロセスでは不可能でした」とサマーズ氏は言います。「運用環境には断然TripwireEnterprise を推奨します。セキュリティや有効な運用作業に必要なコントロール、そして何よりもコンプライアンスの証明を、統合された形で提供す唯一の製品です。Tripwire Enterprise で利用できる機能を置き換えようとすれば、様々なツールが必要になるでしょう」

• その他の事例をみる