Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PCI DSS運用でラクをする/make_it_easy_for_pci-dss_operation_on_cloud

PCI DSS運用でラクをする/make_it_easy_for_pci-dss_operation_on_cloud

Replay make_it_easy_for_pci-dss_operation_on_AWS

Yutaka Hiroyama

September 25, 2020
Tweet

More Decks by Yutaka Hiroyama

Other Decks in Technology

Transcript

  1. クラウド上での
    PCI DSS運⽤で
    ラクをする
    2020/09/25 ヒロヤマ ユタカ

    View full-size slide

  2. about me
    • 廣⼭ 豊
    • アイレット株式会社
    クラウドインテグレーション事業部副事業部⻑

    情報管理責任者

    PCI DSS管理責任者

    Well Architected Lead
    • 2020 Japan APN AWS Ambassador
    • 組み込み開発SIer出⾝
    • AWS * 7, GCP * 5, Azure * 1, 情報処理安全確保⽀援⼠、
    その他多数の認定資格を保有

    View full-size slide

  3. Agenda
    • アイレットが取得しているコンピテンシー
    • ラクしよう
    • アイレットにおける解決事例
    • Sumologicを活⽤したログ管理の最適化

    View full-size slide

  4. about us
    • クラウド導⼊実績1,900社以上
    • 年間プロジェクト2,600以上
    • AWSプレミアコンサルティングパートナー8
    年連続認定
    • APN Consulting Partner of the year 2019
    • GCPプレミアサービスパートナー認定
    • クラウドのインフラ運⽤を主軸に、デザイン
    から開発までワンストップでサポート
    • 他拠点で運⽤

    View full-size slide

  5. we have
    2013年8⽉より、PCI DSS準拠の運⽤
    サービスを開始。
    現在、v3.2.1準拠。

    View full-size slide

  6. why did we get PCI DSS
    セキュリティ基準について以下を実現
    できる。
    • 第三者による証明
    • 整理
    • 維持

    View full-size slide

  7. ラクしよう

    View full-size slide

  8. 「ラク」≠「サボる」

    View full-size slide

  9. ラクをするために
    スコープを⾒つめ直す ツールの活⽤

    View full-size slide

  10. スコープを⾒つめ直す
    • 扱っているデータは何か?(=守るべきは何のか?)
    • データの在処およびアクセス経路
    • 扱っている⼈たちは誰なのか?
    • なにをクラウドベンダー任せにできるか?

    View full-size slide

  11. ツールの活⽤
    集約と適材適所のバランス
    進化の追従

    View full-size slide

  12. アイレットにおける
    解決事例

    View full-size slide

  13. Sumologicを活⽤したログ管理の最適化

    View full-size slide

  14. Sumologicを採⽤した理由
    PCI DSSテンプレート 設計をシンプルにできる

    View full-size slide

  15. テンプレートのメリット
    • 完成度の⾼いダッシュボード
    • 準拠のために必要なログが⾒えやすい

    View full-size slide

  16. Sumologicにいたるまでのログ管理
    初期
    •Logstorage +Rundeck+ Splunk
    第⼀段
    •Datadog+S3
    第⼆段
    •Sumologic

    View full-size slide

  17. リファクタリング前

    View full-size slide

  18. Datadogによるコストスリム化

    View full-size slide

  19. Sumologicによる集約管理

    View full-size slide

  20. 進化は続くよ、どこまでも

    View full-size slide

  21. まとめ
    PCI DSSで求められる運⽤要件は、セキュリティ
    ガイドラインとして有効
    スコープを明確にする
    その後の運⽤も視野に
    ツールを活⽤する
    ツールは定期的に⾒直す

    View full-size slide