 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
「統合セキュリティ製品でわかりやすいPCI DSS対策を提供します」、米Imperva副社長 |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
ドリル氏によれば、もっとも注目している分野の1つに、昨今日本でも話題になっているカードセキュリティ基準「PCI DSS」があるという。何をすればいいかがわかりにくいとされる米SOX法や日本版SOX法への対応と異なり、PCI DSSは具体的な「要件」が定められている分、対応がしやすいとされている。しかしドリル氏は、すべての要件が単純に実装できるわけではない点を指摘。「PCI DSS準拠では、豊富な経験から課題解決のお手伝いができる」とした。 PCI DSSは大きく12の要件が定義されているが、そのうちImpervaが重点的にサポートしているのは、「安全性の高いシステムとアプリケーションを開発し保守する(要件6)」「ネットワーク資源とカード情報に対するすべてのアクセスを追跡し、監視する(要件10)」の2つ。このうち要件10では、対象となるユーザーからのアクセス、操作などの記録をすべて把握し、不正な作業を行わせないようにする必要があるが、これはデータベース監視・防御製品がカバー可能。また、PSI DSS バージョン1.1で追加された要件6.6についても、WAFの導入によって満たすことができる。 こうした点を裏付けることとしては、米国でオンラインサービスを提供しているエンターテインメントのトップ企業において両要件の課題を解決した例があるほか、年間2800万件のトランザクションがある電子決済企業に導入されるなど、多くの事例を積み重ねてきたとのこと。ドリル氏は「企業の抱える、2つの異なった問題を、1つのソリューションで提供できる。WAFだけ、データベース監視だけをやっている会社もあるが、両方をやっているところは当社以外にない」とアピールする。 もっともドリル氏は、Impervaが提供できる価値は限定された分野にとどまらない、とも主張する。同社がPCI DSSに注目しているのは、「それが動機になってほかにもいろいろと問題提起できる」ため。ドリル氏は、「当社の製品は、さまざまな形で拡張していけるので、企業内外にあるほかのアプリケーションも、センシティブなデータに対してもセキュリティを提供できる。お客さまも、PCI DSSのみならず、幅広いソリューションを求める。そこに当社のチャンスがある」と述べ、PCI DSS対応を足がかりに、広く同社の製品・ソリューションを展開したい意向を示した。 また同社では、中小企業市場にも注力しているという。そのための武器の1つとして10月22日に発表されたのが、中堅・中小企業向けのWAF製品「SecureSphere SE(スタンダードエディション)」である。前述したPCI DSSの事例はいずれも大企業のものだが、eコマースが盛んに行われるようになった現在、オンラインでクレジットカード情報を扱うのは大企業だけに限らないし、セキュリティ上の課題が中小企業と大企業で異なるわけでもない。そうしたことから、中小規模でも利用可能なモデルが望まれていたという。 「リソースの少ない中小企業では、セキュリティ担当者がいないようなところも多いが、当社製品は簡単に導入でき、使いやすい形で提供されている。容易に可視性を確保し、幹部に対してきちんとしたレポートを提出することも可能だ」(ドリル氏)。 ■ URL 株式会社Imperva Japan http://www.imperva.com/japanese/ ■ 関連記事 ・ 東京エレクトロン、米ImpervaのWeb/DBセキュリティアプライアンスを発売(2006/07/04) ・ 「DBセキュリティとWebアプリケーションファイアウォールはベストマッチング」-米Imperva CTO(2007/04/27) ・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】(2008/10/23)
( 石井 一志 )
|
