セキュリティ 導入事例

セキュリティ診断・対策に長年従事してきた三和コムテックの事例をご紹介します

PCI DSS準拠

K銀行(地方銀行)/イシュア―

お取引サービス PCIDSS準拠前診断
内部系スキャン・ペネトレーションテスト
実施期間 4か月
背景 PCIDSS準拠を控え、診断品質を維持しつつ、コストを抑えたい
ご採用のポイント
  • 準拠前診断に絞り、その後は内製化サポート。
  • 診断スコープの絞りこみによる診断コストの削減
補足説明 WAペンテスト対象の絞り込みを提案し、約 1/10に削減できた
準拠前にコンサル契約をしていない場合、QSAとの十分な協議の時間を取れないケースが多く、スコープなどの絞り込みなど、コンサル的な対応が必要となった。

Bシステム / PSP

お取引サービス PCIDSS準拠診断(乗り換え)
内部・外部 NW/WASスキャン・ペネトレーションテスト
実施期間 2018年3月~現在
背景 PCIDSS準拠費用の見直し
ご採用のポイント
  • ワンストップでの対応
  • お客様ニーズの把握
補足説明 既に他社ベンダーサービスも利用されているため、診断手法やコスト感にも精通されているため、詳細なご説明を評価いただいた

ホテルチェーンC社 / 加盟店(対面/非対面)

お取引サービス PCIDSS準拠診断
NW系診断・ペネトレーションテスト
実施期間 2017年1月~現在
背景 海外予約サイトからのデータ連携にPCIDSS準拠が必須条件となったために実行計画に関係なく、早期にPCIDSS準拠の必要があった。
ご採用のポイント
  • リーズナブルな費用
  • クラウドへの内部診断
  • ペネトレーションテスト実施
  • 継続的な値下げ要求への対応
補足説明 同社は、コンサル及びQSAの選定時から費用感が合わず、その選定に大変な苦労を経験しており、その流れの中で納得いただける価格提示ができた

D社 / 加盟店(非対面)

お取引サービス PCIDSS準拠診断
ASV診断(乗り換え)
実施期間 2019年3月~現在
背景 PCIDSS準拠を継続する中で、既存のASVサービス(海外)でサポートにも不満があったが、ASV資格更新がなされず、急遽ASVを選定する必要があった。きっかけ: WEBからの問い合わせ
ご採用のポイント
  • サポート対応<代替対応の迅速な評価と承認対応>
  • 診断回数の自由度
補足説明 正直サービス利用料自体は、既存の海外ASVよりもかなり高かったが、脆弱性検出時の代替対策承認など、迅速なサポートにご評価をいただいた。

非保持化

E 百貨店 / 加盟店(対面/非対面)

お取引サービス クレジットカード・個人情報検知ツール
ARGOS DFAS PORTABLE
実施期間 2019年3月~
背景 PCIDSS準拠を控え、診断品質を維持しつつ、コストを抑えたい
ご採用のポイント
  • 簡単利用
  • 診断回数・PC数に制限なし
  • 非インストール型
補足説明 以前より実行計画の非保持化対策として継続いただいていました。導入に至るまでには、割賦販売法の改正など、状況の変化も左右しているようです。

E 事務所 / サービスプロバイダー

お取引サービス クレジットカード・個人情報検知ツール(ARGOS DFAS PORTABLE
実施期間 2018年2月~
背景 お取引先より、PCIDSS準拠相当の強固なセキュリティ対応を求めれており個人情報やカード情報の取扱いなど、万全を尽くした体制をとっている。PCIDSSへも準拠済みだが、同時にスコープ外での情報非保持の確認の必要性も感じていた。
ご採用のポイント
  • 簡単に使いまわして利用が可能
  • フォレンジック調査にも利用可能<某有名PCログ収集ツールよりも良いログが取れる>
補足説明 本ツールは、非保持化の定期チェックへの利用を想定していたがPCIDSS準拠企業においても、スコープ外での非保持確認にも 利用されている。

PCI DSS準拠(進化)

A社/サービスプロバイダー

進化例 調査と内製化支援を同時実施
お取引サービス 無線アクセスポイント調査
背景 至急の調査実施の必要性
ご採用のポイント
  • お問い合わせから3週間以内での即時対応
  • 調査実施と内製化支援を同時に実施

B社 / PSP

進化例 QSAとの調整とコンサルティング対応
お取引サービス PCIDSS準拠前診断
外部系スキャン・ペネトレーションテスト
背景 PCIDSS準拠を控え、診断品質を維持しつつ、コストを抑えたい
ご採用のポイント
  • コンサルティング対応も実施(=Q&A 及び QSAへの問い合わせサポート)
  • 価格競争力

ネット関連C社 / 加盟店(非対面)

進化例 ASVは価格だけじゃない!
お取引サービス PCIDSS準拠 ASV診断
背景 利用中の海外ASVのディスコンと問題点解消のため、国内ASVを検討。弊社ASVを採用
ご採用のポイント
  • 迅速なヘルプデスク対応<特に解決済み対応>
  • リーズナブルな費用

書籍販売 D社 / 加盟店(非対面)

進化例 手動診断も more is better
お取引サービス WEBアプリケーション手動&自動ハイブリッド診断(SCT SECURE SWATサービス)
背景 過去に情報漏えい事件があったD社様は、対策として社内規定を改定し、定期手動Webアプリケーション脆弱性診断利用を決定し、弊社サービスが選定された。
ご採用のポイント
  • 年4回の手動WEBアプリ診断とデイリーの自動診断
  • 診断対象の選定負荷が低い
  • リーズナブルな費用

E 社 / サービスプロバイダー

進化例 PCI準拠でも、非保持確認+α
お取引サービス PCIDSS準拠ASV診断(継続) / 非保持確認(追加)
OSINTサービス(新規)
背景 PCIDSS準拠しつつ、よりセキュリティレベルをあげ、取引先の信頼感 醸成。セキュリティレベルの向上
ご採用のポイント
  • 信頼関係の醸成・ASV診断: サポート対応と実績。
  • 非保持確認ツール: 多機能性。(クレカ・個人情報検知、フォレンジック調査)
    ログ検知粒度(他社ログツールからの買い替え)
  • OSINTサービス: リスク確認(機密情報の社外漏洩など

セキュリティに関するご相談は三和コムテックまでお問い合わせください

PAGETOP