ゲスト投稿 : PCI DSS 準拠の e コマース サイトを GCP でスムーズに構築した Oro

編集部注 : Google では最近セキュリティ関連の発表を相次いで行っており、本稿でもセキュリティをテーマにした Oro, Inc. からの投稿を紹介します。Google Cloud Platform 上で e コマース サービスの OroCommerce を運営している同社は、意外なほど簡単かつ短期間で PCI DSS コンプライアンスに準拠できたことに満足しています。同社の情報セキュリティ責任者にそのプロセスを説明していただいたので、ご一読ください。

e コマース サイトを構築、運営すると、さまざまな課題に直面します。ウェブ サイトは使いやすく、デザインが魅力的で、わかりやすいユーザー インターフェースを備えていなければなりません。ブラック フライデーやサイバー マンデーなどのアクセス ピーク時にはスケーリングも必要です。

また、それ以上ではないにしても、それと同じくらい重要なのがセキュリティです。e コマース サイトは、金銭を扱い、クレジット / デビットカード番号などの PCI（支払い用カード）情報を処理するので、頻繁に攻撃の対象となります。他のさまざまなシステムと接続することになるため、多くの厳格な情報セキュリティ標準も満たさなくてはなりません。

e コマース サイトの運営では PCI DSS コンプライアンスが必須となります。CISO（最高情報セキュリティ責任者）やCIO（最高情報責任者）、CTO（最高技術責任者）、情報セキュリティの専門家の方は、クラウド インフラストラクチャのコンプライアンスに頭を悩ませておられることでしょう。

私たち Oro は B2B e コマース プラットフォームの OroCommerce を運営しており、IaaS（Infrastructure as a Service）プラットフォームとして Google Cloud Platform（GCP）を使用することで PCI DSS コンプライアンスの要件をクリアし、そのメリットを OroCommerce のお客様に享受していただいています。

PCI DSS コンプライアンスに準拠することは、Google 検索で最も近いピザ屋やガソリン スタンドを探すほど簡単ではないですが、Google Cloud の IaaS プラットフォームを採用すればコンプライアンスに必要なすべてのものが揃うため、そこに至るまでのプロセスは間違いなく簡素化されます。

もっとも、クラウドと IaaS の利用は、PCI DSS 準拠のサイトを構築するうえで、最初から最良の選択肢というわけではありませんでした。私たちのお客様は当初、大切なデータを第三者企業の手に委ね、見通しの効かないクラウドのどこかに格納することを歓迎しませんでした。

しかし、そうした考え方は最近では変わりつつあります。実際、PCI DSS 準拠のソリューションを取り入れるにあたって、GCP は強力なサポートと豊富なツールを提供してくれました。

当社の PaaS（Platform as a Service）はお客様向けにカスタマイズした OroCommerce サイトをホスティングしていますが、この PaaS で PCI DSS 認証を取得するために私たちは Google のパートナーとなり、共同作業のもとですばらしい経験を得ました。Google Cloud のパートナーとしてお客様にセキュアな環境を提供できることを誇りに思っています。

PCI DSS 準拠インフラストラクチャの構築

• サービス構築で使用するプラットフォームは PCI DSS に準拠していなければなりません。これは、コンプライアンス認証のための直接的な要件です。
  
• プラットフォームは、セキュアなネットワークの構築に必要なツールと方法を提供していなければなりません。
  

たとえば Google は、ガード、ハードディスク ドライブ シュレッダー、監視などを通じたホスティング環境の物理的なセキュリティ確保を義務づける PCI DSS 要件 9 をサポートしています。ハードウェアとデータの両方を物理的な盗難や故障から保護する責任を Google が負ってくれるのはとても心強いことでした。私たちは GCP ツールを使用して不適切なアクセスをブロックし、日常的な情報セキュリティを確保しています。

2 番目に挙げたセキュアなネットワーク アーキテクチャ（および PCI DSS 準拠）のための重要な要件としては、外部アクセスからの内部ノードの隠蔽、出入りするすべてのトラフィックの制御、異なるアプリケーション ティアのためのネットワークの分離などがあります。

OroCommerce は、Google の Virtual Private Cloud、ファイアウォール ルール、高度なロード バランサ、Cloud Identity and Access Management（IAM）による認証制御を用いて、こうした要件を満たしています。Google の SRE（Site Reliability Engineer）は、Google の 2 段階認証メカニズムを使って本番ネットワーク内の本番ノードにセキュアに接続します。

また、Google 提供の Compute Engine イメージは最新のセキュアな Linux ディストリビューションをベースとしており、安心して使えます。これによって当社のシステム管理者は OS のハードニングから解放され、脆弱性管理やその他の重要な業務に集中できるようになりました。

セキュアなインフラストラクチャ、アクセス制御、ネットワーク構成の重要性は広く知られていますが、信頼性の高いロギングとモニタリング システムを構築し、保守することも大切です。PCI DSS は監査証跡とログを重視しており、準拠の認証を得るためには、疑わしいアクティビティを検出するために環境を厳密にモニタリングし、インシデントの調査に必要となるすべてのデータを決められた時間内に収集しなければなりません。

モニタリング、保存、ログ分析の要件を満たすうえで、Stackdriver Monitoring や Loggingと、BigQuery のようなビッグデータ サービスとの組み合わせはとても役に立ちました。Stackdriver で本番システムをモニタリングすれば、構成やサポートに多くの時間をかけることなく、タイムリーな形で綿密に異常を検出できます。また、BigQuery でログを分析することで、特定の時間帯に何が起きたのかを簡単に明らかにすることができます。

2017 年に OroCommerce の PCI DSS への準拠に着手したときは、膨大な時間とリソースが必要になることを予想していました。しかし、作業を進めるうちに、目標達成のために GCP がとても大きな力になっていることがわかりました。PCI DSS コンプライアンスへの準拠を果たしたことで、インフラストラクチャとして GCP を選んだことは明らかに正しい判断だったと言えるでしょう。

* この投稿は米国時間 4 月 4 日、Oro Inc. の Information Security Officer である Sergiy Fakas によって投稿されたもの（投稿はこちら）の抄訳です。

- By Sergiy Fakas, Information Security Officer, Oro Inc.