平成25年11月1日
お客様各位
株式会社テレコムスクエア
代表取締役社長 吉竹 雄次
弊社セキュリティの改善進捗に関するご報告
平成25年9月20日にご報告いたしましたお客様情報流出に関しまして、多くのお客様ならびに関係者の皆様に多大なるご心配と迷惑をおかけしましたことを、深くお詫び申し上げます。本件の発生を機に、弊社における課題を深耕し、抜本的な改善をする機会として、ウェブサイトで公表の通りセキュリティ強化に努めてまいりました。現時点における進捗状況、並びにさらなる今後の取り組みに関してご報告いたします。
1.セキュリティ強化に関するこれまでの取り組み
今回の流出原因である、「当該サーバへの不正アクセスによる侵害ならびにファイルの窃取」及び、
鑑識(フォレンジック)調査による指摘事項への対応を以下の通り実施してまいりました。
- 8月13日
- クラウドサービスの廃止と、全サーバのデータセンター(以下:DC)への移管
- 8月21日
- DCにIPS★1を導入し不正アクセスの監視
- 8月29日
- DCにWAF★2を導入し不正利用の監視
- 9月17日
- 開発パートナーのアクセス制限強化
- 9月25日
- ネットワークの再構築とセキュリティ強化
- 10月1日
- PCI-DSS★3取得プロジェクト開始
- 10月2日
- 既存システムの脆弱性テスト(ペネトレーションテスト)による1次診断を開始
- 10月13日
- 既存システムにおける全ての通信(社内通信含む)の暗号化の完了
サーバ間のアクセス制限
- ★1)
- IPS(Intrusion Prevention System):ネットワークレベルの利用侵入防止ツール
- ★2)
- WAF(Web Application Firewall):アプリケーションレベルの不正利用防止ツール
- ★3)
- PCI-DSS:VISA、Masterなど5大メジャーブランドが共同で制定したセキュリティ基準
2.セキュリティ強化に関する今後の取り組み
上記の取り組みに加えまして、第三者機関の協力を得て更なるセキュリティ向上のための取り組みを、
継続して実施してまいります。
■脆弱性診断の実施
ペネトレーションテストを実施し、1次診断の指摘事項への対応を完了しています。ペネトレーションテストによる2次診断(再確認)を10月29日より行っております。テスト→改善→確認のプロセスを、今後も定期的に実施してまいります。
■PCI-DSS取得に向けたプロセス
- 2013年10月-2014年6月:
- 現状とあるべき姿のギャップ分析を行い、指摘事項に対する
システム改修及びルール策定を行い、新たに策定したルールや改修したシステムを運用し運用手順の確認と実運用上の課題の把握と改善を実施 - 2014年7月-:
- 本審査を実施予定
※本スケジュールは現時点における計画でありルール策定やシステム改修に時間を要する場合には スケジュールの見直しを行う可能性がございます。
■運用体制強化
PCI-DSS取得におけるセキュリティポリシの見直しとは別に、一部セキュリティポリシの見直しを行い運用の徹底を図ると共に、業務における意識改革やスキル向上のための教育など積極的に全社をあげて推進してまいります。
■基幹システムの刷新
カード情報を内部で保有しない方式を採用した、弊社の次期基幹システムを早期にリリースし、更なる安全性の向上に努めてまいります。
3.最後に
フォレンジック調査による指摘事項への一次対応、既存システムへのペネトレーションテストの実施と指摘事項への対応を並行して行い、すでに全て施策は完了をしております。また、PCI-DSS取得に向けたプロジェクト推進も先にご報告した通り進めております。現時点における弊社のシステム脆弱性は改善されており、ご安心してお使いいただける様に努めてまいります。