The Doppler Quarterly (日本語) 秋 2016 | Page 56

クラウド監査に
備えた準備
当社は今年の初めに、業界をリードするクレジットカード会社の 1 社が、
AWS 上での初めての PCI および SOX を問題なく完了するためのサポートを提供しました。
また、 CTP は 5 年前に、当社最大の金融サービス顧客の 1 社が AWS に着手するためのサポート
を提供しました。現在、同社はクラウド上で多数のワークロードを実行しており、自社のプライベート
データセンターを超える範囲まで拡張し、同社のパブリッククラウド環境も追加するために、その最
近の移行には、年次監査を必要とする機密データを扱う複数のアプリケーションが含まれていまし
た。
監査人
通貨監督庁 (OCC) は米国財務省の独立事務局であり、すべての国法銀行および連邦貯蓄組合を
監督する責任を有しています。この春、 OCC は初めてのパブリッククラウド監査を実施したところで
あり、その監査は、当社の顧客の AWS 環境に重点を置いたものでした。また、監査には PCI ( ペイ
メントカード業界 ) コンポーネントと SOX ( サーベンス・オクスリー法 ) コンポーネントの両方が含
まれていました。
プロジェクト
その 9 週間の過程において、当社は、同銀行の中核の IT チーム全体およびすべての事業部門との
何十回もの面談を行いました。CTP チームは、 PCI および SOX の要件と照らし合わせて、同社のセ
キュリティ機能、セキュリティ制御、およびセキュリティツールを評価することにより、顧客データの保
護および機密性に関連する管理上の不備を特定しました。これに基づいて、当社は組織のオンプレ
ミス環境をそのAWS 環境と比較し、ツールが不足していたり、ツールを差し替える必要があるギャッ
プを識別しました。非準拠の領域を特定した後、当社は、同銀行の AWS 環境の全体的なセキュリ
ティを改善するための具体的な修正について助言しました。
成果
OCC の調査が完了した後、同銀行は一切の Matters Requiring Attention ( 要注意事項 ) なく査
察に合格しました。当社の顧客の監査では、 PCI 上の罰点あたり最大 100,000 ドルの罰金、 SOX の
罰則での最大 100 万ドルの罰金が回避された一方で、顧客の信頼の強化につながりました。
継続的なコンプライアンスの達成
クラウドを導入する企業がますます増加する中で、当社は、組織が監査に合格し、リアルタイムのコ
ンプライアンス監視を自動化するためのサポートを提供する際に、透明性を提供するツールやプロ
セスの必要性を認識しました。当社は過去 1 年の間、まさにそれを実現するソリューションを構築し
ており、その事実をようやく皆さんと共有できることを嬉しく思います。
54 | THE DOPPLER | 2016 年秋号