PCI-DSS に準拠した Tableau Cloud で支払いとカード保有者のデータを常に保護

今日のデジタルランドスケープにおいて、企業がますます依存度を高めているクラウドソリューション。こうしたクラウドソリューションでは、支払いカードデータなどの機密性の高い情報を扱うことも少なくありません。今回実現した PCI-DSS への準拠により、Tableau Cloud を利用する金融サービス業界の組織がデータを効果的に活用できるようになるだけでなく、Tableau Cloud に組み込まれた既存の堅牢なセキュリティとコンプライアンスがさらに強化されることにもなります。

Tableau Cloud は、Payment Card Industry Data Security Standard (PCI-DSS) 4.0 への準拠を達成しました。これにより、セキュリティに対する Tableau の揺るぎない取り組みが強化され、機密性の高い支払いカードデータが確実に常時保護されるようになります。

PCI-DSS の概要と Tableau Cloud への影響

PCI-DSS は、世界的に認知されているセキュリティ標準です。その目的は、クレジットカード情報を受領、処理、保存、移転するすべての企業が、確実に安全な環境を維持できるようにすることです。顧客の支払いまたは金融データを処理する企業では、カード保有者のデータを保護して顧客の信頼を維持するために、PCI-DSS への準拠が必須となっています。

Tableau Cloud は、他社における支払いの処理をサポートする PCI-DSS エコシステム内の「サービスプロバイダー」として、きわめて重要な役割を果たしています。Tableau をご利用のお客様には、Tableau Cloud 内のデータ環境がこの厳格な標準を満たしていることを認識したうえで、さらに安心して業務を進めていただけるようになります。

トップクラスのセキュリティに対する Tableau Cloud の取り組み

PCI-DSS 準拠において、Tableau Cloud は PCI-DSSレベル 1 サービスプロバイダーとして認定されています。これは、コンプライアンスの最高評価であり、Tableau Cloud が PCI-DSS の技術的および組織的な 12 の規制を満たしていることを意味します。

これらの基準を満たすために、Tableau は以下のような厳格なテストと検証を実施しています。

• 認定セキュリティ評価機関 (QSA) による年次のオンサイト評価と準拠報告書 (ROC)。
• 脆弱性の特定と対処のために認定スキャンベンダー (ASV) が行う、四半期ごとのネットワークスキャン。
• Tableau での標準への準拠を裏付ける、シニアエグゼクティブによる準拠証明書 (AOC) への署名。

さらに、Tableau Cloud の運用基盤である AWS の IaaS (サービスとしてのインフラストラクチャ) プラットフォームと Salesforce の Hyperforce は、どちらも PCI-DSS レベル 1 の準拠を実現しています。つまり、Tableau Cloud は、強固なセキュリティ基盤上に構築されたインフラストラクチャだということです (データセンターと物理的コントロールの保護は AWS が担っています)。

共同責任モデル: セキュリティにおけるパートナーシップ

Tableau の PCI-DSS 準拠は、基盤となる共同責任モデルの原則の上に成り立っています。Tableau Cloud はクラウドサービスプロバイダーとして、基盤となるインフラストラクチャとプラットフォームを管理し、ネットワークファイアウォール、保管中および送信中のデータ暗号化、脆弱性の管理、パッチ適用、システムアクティビティのロギングなどの分野を請け負っています。一方、Tableau をご利用のお客様は、セキュアアクセスの構成による独自のアプリケーション設定、データ、サービスの使用の保護、Tableau Cloud とやり取りするデータの暗号化、ユーザーアクティビティのモニタリング、カスタムインテグレーションの保護に責任を負うことになります。

このモデルに基づき、お客様には運用環境を PCI-DSS に完全準拠した状態にする責任を果たすことが求められます。

そこで Tableau は、お客様が共同責任モデルに基づいてコンプライアンス要件を遵守できるように支援するさまざまなツールを提供しています。

• 顧客管理の暗号化キー (CMEK): お客様が独自に管理するサイト固有のキーを使ってサイトのデータ抽出を暗号化できるようになる、重要な機能です。
• Tableau Bridge: HTTPS と WebSocket を使用して、プライベートネットワークデータ (オンプレミスデータベースやプライベートクラウドなどのデータ) に Tableau Cloud を安全に接続し、信頼できる暗号化された通信を実現します。
• アクティビティログ: 詳細なログイベントを包括的に可視化して、ご利用の Amazon S3 バケットに直接送信できます。これにより、コンプライアンスに欠かせないサイトアクティビティの詳細な分析、監査、モニタリングや、権限の変更が可能になります。
• 堅牢なアクセス制御: Tableau Cloud には、承認されたユーザーのみがデータにアクセスできるようにする、次のような機能が用意されています。
  • 多要素認証 (MFA): 厳格な認証を実現
  • シングルサインオン (SSO): 効率化された一貫性のある認証を実現
  • SCIM: ユーザーのプロビジョニングとプロビジョニング解除を自動化
  • ユーザーのロール / 権限の制御: 最小特権の原則を適用
  • データアクセス制御と行レベルのセキュリティ (RLS): ユーザー ID に基づいて閲覧可能なデータを制限

共同責任に関して考慮すべき主なポイント

さらに、お客様の責任に加えて注目していただきたいのが、Tableau の現時点における PCI-DSS の準拠状況に関して制限があることです。お客様は、Tableau の PCI-DSS 準拠範囲を逸脱しないように、Tableau Cloud の導入時に次のような制限事項を考慮する必要があります。

• 抽出を暗号化する際は、CMEK の使用が必須となっています。
• PCI-DSS への準拠に対応しているのは、データ抽出またはライブ接続の形式のデータのみです。CMEK で暗号化できない Excel や CSV ファイルなどの埋め込みデータソースの使用は、準拠の範囲外となっています。
• お客様は、ご利用の ID プロバイダー (IdP) のシングルサインオン (SSO) を使用する必要があります。

これらの具体的なポイントを認識することで、Tableau Cloud の PCI-DSS 準拠環境を効果的に活用しながら、お客様固有のコンプライアンス義務を果たすこともできるようになります。

データセキュリティにおける信頼できるパートナー

Salesforce において、信頼は最も重要な価値のひとつであり、あらゆることの指針となる原則です。セキュリティを中核に据えて設計されている Tableau Cloud は、機密性が高いカード保有者のデータの保護を重視しています。インフラストラクチャのセキュリティ、堅牢な暗号化、詳細なロギングなどの包括的なアプローチによって、機密情報を扱う環境のレジリエンスを確保します。

Salesforce は、コンプライアンスとデータセキュリティの実現に向けた過程で、お客様の信頼できるパートナーになることに尽力しています。

詳しい情報については、Tableau Cloud PCI-DSS のホワイトペーパーや、Tableau のコンプライアンスに関する Web サイトとリソースをご参照ください。また、担当の Salesforce アカウントエグゼクティブにもご遠慮なくお問い合わせください。

今回ご紹介したレベルのセキュリティとコンプライアンスを実際に体験してみたい場合は、Tableau Cloud の無料トライアルをご利用ください。