Verizon社のクラウド事業である、CaaS(Computing As A Service)、別名でOn-Demand Cloud Computingと呼ばれるクラウドサービス事業がクレジットカードトランザクションの運用に必要になってくるPCI-DSS規格に準拠している、という承認を取れた、という発表があった。
PCI-DSSは、Payment Card Industry Data Security Standardの略で、クレジットカードに関連する個人情報を保管、処理、転送する機能がセキュアに実装されているかどうかを監査際に利用される規格で、この規格に通ると、いわゆるクレジットカードを取り扱うアプリケーションの実装、運用が承認される、というもの。
PCI-DSSはPCI Security Standards Councilと呼ばれる業界団体により制定されているもので、セキュリティ関連情報の管理方式、ポリシー、情報の処理手順、ネットワークのアーキテクチャ、ソフトウェアのデザイン、障害時の対応方法、等広い範囲にわたって規定がされている。
Verizonはクラウドサービスプロバイダーの中でもPCI-DSS準拠を達成している数少ないベンダーの一社となり、さらに顧客であるエンタプライズ企業に対して、PCI-DSS準拠のためのプロフェッショナルサービスも提供開始する、と述べている。
従来のクライアントサーバ環境において、PCI-DSS準拠を達成するためには、二重化やセキュリティ構築の為に非常に多額なシステム投資が必要とされており、それをクラウドで実現できる、というソリューションとなると、収益度の高いクラウドビジネスが展開できる、というのがVerizonの狙いである、といえる。
PCI-DSSの重要な要件として、顧客のクレジットカード関連情報の管理方法として、バックアップや二重化された情報も含めて、データが保管される物理的なサーバの所在を明確にしなければいけない、という重要な要求事項があるが、Amazon Web Serviceのようなクラウド事業では、それが公開されていないため、PCI-DSS準拠が難しい、とされている。 Verizonは恐らく、PCI-DSS準拠が要求される状況においては、このサーバの限定を行うことによってこの問題を解消している、と思われる。 当然ながら、クラウドインフラの強みである、ElasticityやScalability等に限界が生じる事が考えられるが、アプリケーションの中でPCI-DSS準拠が本当に必要な部分のみを抽出し、この特別なクラウド環境に搭載する、というハイブリッド的なSI構築サービスを提供しているのではないか、と想像される。
[Link] http://smart-grid.tmcnet.com/news/2010/08/19/4965639.htm