コラム

CTC教育サービス・ホーム　＞　コラム　＞　make yourself comfortable　＞　第1回　#ssmjp 2020/02の1 で非機能要求グレードとITILとPCI DSSについて話してきました

make yourself comfortable

CTC 教育サービス

[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes

第1回　#ssmjp 2020/02の1 で非機能要求グレードとITILとPCI DSSについて話してきました (濱田康貴) 2020年3月

みなさんこんにちは。株式会社パイプラインの濱田です。今回より連載タイトルを make yourself comfortable と変更し、装いも新たにお届けしたいと思います。
第1回目の今回は、運用エンジニアなら押さえておきたい非機能要求グレード、ITIL、PCI DSSについて、イベントレポート形式で取り上げます。

#ssmjp 2020/02の1 開催レポート

2020年2月13日(木)、#ssmjp 2020/02の1 (2月の1回目) がENECHANGE社さんの会場をお借りして開催されました。今回のテーマは「非機能要求グレード」「PCI DSS」「ITIL」です。発表者とタイトルは以下の通りです。
yoshio_sawada さん
クラウドでも非機能要求グレードは必要だよね
ぐごさん
突然PCI DSS担当になった人が話すPCI DSS入門
濱田
いきなり{非機能要求グレード,PCIDSS}担当にさせられた！どうする！？

クラウドでも非機能要求グレードは必要だよね

トップバッターは yoshio_sawada さん。2018年の非機能要求グレード改訂で仮想化環境、クラウド環境に対応したとはいえ、もともとはオンプレミス環境を前提とされた非機能要求グレードをどうやって当てはめるか、クラウドの責任共有モデルを例にわかりやすく解説されていました。

突然PCI DSS担当になった人が話すPCI DSS入門

2番手は、日本で70人ほどしかいないISA資格を取得されたぐごさん。突然PCI DSS担当になった人向けに、PCI DSSを理解するためにスコープとカード情報非保持化の話をされていました。実は私もイベント当日まで「PCIDSS」だと思っていたのですが、実は「PCI DSS」と、2センテンスで表記するのが正しいそうです。
また、非機能要求グレードやITILは組織やチーム、サービス構成によっていわゆる”いいとこ取り”ができるのに対して、PCI DSSは非常に厳格で

1項目でも満たされていなければ非準拠
部分準拠という概念もなく「対応予定なので準拠」もない

という、いいとこ取りができないセキュリティ基準であるとも解説されていました。

いきなり{非機能要求グレード,PCIDSS}担当にさせられた！どうする！？

3番手は私濱田が、非機能要求グレードとPCI DSSを業務で行った話と、ちょっとだけITILのお話をさせていただきました。非機能要求グレードは以前コラムでも取り上げましたが、運用設計を行うにあたり、そもそも何を検討したらよいのだろう？という基準として利用できる、非常に網羅性の高い資料であることをお話させていただきました。
もう1点、よくある話ですが、顧客やステークホルダーから「よしなに設計してください」とフリーハンドで任せていただくのは一見よいように見えて、何か想定外のトラブルが発生したときに検討漏れをあとから指摘されてしまうということもお話させていただきました。ですので、最初に網羅性の高い検討項目で運用設計を行い、極力イレギュラーを減らし、顧客の特殊な事情は個別にヒアリングして運用設計するといった方法がお互いに不幸が少なくて済むということなのです。

それでは皆さん、よい運用ライフを！