DistilledのDockerScoutによるPCIコンプライアンス認証

ハイライト

• 認定まで3 か月: Docker Scout を使用して 3 か月未満で PCI コンプライアンスを達成しました。
• 開発者の採用率99%:ほぼすべての開発者が、Docker Scoutをワークフローに迅速に統合しています。
• 30-day パッチ準拠:すべての重大な脆弱性が30日間のPCI-DSS要件内に修正されたことを確認しました。

 

「Docker Scout は、支払いとユーザーデータが完全に保護されていることを確認するのに役立っています。」 — Milen Dobrev 氏、シニア エンジニアリング マネージャー

概要

アイルランドの著名な企業であるDistilledは、4つの主要なオンラインマーケットプレイスを管理し Daft.ie ています。DoneDeal.ie、 Adverts.ie、そして Gumtree.ie。 Distilledは、特に 20 年以上にわたって市場をリードしてきた Daft.ie で、長年にわたって市場で存在感を示しており、アイルランドのオンラインマーケットプレイスセクターの主要なプレーヤーです。

Distilled は、支払い処理システムの PCI コンプライアンスの必要性に駆り立てられ、重要な要件を特定しました。 彼らは、Dockerイメージの脆弱性を継続的に監視して対処し、厳格なセキュリティ対策が維持されていることを確認するための堅牢なソリューションを必要としていました。 Distilled は Docker Scout を選択し、これにより、開発の安全性を確保し、コンプライアンス要件を満たすための運用シフトにつながりました。

課題

厳しいコンプライアンス要件への対応

Distilledは、PCI-DSSの厳しい要件を満たすという重要な課題に直面し4支払い処理システムの0コンプライアンスに準拠していました。PCI-DSS 4によると。0、すべてのシステムコンポーネントは、リリースから1か月以内に適用可能なセキュリティパッチ/アップデートをインストールすることにより、既知の脆弱性から保護する必要があります。 この厳しい基準には、継続的かつ徹底したセキュリティ対策が求められています。

Distilled社での最初のセキュリティセットアップでは、基本的なDockerセキュリティスキャナーを使用していましたが、これらの要件を完全には満たしていませんでした。 主な問題は、既存のツールがプッシュされた時点でのみDockerイメージをスキャンするため、更新頻度の低いイメージの脆弱性が見過ごされ、パッチが適用されない可能性があることでした。 このアプローチは、特に機密性の高い支払い情報を処理するフロントエンドとバックエンドの両方のアプリケーションをホストしていたDockerイメージにとって、大きなリスクをもたらしました。

継続的な監視が行われていなかったため、新たな脆弱性をリアルタイムで認識することができず、システムが新たな脅威にさらされていました。 「PCI-DSS評価の要件の1つは、パッチがリリースされてから 30 日以内に、重大で深刻度の高い脆弱性にパッチが適用されていることを確認することです」と、シニアエンジニアリングマネージャーのMilen Dobrevは述べています。 

Distilledは、継続的なセキュリティ監視を提供し、PCI-DSS要件へのコンプライアンスを確保できる、より包括的なソリューションを必要としていました。これにより、支払い処理システムを保護し、市場での評判を維持できます。

解決

Docker Scout を活用して継続的な脆弱性分析を行う

Distilled が Docker Scout を選んだのは、継続的なセキュリティ監視の重要なニーズに対応するための継続的な脆弱性分析機能があるからです。 Docker Scoutは、Dockerイメージ内の脆弱性に関する実用的な洞察を提供し、PCIコンプライアンスを維持するための理想的な選択肢となりました。

オンボーディングプロセスは迅速かつ効率的でした。 Distilled では、5 つの重要な Docker イメージをオンボードするだけで、Docker Scout はスムーズに管理しました。 既存のワークフローとの統合、特にPCIパッチ適用チームとの統合はスムーズで、運用に大きな影響が及ぶことはありませんでした。

PCIパッチ適用チームの開発者は、Docker Scoutに簡単に適応しました。 このツールのわかりやすいインターフェースと焦点を絞った機能により、スムーズな移行が容易になりました。 Docker Scoutのユーザーフレンドリーな設計により、開発者は広範なトレーニングや適応期間なしで、その機能を迅速に理解して活用することができました。

主な利点

結果と結果

コンプライアンスの確保と効率性の向上

Docker Scout の実装は、Distilled 社にとって極めて重要な決定であることが証明され、PCI コンプライアンス認証の成功に大きく貢献しました。 Docker Scoutの継続的な監視とリアルタイムの通知により、すべての重大で深刻度の高い脆弱性に迅速に対処し、PCI-DSS要件に完全に一致しました。

Distilledは、PCIコンプライアンスを達成しただけでなく、継続的なコンプライアンス維持のための強固なフレームワークを確立しました。 Docker Scout レポートの定期的なレビューは、セキュリティプロトコルの不可欠な部分となり、チームは新しい脆弱性に迅速に対処できるようになりました。 「対処すべきことがあれば、継続的にスキャンして通知してくれるものが必要でした。Docker Scout はそれをうまくいっています」と Dobrev 氏は言います。 この継続的な警戒により、Distilledはコンプライアンスステータスをシームレスに維持することができました。

PCI パッチ適用チーム内の効率と満足度は、Docker Scout の採用により急上昇しました。 新しいイメージの迅速な初期分析と、脆弱性に関する詳細な洞察により、ワークフローが合理化されました。 ポリシーや通知などの機能により、チームが脆弱性を常に把握する能力がさらに強化され、プロアクティブなセキュリティスタンスが育まれました。 「画像レイヤーのどこに脆弱性があるかを正確に確認できる検出機能は、最も価値があります」と Dobrev 氏は言います。

Docker Scoutの統合により、全体的な開発者エクスペリエンスも大幅に向上しました。 開発者は、プラットフォームが使いやすいと感じ、その明確なインターフェースと焦点を絞った機能を高く評価しました。 「慣れてしまえば、理解しやすく、使いやすくなります」と Dobrev 氏は言います。 この使いやすさにより、ワークフローの中断が最小限に抑えられ、厳格なセキュリティ基準を維持しながら、コア開発タスクに集中できるようになりました。

Docker Scout は、Distilled が PCI コンプライアンスを達成および維持できるようにしただけでなく、運用効率とセキュリティ体制も強化しました。 Docker Scout の成功した統合と継続的な使用は、Distilled のセキュリティツールセットにおける信頼できるツールとしての価値を強調しています。

結論

Docker Scoutによるコンプライアンスとセキュリティの維持

Distilled の PCI コンプライアンスへの道のりは、Docker Scout の採用によって大幅に強化されました。 Docker Scout が提供する継続的かつ詳細な脆弱性の洞察は、PCI 認定を保護するのに役立ちました。 Distilledは今後も、Docker Scoutを活用してコンプライアンスを維持し、支払い処理システムの安全性と最新の状態を維持する予定です。

Docker Scoutを既存のワークフローにシームレスに統合することで、セキュリティ対策が強化されただけでなく、全体的な効率も向上しました。 Distilledは、Docker Scoutを広範なCI/CDワークフローにさらに統合し、プロセスを合理化し、セキュリティへの取り組みを強化することを目指しています。 将来を見据えて、Distilled は、継続的なコンプライアンスとセキュリティのニーズをサポートする Docker Scout の能力に自信を持っており、ダイナミックなオンラインマーケットプレイス業界での継続的な成功に向けて有利な立場にあります。

さらに詳しく

• Docker Newsletter を購読してください。
• Docker デスクトップの最新リリースを入手します。
• 次のものに投票してください! 公開ロードマップをご覧ください。
• 質問がありますか? Docker コミュニティがお手伝いします。
• ドッカーは初めてですか? 始めましょう。