2011年1月28日8:00
大手生命保険会社のアリコジャパンがPCI DSSに完全準拠
業界最高水準を目指して、更なるセキュリティの強化を図る
アリコジャパン(アメリカン・ライフ・インシュアランス・カンパニー)は、米国メットライフ社傘下の大手生命保険会社である。同社では2010年12月、PCI DSS Version1.2の認証を取得した。2009年7月のカード情報漏えいをうけ、さらなるセキュリティ対策の強化を図る同社の取り組みについてPCI DSS取得のプロジェクトメンバーを務めた基盤システム本部 基盤システム1部 基盤システム2課 課長 藤田 健氏、情報セキュリティ推進部 システム管理室 スーパーバイザー 美濃谷 学氏に話を聞いた。
年間取引件数は600万件を優に超える
システムが大規模なためファイアウォールの設定で苦労
「弊社では数多くのお客様にクレジットカード決済をご利用していただいていますが、2009年7月に、カード情報漏えいを起こし、多くの皆様にご迷惑をおかけしました。弊社・代表の髙橋も言っておりますが、情報セキュリティでも選ばれる会社を目指すことを目標に取組を続けており、その一環として、セキュリティ対策のレベルを客観的に評価していただく目的でPCI DSSの取得を決意しました」(藤田氏)
生保・損保業界のなかでも、アリコジャパンでは通信販売を中心にカード決済の採用が進んでいる。年間の取引件数は600万件を遥かに超えており、PCI DSSのレベル1加盟店に位置づけられるという。
アリコジャパンがPCI DSSの取得を決意したのは2010年3月。4月にはユーザー部門とシステム部門を中心にプロジェクトがスタートした。プロジェクト推進に当たっては、基盤システム本部藤田氏、情報セキュリティ推進部美濃谷氏が中心となり、18部門のスタッフとコンタクトを取りながら対応を進めた。
プロジェクト開始後はアクワイアリング会社である三井住友カードにPCI DSSへの対応状況を報告。例えば、Visaでは2010年9月末までにレベル1加盟店に対し、PCI DSS遵守を義務付けたが、アリコジャパンでは2010年12月までに審査を完了する筋道を立て、計画通りに対応を進めたため、カード会社、ブランドの理解を得ることができたという。
取得に向けてはコンサルティングと審査を同一の会社に依頼。まずは、ギャップ分析を行い、現状の自社のシステムに対してのPCI DSS非準拠部分の洗い出しを行った。
「社内の現場でカード会員情報を扱う業務の絞り込みはできていたつもりでしたが、PCI DSSの基準自体、自社で想像していたよりも厳しく、カード会員情報が処理、伝送される中間経路など、ここは審査外だと思っていたところまで、対象に入ってきました」(藤田氏)
システム対応で一番苦労したのは要件1のファイアウォールの設定だ。アリコジャパンではサーバ自体をセグメントしていたが、カード会員情報を扱う専用のサーバは用意していなかった。このままだと、すべてのサーバが審査対象になり、ペネトレーションテスト等の対策を実施しなければならなくなるため、カード会員情報の流れる環境自体をセグメントし、ファイアウォールを設定している。
また、2010年11月に親会社がAIGから米国メットライフ社に変わったため、同時期にインフラ面での変更があった点も影響した。
「弊社のシステムが大規模なため、まずはテスト機にシステムをインストールして、次に予備機に入れて、最後に本番機に入れる流れで処理を行いました。サーバの台数も多く、労力がかかったのは事実です」(藤田氏)
現場との交渉により社内のルールを見直す
業務委託先の管理基準も作成
ただ、同社ではSOX対応などを含め、セキュリティ対策には力を入れており、PCI DSSで求められる12要件に近いことは従前から行っていたという。しかし、「PCI DSSの12要件で求められていることを達成するためには、もう一歩の対応が必要になりました」と藤田氏は説明する。
例えば要件6.1のセキュリティパッチの適用についてもWindows系は以前から実施しており、その他については不定期に実施していたが、それ以外のシステムも定期的に行う対象となったことから運用負荷がさらにかかるようになった。
要件6.6については脆弱性診断を要件11.3のぺネトレーションテストと同時期に実施。要件10.5の整合性監視の要件では新規にシステムを導入するとともに、自社でルールを設定した。なお、代替コントロールは複数の要件に適用している。
「システム的な導入はもちろんですが、社内の理解も必要となりました。例えば、コールセンターでの、要件5のアンチウィルスの定期的な更新については、複数のアプリケーションが立ち上がっているため、システムに遅れが出ると問題が生じますので、ルール調整を行いました。また、弊社の保険商品販売は代理店を通して行われるため、関連した書類の追跡管理の方法など、ビジネスプロセスを大きく変更しています。業務委託先の管理基準も作成し、人的、組織的、物理的、技術的な面で、PCI DSSの要件に近づけるようにセキュリティの点検を実施しました」(美濃谷氏)
最終的に審査に入ったのは2010年11月。システムが大規模なため、1カ月半の期間を要した。
「結果として、セキュリティに対する社員の意識が高かったこともあり、目標の2010年12月に準拠を達成することができました。システムが大規模なため、これまでPCI DSSに準拠した企業などに比べ、対応コストは安いとは言えませんでしたが、当初想定していたよりは安価に抑えることができました」(藤田氏)
Webサイトに監査証明マークを掲載
2011年の課題は代替コントロールの削減
アリコジャパンではPCI DSSの取得により自社のセキュリティレベルを客観的に見直すことができたという。今後はWebサイトにも監査証明マークを掲載し、安全性を訴えていく方針だ。
2011年以降もPCI DSSへの準拠は継続するが、次回の審査では代替コントロールの削減を課題として挙げている。また、セキュリティパッチの適用やIDS/IPS、整合性監視システム、ログ監視などの確認で運用負荷が大きくなったこともあり、「担当者レベルまで細かい対応が必要となることから、より意識付けを徹底させたい」と藤田氏は力を込める。
2011年1月からはVersion2.0の審査が適用となるが、「Version2.0では仮想化技術に関する要件が追加されました。弊社では仮想化技術を多用していることもありますので、今後PCI DSSの基準に適用できるか見極めていきたいです」と美濃谷氏は話す。
生保・損保業界でいち早くPCI DSSに対応したアリコジャパンだが、生保・損保業界各社のセキュリティレベルは大幅にレベルアップしており、今後は業界内でもPCI DSS取得が進むのではないかと見ている。
