2011年3月7日7:00
コストを抑えてPCI DSSの完全準拠を達成
社内のセキュリティに対する意識も向上
決済代行事業者のテレコムクレジットは、2011年1月21日付けでペイメントカードの国際セキュリティ基準である「PCI DSS Version 1.2」の準拠証明を取得した。同社ではPCI DSSへの準拠を機に、加盟店がより安心してインターネットでのカード決済を行えるよう、サービスの拡充を図る方針だ。
決済代行事業者に求められるPCI DSS準拠
オールインワンの製品でコストと導入負荷を軽減
決済代行事業者のテレコムクレジットは月50万のトランザクションがあり、約5000の加盟店を抱えている。同社では2010年4月からPCI DSS準拠に向けた準備を開始。社内の6人のメンバーを中心に社員が一体となって取り組んだ。
「今や決済代行のビジネスを行う上でPCI DSSに準拠していることが当たり前であり、遵守していない場合は競合との比較でもデメリットにもなります。また、PCI DSSに準拠することにより、社員のセキュリティに対する意識を向上させる狙いがあります」(カスタマーサポート部 システム部 部長 武内 準氏)
同社では2010年12月末までの準拠を目指し、要件に合わせて現状の把握からスタートした。まず、PCI DSSに着手する上でのネックとなったのはコストの面だ。
システムに関しては刷新ではなく、既存のものをベースに補強を行う形で対応した。カード会員情報は各サーバに点在していた部分もあったため、Webサーバ上のログ、データベースサーバにそれぞれ集約した。
「ログサーバに関しては、一カ所に集約し、Webサーバ上に残ったものは定期的に移動させるようにしました」(武内氏)
新規の製品・ソリューションとしてはファイル整合性監視ソフト、ログ監視ソフト、バーチャルパッチ、WAF、IDS/IPSなどの導入が必要になった。
「製品を選定する中で、すべての機能をオールインワンで提供しているものを見つけることに成功したため、当初想定していたよりはコストを抑えることができた。ネットワークの構成変更が必要な部分もあったため、現状の運用に影響を及ぼさないでシステムを切り替えていく作業が大変でした」(システム部 SEチーム 主任 丸山義和氏)
代替コントロールは要件3の暗号化部分で適用している。
「日々の運用をこなしながらPCI DSSの対応を行ったため、作業量が多く忙しかったです」(国際業務部 主任 平瀬俊典氏)
準拠にかかったコストは1,000万円
セキュリティへの取り組みを客観的にPR
結果的に当初の予定より1カ月伸びたが、2011年1月に完全準拠を達成した。同社では今回が初めての審査だったため外部にコンサルティングを依頼したが、1,000万円の金額に抑えることができた。
準拠後のメリットとしては、営業活動をするうえでアピールになる点、セキュリティへの取り組みを客観的にPRできる点などが挙げられる。同社では加盟店に対し、カード会員情報非保持のサービスを提供しており、今後はPCI DSSに準拠したハイレベルなセキュリティをPRしていく方針だ。
「当面の課題はPCI DSSに対応した運用です。1年に1回、QSAの審査が入るため、社内的にはフローを守っていかなければいけません。確かにコストはかかりますが、セキュリティレベルを保つ上でPCI DSSの継続審査は必要です」(武内氏)
次回の審査はVersion 2.0の審査になるが、「審査のハードルが上がったというより、基準が明確になり柔軟性が増した印象があります。更新審査は2011年末にVersion 2.0の審査を行う予定です」と丸山氏は説明してくれた。
