ソフトバンク・テクノロジー株式会社(2009年新規取得)

2010年5月14日  00:00
 
指摘事項は特になく完全準拠を達成
統制面の強化で大規模なシステム投資を抑える

ソフトバンク・テクノロジーは2009年12月、同社の「eBizエンタープライズECシステム」で、PCI DSS Ver.1.2の認定を取得し完全準拠した。eBizエンタープライズECシステムはコンシューマ向けのECフロントから、決済・受注・出荷・販売管理を含めたバックオフィスまでの、すべての環境構築、開発、運用までを提供するシステムである。

準拠の経緯は加盟店からの要請と内部統制の視点から

事前の予備調査は特になく準拠を果たす

PCI DSSの審査はISMSと同じ認証機関に依頼したが、事前の予備調査は特になく、同認証機関の審査では初となる、指摘事項なしでの取得となった。

eBizエンタープライズサービス事業部 システム部 部長 金坂栄子氏

そもそもソフトバンク・テクノロジーと決済ビジネスとのかかわりは古く、シマンテック公式オンラインストア「シマンテックストア」をはじめ、10年を超えるシステム構築や運用実績がある。以前はグループ会社向けに決済システムサービスの提供を行っていたため、ビザ・ワールドワイドの「AIS」の監査パスも取得している。

PCI DSS取得に向けて準備を進めたのは2年前。「準拠を目指した理由は加盟店サイドからの要請があったこと、また弊社自身、ISMSやプライバシーマークなどの内部統制を重視する社風があったためです」(ソフトバンク・テクノロジー eBizエンタープライズサービス事業部 システム部 部長 金坂栄子氏)

同社の別の事業部からコンサルティングを受ける

システムに要したコストは100万円程度

準拠に向けては6項目12要件の各項目と自社のシステムとの精査を1年かけて行った。要件と実装のギャップ分析などについては、同社のセキュリティ及びコンサルティングを担当する部門のコンサルティングを受け対応している。システムに要したコストは100万円程度で、一部、内部の伝送処理にSSHを導入したことなどを除いてはガイドライン策定や運用フローの改善などの整備面の強化の対応がほとんどだった。「結果的に大きなシステム投資はあまりなく、コンプライアンスで積み重ねた業務運用の部分でカバーするケースが多かった」と金坂氏は説明する。外部委託先としてPCI DSSの準拠企業であるソフトバンク・ペイメント・サービスが名を連ねていたたことも大きかった。

技術的な要件対応としては暗号化やアカウント管理の仕組みを構築した。機能的な実装だけではなく、実際に人手のオペレーションが発生するため、運用のルール化や整備が必要になった。

各要件のギャップ分析や脆弱性スキャニングサービスの実施に関してはセキュリティ及びコンサルティングを担当する部門のアドバイスが役立ったという。同社では脆弱性スキャニングサービスやペネトレーションテストを自ら実施しており、専用のツールでアプリケーションのスキャンを行った。なお、外部のスキャンサービスは「HACKER SAFE(ハッカー・セーフ)」を使用している。

アンチウィルスソフトウェアの適用はシマンテックやトレンドマイクロのものをすでに導入していたこと、文書管理はISMSでの実績や日本版SOX法でドキュメントの整備を行っていたため、比較的スムーズに対応することができたという。

代替コントロールを3要件で適用

要件3と8に関してはアクセスコントロールを強化

審査での指摘事項は特になかったが、準拠に向けては代替コントロールを3つの要件で適用した。

eBizエンタープライズサービス事業部 システム部 部長代行 峯 俊洋氏

まず要件3.4のデータの暗号化ではすべてのPANを読み取り不可にしなければならないが、「一部の暗号化されていないデータに関しては、サーバへの直接アクセスができない物理的制限、およびアクセス制御の徹底的な強化を図ることでカバーしています」とソフトバンク・テクノロジー eBizエンタープライズサービス事業部 システム部 部長代行 峯 俊洋氏は語る。要件8.4.aのパスワードファイルが伝送および保存中に読み取り不能であることを確認する点に関しても、アクセスコントロールを厳密にすることにより対応している。

3つめは要件8.5.8。同要件では、グループ、共有、または汎用のアカウントおよびパスワードを使用しないことが求められている。

「弊社には一部共通アカウントで管理されているサーバが存在するが、ネットワーク的な制限や、別の認証を経由しないとサーバまで到達できないアーキテクチャとなっており、完全に個人が特定できる認証の仕組みが担保できているということで代替コントロールが適用されました」(峯氏)

2010年の審査に向けては、データベースのバージョンを上げるなど、システム強化を図っていきたいとしている。ただ、あくまでもPCI DSSのためだけではなく、同社のeBizエンタープライズECシステムのセキュリティ強度を上げることを主眼に取り組む方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP