2011年7月11日8:00
PCI DSSの準拠に2年かけて取り組む
準拠コストを抑え、長期的に運用費用がかからない仕組みを構築
ネットムーブは、インターネット決済の代行サービスを始め、Webサイト制作、セキュリティソリューションの提供などを行っている。同社は2年間かけて準拠に取り組み、2011年3月にPCI DSS Version1.2に完全遵守。長期的に運用費用がかからない仕組みを構築したという。
決済システムそのものをリニューアルし
加盟店側でカード番号を保持しない仕組みを構築
ネットムーブでは2009年から、PCI DSSの準拠に向けた準備を開始した。同社ではインターネットの決済代行サービスを提供しているが、近年、ECサイトからクレジットカードなどのカード会員情報が漏えいする事件を受け、加盟店から同社の決済サービスのセキュリティに対する質問を受けることも多くなったという。特にISMSの認証を取得した企業からの問い合わせが寄せられていた。また、国際ブランドからPCI DSS遵守の義務化に向けた期限がリリースされたことも引き金となった。
「弊社のセキュリティに関する取り組みを客観的に説明する基準として、PCI DSSが分かりやすいこともあり、準拠を決意しました」(ネットムーブ 取締役 玉置敏光氏)
同社ではPCI DSSの準拠に向けて外部企業にコンサルティングを依頼し、審査を担当するQSA(認定セキュリティ評価機関)の紹介も受けた。そこから準拠までに約2年間を要している。
同社の決済システム自体、2000年から順次、サーバの増築を繰り返してきた。昨今、加盟店側でカード会員情報を保管しないサービスを求める企業が増えてきたため、準拠に向けては加盟店のカード番号を保管する仕組みを構築。同社の決済システムそのものもリニューアルした。
PCI DSSの要件の解釈に苦しむ
時間をかけて長期的に運用費用がかからない仕組みを目指す
準拠に向けて苦戦した部分はPCI DSSの要件の解釈とコストを抑えることである。
「PCI DSSの『要件とセキュリティ評価手順』に記載されている約250項目の内容の理解に苦しみました。どう解釈したらいいか分からない部分も多かったため、コンサルティングの方にアドバイスをいただきながら、対応を進めました」(玉置氏)
例えば、クレジットカード番号をデータベースに保管する場合、PCI DSSの基準では暗号化しなければならない。しかし、暗号化する場合には運用上支障が出る懸念があり、その際にカード番号を平文でとっておくための代替案のプランがなかなか立てられなかったという。
また、例えば要件6.6の対応ではWAF(Web Application Firewall)を導入するとコストがかさむ。そのため、脆弱性診断の実施を選択した。さらに、リニューアルに伴いログを集約できるシステムを新たに導入。要件11のファイル整合性監視についてもフリーソフトを導入し、コストを抑えている。
玉置氏は、「弊社のPCI DSS準拠は、全体的にコストとの戦いでした。PCI DSSの要件を満たすのはお金と時間をかければ可能かもしれませんが、弊社自身、薄利なトランザクションがベースのビジネスを展開しているため、そういうわけにはいきません。この2年間はコストをかけないで要件を満たすため、頭を悩ませました」と笑う。
多重防御で強固なセキュリティを構築するPCI DSSの仕組み自体の有効性は理解できたが、時間をかけて長期的に運用費用がかからない仕組みを目指したため、準拠までの道のりは長くなった。
2011年はVersion2.0の審査を検討
セキュリティソリューションをパッケージ化して提供へ
結果的に、「コストを抑え準拠するという目標は達成できました」と玉置氏は成果を語る。主にコストがかかった部分は脆弱性診断、QSAが実施する審査費用、コンサルティング費用で済んだという。
今回の審査は、Version2.0が有効になった後の2011年に実施したが、2009年から準備を行ってきたVersion1.2で準拠を果たした。年末には更新審査を迎えるが、Version2.0での審査を検討しているという。
同社では加盟店側のサーバにカード会員情報を残さないカード会員情報非保持のサービスを提供している。今後は、同システムを提供することによる決済の安全性を訴えるとともに、金融機関などで多数の実績を持つクライアントセキュリティ機能を装備したアンチウィルスソフトの「nProtect Netizen」をはじめとするセキュリティソリューションをパッケージ化し、加盟店に提案する方針だ。
