2011年9月5日8:00
レベル1のインターネットサービスプロバイダ「So-net」がPCI DSS準拠
ISMS、プライバシーマークと統合したマネジメントマニュアルを作成
インターネットサービスプロバイダのソネットエンタテインメント(So-net) は、カードブランドのバリデーションでレベル1(Visa/MasterCardで年間600万件以上の取引)に該当する大型加盟店だ。同社では、2011年7月、ペイメントカードの国際セキュリティ基準であるPCI DSS Version2.0に完全準拠を果たした。
Version2.0の発行に合わせて準備を開始
2回の予備審査で準拠に備える
ソネットエンタテインメント(So-net)が、PCI DSSを意識したのは2009年。当時、通信販売や損保・保険会社などが保持しているカード情報が漏えいする事件が相次いで起こったため、「弊社としてもカード情報の取り扱いをより厳重に行う必要があり、そのためにはPCI DSSの準拠が必要だと考えました」とソネットエンタテインメント リスク管理部 リスク管理課 課長 佐々木功昌氏は説明する。ブランドやアクワイアラからの要請もあったが、自主的にPCI DSSへの準拠を決意した。
So-netにはリスク管理部にセキュリティ事務局があり、全社的なセキュリティのルールを取り決めている。PCI DSSの準拠に向けては、同事務局をはじめ、システム技術のスタッフ、会員の個人情報などの登録を行う部署、カスタマーサポートの4部門が関わっている。中心となったのはセキュリティ事務局4人とシステム技術2人で、コンサルティングなどは依頼せずに自社のスタッフで準拠に取り組んだ。
So-netでは、2010 年9 月のPCI DSS Version2.0の発行に合わせて準備を開始。これまでも、1999年に「プライバシーマーク」、2003年に「ISO/IEC27001:2005」および「JIS Q27001:2006」を取得するなど、同社ではセキュリティに関するさまざまな取り組みを行っている。2011年については、ISMSとPCI DSSの合同審査を行い、審査の負荷を軽減することを目指したため、両審査が同時にできるQSA(認定セキュリティ評価機関)を選定している。
Version 2.0の発表以降は、数多くのセミナーに参加し、情報を収集。また、要件の解釈に間違いがないように、慎重にドキュメントをチェックした。まずは自社の改善項目を明らかにするため、QSAによる予備審査を2010年10月に実施。2011年3月にも再度、予備審査を行い、5月の本審査に向け、綿密な準備を行った。
従来からカード情報などの個人情報を一元管理
CVSSスコア4.0未満を維持するための素早い対応が課題
準拠に向け、もっとも大変だったのは社内の規定を記した、マネジメントマニュアルの作成だ。
「従来はISMSとプライバシーマークの社内規定は別々に作成していましたが、PCI DSSを含め、すべての基準を統合したマネジメントマニュアルを作成しました。結果的にこの作業が一番大変でした」(ソネットエンタテインメント 管理・業務部門 リスク管理部 リスク管理課 小山真平氏)
逆に数多くの加盟店が苦戦しているスコープを狭める作業に関しては、従来からカード情報などの個人情報を一元管理していたため、システムを入れ替えるなどの作業は発生しなかったという。
要件3の暗号化に関する要件については、QSAと予備審査の時点ですり合わせを行い、クリアした。要件6に関してはIPA(情報処理推進機構)の資料などを参考にしながら脆弱性検査を実施している。2011年7月以降は脆弱性を特定するプロセスにおいて、対象環境に応じたリスクランク付けのアプローチが要求されるようになっただけでなくCVSSスコア4.0未満を推奨と厳しくなったが、現時点ではクリアすることができた。CVSSスコアは変動するため、4.0未満を維持するよう如何に素早く対応するかが課題である。
「PCI DSSでは、四半期単位での脆弱性スキャンが必要となりますが、例えばキャンペーンサイトなどは毎月変更が必要になりますので、例えカード情報に関係のないサイトであってもしっかりと取り組んでいきたいです」(佐々木氏)
要件10、11への対応としては、IDS(侵入検知システム)を導入したが、東日本大震災により物流がストップしてしまったため、審査までのスケジュールがタイトになり、システム技術の担当者は苦労したそうだ。なお、要件11のログなどの改ざん検知の仕組みについては、別のプロジェクトで導入した機器に対応機能が備わっていたため、要件にあわせて適用している。
ISMSとPCI DSSの合同審査を5日で実施
審査の負荷を軽減しISMSはコストを削減
結果的に代替コントロールは数箇所適用したが、事前の準備を行っていたこともあり、比較的スムーズに準拠を果たすことができた。ISMSとPCI DSSの合同審査の成果も感じており、「昨年まではISMSの審査に3日間かかっていましたが、今年はISMSが5日、PCI DSSが4日の計5日で2チームに分かれて審査を行いました。結果的に、審査の負荷を軽減でき、ISMSの部分では昨年に比べてコストを削減できました」と小山氏は笑顔を見せる。
準拠に向けてのコストは数千万円かかったが、「PCI DSSにより、世界レベルのセキュリティを体感でき、自社のセキュリティレベルを高めるために必要な改善点が把握できました」と佐々木氏はメリットを口にする。
今後も継続的に審査を受診するが、課題としては脆弱性検査などのコストの低減を挙げる。また、同社の中はカード情報以外の個人情報も保持しているが、今後はPCI DSSの基準をベースに対象範囲を広げ、さらなるセキュリティの強化を図る狙いだ。
