2011年9月20日8:00
スーパーマーケット向けの共同利用センターでPCI DSSに完全準拠
加盟店に対し安全なシステムを提供し、将来的な準拠を後押し
エス・ビー・システムズは、国内最大規模のコーペラティブチェーンである「CGCグループ」の関連企業である。同社では、全国226社、3,687店舗(2011年9月現在)のCGCグループ加盟スーパーマーケットに向け、グループ共同利用型のASP決済処理センターのサービスを提供しているが、2011年6月にPCI DSS Version2.0に準拠を果たしている。
年間の決済トランザクションは数千万件に達する
運用規定やポリシーの策定と運用の徹底に労力をかける
スーパーマーケット向けの共同利用型ASP決済処理サービスを提供するエス・ビー・システムズ。CGCグループでは、トヨタファイナンスと提携したクレジットカード「CGCパワーカード」も発行しており、年間のクレジットカードの決済トランザクションは数千万件に及んでいる。同社では、決済関係のシステム受託を開始してから8年目となるが、「クレジットカード情報は年々増え続け、相当数のカード情報がデータセンターに残っていました」とエス・ビー・システムズ カード事業チーム 統括リーダー 尾花智樹氏は話す。同社では、トヨタファイナンスとビザ・ワールドワイドの勧めもあり、自主的にPCI DSSの準拠を決意したという。
実際の準備を開始したのは2010年7月。同社のカード事業チーム7人を中心に取り組んだ。まずは、セミナーなどに積極的に参加し、「要件とセキュリティ評価手順」に記載されている項目の理解を深め、自社のセキュリティシステムとのギャップ分析を行った。8月に適用範囲のスコーピングを実施。それと並行して書類関係の整備を行った。
当初は、取得にあたりコンサルティングを依頼することも考えたが、コストの負担などを考え、PCI DSSに準拠している外部委託先にアドバイスをもらいながら対応にあたった。
準備開始の時点では旧バージョンとなる 1.2を参考にしたが、9月末に新バージョンとなる2.0が発表された。同社では両要件を見定め、「1.2から特に問題となるような大きな変更点はなかった」(尾花氏)ため、2.0での準拠を選択。12月に予備審査を実施し、2011年2月から3月にかけて、システムの実装を行っている。
準拠に向けて課題となったのは対象範囲のスコーピングだ。従来のシステムでは、カード会員情報を保持しているデータセンターやコールセンターのみならず、事業所のクライアントシステムまで審査の対象となった。そのため、事業所からの漏えいリスクなどを考え、クライアントシステムではカード会員情報を参照できないように変更し審査対象から切り離した。
人的な面で苦労したのは、書類関係の整備である。「現状、弊社ではISMSを取得していないため、要件12の運用規定やポリシーの策定と運用体制の確立などは苦労しました」とカード事業チーム チーフ 安宅 航氏は打ち明ける。同社では、個人情報保護法をもとに社内規定を整備していたが、「今回のPCI DSSの審査では、将来的なISMSの取得を視野に規定類を作成しました」とカード事業チーム リーダー 鈴木義之氏は話す。
動画で操作イメージを録画できるツールにより要件10に対応
代替コントロールは3箇所で適用
システム面で課題となったのは要件10の「すべてのアクセス監視ログ取得」である。この部分は動画で操作イメージを録画できるツールを導入した。また、要件11のシステム不正変更時にアラートを出すシステムはパッケージを採用せず開発対応している。
一方、要件3の暗号化に関しては、当初から機械的に暗号キーを変更していたため、ローテーションなどの面で苦労することはなかったという。
結果的に代替コントロールは、3箇所で適用した。まず、「スクリプト、ドライバ、機能、サブシステム、ファイルシステム、不要な Web サーバなど、不要な機能をすべて削除する」要件2.2.4では、「不要なサービスを削除する点で検証作業が必要だったため、物理的な制御で対応しました」と尾花氏は説明する。
また、要件5.1の「悪意のあるソフトウェアの影響を受けやすいすべてのシステム(特にパーソナルコンピュータとサーバ)に、アンチウィルスソフトウェアを導入する」点については、商用環境ではパフォーマンスと安定性の観点から導入が難しかったため、ネットワークでの制御に加え、例えばファイルを導入する際はその手前でウィルスチェックを行うなど、運用面でカバーした。「すべてのシステムコンポーネントの自動監査証跡を実装する」要件10.2については、動画録画の際、リモートアクセスサーバに入り操作する運用となっているが、オンサイト保守時の作業においてもリモートアクセスサーバ経由での作業となるよう運用体制を構築し、代替コントロールを適用した。
準拠にかけたコストは数千万円
今後はDRセンターの開設を検討へ
同社では2011年5月にQSA(認定セキュリティ評価機関)による訪問審査を受け、6月に細かい改善事項の是正を行い、6月末にPCI DSSの認証を取得した。
準拠に要したコストは数千万円と対応コストは高かったが、「加盟社様のカード会員情報を安全に運用するという責任は重く、自社のセキュリティレベルを客観的に図るうえで、プラスになりました」と尾花氏は捉えている。同社では、Webサイトや名刺、カタログなどに認定ロゴマークを掲載して、PCI DSSに準拠した安全なシステムであることをPRしている。
同社の加盟店の中には、年間100万件以上のカード取引があるレベル2に近い企業もあるため、「加盟社様が将来、PCI DSSに準拠する際は、多くの項目の対応が軽減できるメリットを享受していただけます」と尾花氏は期待する。
同社では来年以降も継続してPCI DSSの審査を受ける方針だ。また、災害時の対策を含めDR(ディザスタ・リカバリ)センターの開設を検討しているが、その際もPCI DSSの基準をベースに構築を行う考えだ。
