2012年2月21日8:00

システムのリニューアルを機にPCI DSSに準拠したシステムを構築
ITに強い決済代行事業者として強固なセキュリティを確保

2008年設立のイーペイメントは、クレジットカード決済に加え、銀行振込、電子マネーなど、豊富な決済手段を加盟店に提供している。同社では、システムのリニューアルを機にPCI DSSに対応したシステムを構築し、2011年9月、PCI DSS Version2.0に完全準拠した。

設立から3年目でPCI DSSに準拠

顧客ニーズに対してスピーディーに応えられる高品質なシステムを自社で構築

イーペイメントでは、決済代行事業者として実績を重ねていく中、同業他社からグローバルなセキュリティ基準としてPCI DSSの準拠の必要性を聞き、1年半前から準備に取り掛かった。

イーペイメント 代表取締役 田村浩一郎氏(左)と取締役 CTO 板倉史門氏(右)

「弊社は設立から3年目の決済代行事業者ですが、クライアントの増加とともに、トランザクション数も伸びているため、早期に準拠しないとシステム対応も含めて大変になることもあり、リニューアルを機に準拠を決意しました」(イーペイメント 代表取締役 田村浩一郎氏)

昨今、決済代行事業者は乱立しており、加盟店からみた差別化が難しくなっている状態だが、イーペイメントの1つの強みとして、田村氏は「ITに強い人間を抱えている点」を挙げる。その言葉通り、PCI DSSの準拠に向け、各要件に対応したシステムは自社でつくり込んだ。

準拠に向けてはシステム部門が中心となり、要件対応を行った。PCI DSSの基準では、同社内部のサーバや決済アプリケーションだけではなく、加盟店やカード会社などとの接続ラインに対しても厳しい基準が設けられている。

「サーバの構成や実際のアプリケーション、データベースの配置などを含めてPCI DSSの準拠を意識してシステムをつくり込みました。要件と照らし合わせながら漏れがないように対応を行っています」(取締役 CTO 板倉史門氏)

仮想化プラットフォームでホスト側のセキュリティを担保

PCI DSSの要件に合わせ暗号化や改ざん検知の仕組みも構築

同社では、PCI DSSに準拠しているホスティング事業者の協力を得て、仮想化プラットフォームの中で、ホスト側のセキュリティを担保している。数多くの準拠企業が苦戦する要件3の暗号化の仕組みも新たに構築したため、それほど苦にはならなかったそうだ。また、ログを統合して管理する要件10や、システムの改ざんを検知する要件11については、自前でスクリプトを組んでいる。

要件6.6については、脆弱性検査を実施。Version2.0からは、脆弱性診断において、OSの対象環境に応じたリスクランク付けのアプローチが要求されたが、「基本的にはOS系を含め、利用しているサービスがそれほど多くはなかったので、CVSSランクを参考にしながらパッチを当てています。今回は社内の判断で運用しましたが、次回の審査以降はQSAの見る目も厳しくなると思います」と板倉氏は説明する。
また、要件12の情報セキュリティの整備については、コンサルティングを依頼した企業の協力を得て、ポリシーを策定した。

指摘事項はほとんどなく完全準拠を達成

今後は新サービスを続々とリリースへ

結果的に代替コントロールをほとんど適用せずに準拠を果たした。予備審査は実施せず、QSA(認定セキュリティ評価機関)との協議もほとんどなかったそうだ。準拠に向けての労力は想像以上にかかったというが、「セキュリティパッチの適用や変更管理の手順や運用については、審査後のほうが大変です」と板倉氏は継続的な運用の必要性を述べる。

結果的に、PCI DSS準拠にかけたコストは、安くはなかったが想定の範囲内に収まったそうだ。

イーペイメント 取締役CMO 川野陽祐氏(左)と営業 大下晃氏(右)

「弊社は自社でシステムを構築しており、専用の仮想環境で運用しています。外注はほとんどなかったため、他社に比べるとコストを抑えることができました」(田村氏)

取締役CMO 川野陽祐氏は、「弊社は決済代行事業者として後発組ですが、PCI DSSにより従来の営業力とフットワークの軽さに加え、セキュリティ面でもお客様にPRすることが可能となりました」と笑顔を見せる。また、営業の大下晃氏も「これを機に、さらにお客様の満足度を高めていきたい」と意気込みを語る。

最後に田村氏は、「今後は企業としてのブランディングが大切になります。信頼性と成長性を併せ持つITに特化した決済代行事業者として、決済に関連する新たなサービスを続々とリリースする予定です」と力強く語った。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP