2010年9月8日8:30
ISMSとのブリッジ審査で国内初の初回同時取得
ホスティングサービス事業者のPCI DSS取得メリットとは?
ホスティングサービス事業者のエクシードは2010年2月、ISMSの認証とPCI DSS Ver.1.2の認証を同時に取得した。両審査を初回で同時に取得した事例は国内初となる。PCI DSSは加盟店や決済代行事業者を中心に取得が進められてきたが、国内のホスティング事業者が準拠した事例はそれほど多くはない。同社では今後、PCI DSSの取得を前面に打ち出したクラウドサービスの展開を視野に入れている。
PCI DSS準拠で新ビジネスの創出を狙う
準拠に向け機器やシステム投資を極力抑える
「弊社はお客様の資産をお預かりするホスティングサービスを展開しています。PCI DSSとISMSを同時に取得することで、お客様からの安心感を得ることにつながります。また、社内のセキュリティ意識の向上という意味でもプラスになると考えました」(エクシード CISO PM/コンサルティング・グループ 羽鳥充保氏)
今後はサービスプロバイダや加盟店がデータセンターを利用する場合、委託先に対してPCI DSSの基準に準じた対応を求めるケースが増えると予想されている。その際にPCI DSSに準じた運用を行っている同社に委託すれば、サービスプロバイダや加盟店がスムーズにPCI DSSに準拠することが可能になる。同社ではホスティング事業者としていち早くPCI DSSに対応することで新たなビジネスの創出を狙っている。
エクシードはISMSとPCI DSS取得に向けた準備を2009年2月に開始。4名でプロジェクトを結成し、要件対応を進めた。ISMSに関してはドキュメントの整備が主体になったが、比較的スムーズに対応することができたという。一方、PCI DSSの場合は機器やソフトウェアなど、システム構築にかかるコストが課題となった。
「機器やシステムを如何に安く仕入れられるかを考えました。当初は1,800万円のコストがかかる想定でしたが、結果的には手づくりでつくり込むなどの工夫をしたため、200万円弱で設備投資を行うことができました。Linuxベースのシステム構築ができたのもコスト面でプラスに働きました」(エクシード システム技術部 テクニカル・オペレーション マネジャー苙口裕介氏)
カード会員情報の流れる経路やスコープは
事前にシミュレーションを実施
同社ではこれまで、クレジットカードなどの情報を保管したケースはない。そのため、カード会員情報の流れる経路やスコープについては、事前にシミュレーションをして対象範囲を特定した。
「システム的に意識したのは現行のシステムをなるべくいじらないことです。その目的は十分に達成することができました」(苙口氏)
PCI DSSの各要件については、PCI SSCの「要件とセキュリティ評価手順」に記載されている文章の解釈が難しかったため、「コンサルティングの方の協力がなければ判断できない部分が多くありました」と同社 PM/コンサルティング・グループ 杉森貴博氏は当時の苦労を打ち明ける。
ISMSは2009年の夏から秋にかけて、文書のレビューを実施。PCI DSSの準拠に向けては09年末までにシステムをつくり込んだ。新規システムとしてはネットワーク機器、ログ管理システム、IDS、指紋認証、Webカメラなどを導入。要件5のアンチウィルスソフトウェアの適用についてはオープンソース+スクリプトでカバーしている。
また、同社はホスティングベンダーという性質上、6.6項は脆弱性診断を実施したが、WAF(Web Application Firewall)の導入は見送った。そのほかにも対象外とした項目がいくつかあったという。
ブリッジ審査で労力を軽減
更新審査は12月に実施
ISMSとPCI DSSのブリッジ審査は2月に実施。初回審査のため、ISMSは二段階に分けて行った。まずISMSの文書審査を行い、その後PCI DSS、最後にISMSの残りの審査を実施した。
「両審査を個別に受診するよりも、確実に社員の労力は短縮できています。複合だから苦労したという部分はありませんでした」(羽鳥氏)
結果として代替コントロールを暗号鍵の変更部分で1箇所適用したが、それ以外は大きな問題はなく、ISMSとPCI DSSの同時認証を取得した。
ISMSとPCI DSS更新審査は、PCI DSSが新バージョンになる都合上、Ver.1.2を適用できる今年12月に実施する予定である。PCI DSSがVer.2.0になる来年以降に向けては、同社が得意としているクラウド環境を意識した運用を行う方針だ。
