2017年7月26日7:00
■ニフティ/富士通コミュニケーションサービス
PCI DSSの基準では、外部委託先がPCI DSSに準拠することの責任を委託元が負うことになります。大手インターネット・サービス・プロバイダーのニフティでは、2010年からPCI DSSに準拠されています。また、富士通コミュニケーションサービス(富士通CSL)では、ニフティの要請を受け2015年7月に「北九州サポートセンターにおける通信サービス決済方法登録業務」において認証を取得されました。今回は、ニフティ IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス コーポレートサービス本部 情報管理推進室 小野眞之介氏に、それぞれのPCI DSSへの準拠の経緯、継続的なセキュリティ対応、委託先管理体制のポイント等について、紹介いただきました。
ニフティと富士通CSLの業務内容
伊藤:ニフティは、ISP(インターネット・サービス・プロバイダー)事業、ウェブサービス事業、クラウド事業の3つを展開しています(2017年3月当時)。法人向けにはISPの接続サービス、個人向けにはクラウドでサービスを展開します。他にオルタナ系ポータルサイト「デイリーポータルZ」や「東京カルチャーカルチャー」というイベントホールを展開しています。
小野:富士通コミュニケーションサービスは、「コンタクトセンター」および「ITサポート」のアウトソーシングサービスを中心に行っています。1994年にコーポレイトソフトウェアとして設立され、マイクロソフト、ニフティのISPサポートなどを開始しました。その後、2006年に富士通コミュニケーションサービスに社名変更して現在に至ります。札幌から九州まで全11拠点でサービスを行っており、BCP(事業継続計画)に対応しています。自社拠点以外のお客様先にも常駐しており、コンタクトセンター、セールマーケティング、バックオフィス、ITアウトソーシングを実施しています。
ニフティのPCI DSS準拠、リスク再評価による非保持化
伊藤:ニフティのPCI DSS準拠のきっかけは、Visa(ビザ・ワールドワイド)がLevel1加盟店に対して 2010年9月30日までにPCI DSS 完全準拠を求めたからです。弊社では、多数のISP会員がおり、社内の多くのシステムにクレジットカードを有していました。また、ISMSを取得していましたが、コンサルタントの方からクレジットカード番号を暗号化した方がいいという話をいただき、社内全体のセキュリティの向上を目指す中でPCI DSSに完全準拠するプロジェクトが進みました。
準拠に向けては、2009年9月にプロジェクトがスタートし、2010年9月の期限に間に合うように、2010年8月に完全準拠(PCI DSS Version1.2)しました。2011年8月には、富士通CSLに委託している部分として、サポートセンター業務まで拡大して準拠しています。
ISP入会処理業務として、入会申し込み用紙などはクレジットカード番号等を扱いますが、そこを富士通CSLに委託して、PCI DSSのスコープに組み込んで完全準拠しました。ただし、弊社のシステムは大規模なため、運用コストが高いという課題がありました。そのため、大規模なシステムによる運用コスト増大、決済代行サービスの普及によるコスト減などを踏まえ、社内でクレジットカード情報を保持するリスクの再評価を実施しました。たとえば、社内で保持しているクレジットカード情報の件数から、何件漏えいするとどのくらいの被害額になるかなどです。
その再評価から、2014年4月にカード情報の保存等を、決済処理事業者のソニーペイメントサービスに委託しました。これにより、PCI DSSのスコープの範囲はISP入会業務のみに大幅縮小しました。また、ISP入会業務を社内に巻き取り、富士通CSLは弊社のPCI DSS範囲外となりました。
その一方で、弊社のMVNOサービス「NifMo(MVNO)」を開始するに当たり、入会処理でクレジットカード情報を扱いますので、富士通CSLに「カード番号保存」と「入会処理業務」をアウトソースし、社内運用を軽減しながらPCI DSSによるセキュリティを継続しました。
ニフティのPCI DSS準拠と委託先の富士通CSLの取り組み
小野:具体的な業務委託関係としては、ニフティが委託元で、弊社が委託先となります。富士通CSLの登録センターでは、サービスを新規契約したお客様から郵送されるクレジットカード決済用紙の登録処理を行っています。郵送された手続きの中にはカード情報が記載されており、弊社では内容を確認し、登録を確認して、ソニーペイメントサービスのデータベースで入力します。
ニフティでは2010年にPCI DSSに準拠され、弊社でもPCI DSS に沿った運用を開始。2014年にニフティからの要請を受け、弊社ではPCI DSS 準拠に向けた準備に着手し、2015年には、PCI DSS Version3.0に準拠しました。
ここでのポイントとしては、ニフティから委託を受けていた2011年は、要件7、9、12 と、委託業務の範囲に限定されており、対応すべき要件の精査に苦慮することはありませんでした。
具体的な例として、ニフティ側でカード情報を保持していた時の業務端末はシンクライアントで、かつネットワーク上のカード会員データは非保持であり、富士通CSL施設内における論理アクセスコントロールの運用管理、物理アクセス制限の構築などが主な対応となりました。つまり、入退出の運用ルールを見直したり、PCI DSSに関しての作業エリア・サーバルーム入退室の運用整備、鍵運用の整備、監視カメラの整備を行っています。また、アクセス権に関しては有資格者リストが現場に紐付きますので、対応が必要です。さらに、情報セキュリティポリシーの見直しが求められます。そのほか、カード会員情報が記載された紙媒体の取扱い運用(保管、廃棄)の再確認、教育(12.6 セキュリティ意識向上プログラム)の整備が必要でした。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のニフティ株式会社 IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス株式会社 コーポレートサービス本部 情報管理推進室 小野眞之介氏のパネルセッションをベースに加筆を加え、紹介しています。
