2017年9月7日8:30
オンプレミスとクラウドサービスのハイブリッド環境でシステムを構築
ベスカは、会員カードの発行や管理、運用サポート、リアル(店舗)とオンラインの顧客情報の一元化、クレジットカードやポイントカードなど支払い情報と顧客情報の連携など、ペイメントとマーケティングに特化したソリューションを提供している。同社では、世界有数の決済端末ベンダーであるVerifone社の決済端末を使用したスイッチングゲートウェイ「Verifone Ark(アーク)」の提供に向け、PCI DSSに準拠した。
PCI DSS準拠で加盟店への導入もスムーズに
「内部脆弱性スキャン」や「ペネトレーションテスト」は自社構築
ベスカでは、クレジットのスイッチングゲートウェイである「Verifone Ark」のサービス開始に向け、アクワイアラからの要求があり、PCI DSSに準拠することとなった。また、同サービスを行う中で、HSM(Hardware Security Module)や端末の暗号化の処理は検討していたため、PCI DSSに準拠したサービスであれば、加盟店への導入もスムーズに進むと考えた。
同社では、2016年2月に社内のプラットフォームを確定。3月から開発環境を構築し、4月から決済アプリケーション、5月からPCI DSS準拠用システムの本番環境構築をスタートした。8月からサービスの運用を開始後、8月にPCI DSSの予備審査を受けて、10月には指摘事項を回答して11月31日に準拠している。
準拠に向けては、コンサルティング会社と契約。システム構成を含めて、ドキュメントやテンプレートを提供してもらい、システム構築は社内で検討して構築した。
「社内で新規にシステムを構築したため、制約が少ない分、当初は比較的容易にPCI DSSに準拠できると考えていました。システムはオンプレミスとクラウドサービスのハイブリッド環境で構築しましたが、クラウドでの仕組み作りが一番苦労しました」(ベスカ オペレーション部 部長 松澤新氏)
ベスカでは、マーケティングプラットフォーム「Vesca Seeds(ベスカ・シーズ)」において、数年前からクラウドサービス「Amazon Web Services」を利用しており、今回は同様のサービスによりシステムを構築した。松澤氏は、「オンプレミスの環境であれば、自社の範疇で検討できますが、クラウドサービスがPCI DSSの要件を満たしているのか、責任分界点はどこなのかを、クラウドの仕様や構築するシステムとの要件を照らし合わせながら、またAmazonの営業の方と話しながら仕様の検討を進めました」と説明する。
実際、Amazon Web ServicesはPCI DSSに準拠しており、Amazonの営業にアドバイスを得て、責任分界点を出してもらい、対応を進めた。ただ、新規のシステムのため、PCI DSSの要件に合わせた形でサービスを作りこめたのはプラスだったという。
代替コントロールは2カ所に適用
PCI DSSの準拠は運用面の意識付けでもプラスに
実際の要件対応として、Amazon Web Servicesを採用したことで、多くの企業が対応に苦労する要件1~4はスムーズに対応できた。ただ、「クレジットカードシステムを扱うのは社として初めてだったため、ログの監視ツールなど、運用を見据えて構築することは苦労した点となりました」と松澤氏は打ち明ける。さらに、要件11.2の「内部脆弱性スキャン」や要件11.3の「ペネトレーションテスト」は外部の専門サービスも検討したが、予算と期間的な部分があり、オープンソースを組み合わせて自社で内部構築した。実際はQSAに事前の予備審査で質問しながら、形作ったそうだ。
(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりベスカ準拠事例の一部を紹介)
