大日本印刷ではICカードの即時発行や暗証番号変更などを支援する、ネットワーク型ICカード関連サービス「CDMS(カードデータマネジメントサービス)事業」を展開している。同事業ではカード会社を対象にインターネット上でのカード決済における本人認証サービス「SIGN3D(サインド)」を提供している。大日本印刷では2008年に同サービスにおいてPCI DSSの認定を取得した。
3-Dセキュアと基準が異なる場合は
厳しい基準に合わせて対応
大日本印刷がPCI DSSの認定を最初に取得したのは2008年6月。ビザ・ワールドワイドの本人認証技術「3-Dセキュア」の本人認証サービス「SIGN3D」の環境でPCI DSS Ver.1.1に完全遵守した。バリデーションはVisa「AIS」のレベル1。
3-Dセキュアのサービスを行うためにはVisaの厳しいセキュリティ要件に対応しなければならず、その基準はPCI DSS以上にシビアと言われている。PCI DSSとVisaの3-Dセキュアの認定は要件的な重複も多く、同社では並行して対応を行った。物理セキュリティやアカウントの管理は、両基準でハードルの高さが異なる部分もあったが、同様のレギュレーションの場合はレベルの高いほうに合わせている。
「国内には3-Dセキュアを提供する会社がいくつかありますが、ACS(Access Contorol Server)のサービス開始当初からPCI DSSの認定を取得していたのは弊社だけでした。システムを立ち上げる段階から3-DセキュアとPCI DSSの両基準に合わせて構築することができました」(IPS事業部 デジタルセキュリティ本部 金融ソリューション開発部 リーダー 吾郷浩司氏)
大日本印刷ではもともとカード会社などからICカードの発行用データの生成や即時発行などを受託する「CDMS」を運用しているためセキュリティ面には十分に配慮している。PCI DSSの要件で期間が定められている部分は、基準に合わせて再構築した。「パッチだと通常3カ月、重要なものは1カ月と決められていますので、サービス開始の段階から要件通りにシステムを作り込んでいます」(大日本印刷 IPS事業部 ICカードソフト開発本部 CDMS開発部 リーダー 山下修一氏)
QSAの品質保証プログラム実施により
ドキュメントとして証跡が必要に
2009年6月には更新審査を行いVer.1.2に完全遵守した。Ver.1.2対応として、要件6.6はWAF(Web Application Firewall)を導入せず、外部の脆弱性監査を実施している。要件11 の内部、外部のぺネトレーションテストの実施に関しては、審査を担当したQSA(認定審査機関)によるOWASP(Open Web Application Security Project)のテストを行った。結果的に1.2対応のために機器などのシステム投資はほとんど発生しなかった。
昨年の審査に関しては基準への対応よりもQSAの審査基準が厳しくなったことが大変だったという。
「弊社では米国の監査法人に審査を依頼しています。Ver.1.2の審査前に米国ではQSAの審査で公正を欠くものがあったなどの問題があり、PCI SSCが審査機関を監査する品質保証プログラムという制度ができました。これにより、審査直前になって審査会社がオンサイトレビューの方法を見直したため、その影響を大きく受け、対応に苦労しました」(山下氏)
結果的に品質保証プログラムによる審査の変更点が同社に伝えられたのは直前になってからだった。実際の審査ではこれまで口頭で済んだ部分がドキュメントとして証跡を残さなければならなくなった。また、QSAも審査過程の明確なエビデンスを残さなければならないため、前回時点では指摘されなかった項目を問われることも多かったという。
2010年の課題は暗号キーのローテーション
準拠を目指す企業のデータ受託も検討
2010年の審査は品質保証プログラム、Ver.1.2対応が2年目のため、2009年よりはスムーズに対応できると考えている。ただ、昨年はサービス開始から1年が経過していなかったため、審査から除外されたものもあり、これらについては2010年の重点課題として準備を進めている。
「CDMSの運用管理はPCI DSSの認定取得により、格段に向上しています。弊社では、この経験、ノウハウを生かし、地域通貨管理やPCI DSS準拠支援など新たなサービスの検討を進めています」(吾郷氏)
同社のCDMSでは3-Dセキュア以外にも数多くの個人情報を管理している。今後は自らのPCI DSS認証取得の経験を生かし、準拠を目指す加盟店やサービスプロバイダのカード会員情報を預かるサービスも検討している。
