2011年11月15日8:00
2カ月弱でVersion2.0に一発対応
1.2からの変更によるインパクトはほとんどない
決済代行事業者のJ-Paymentは、2011年4月、PCI DSS Version2.0に準拠を果たした(関連記事)。前回は約6カ月の準備の末、準拠を果たしたが、「今回は2カ月弱で予備審査などは行わず、準拠することができました」とペイメント事業部 システム部 部長 藤田浩一氏は説明する。
2011年の審査に向けては、WAF(Web Application Firewall)を新たに導入した。これにより、前回の審査時に代替コントロールを適用した部分を要件項目通りに達成することができたという。また、運用の面ではシステム変更手順のWeb化を行っている。
前回は藤田氏を中心にシステム対応を行ったが、今回は若い社員を中心に対応を実施した。審査の際は、QSA(認定セキュリティ評価機関)から細かい指摘事項があったが、問題なく準拠を達成できたという。
ペイメント事業本部 事業部長 川本圭祐氏は、「システムの改変やアカウントの管理、帳簿系などは毎月リマインドしていかないと担当も忘れがちになります。PCI DSSに対する意識付けを全社員に持たせることは難しかったです」と説明する。
Version2.0への変更については、それほどインパクトがなかったと捉えている。藤田氏も「若干項目が増え、内容が細かくなった点はありますが、特に要件に対応するうえで難しくなった点はありませんでした」と話す。Version2.0に変更になり、要件項目の順番などが入れ替わった部分もあるが、手順書の改編作業はコンサルティングを依頼した企業の協力を得て、スムーズに対応を実施したという。
なお、要件3.6に関しては、Version1.2までは、毎年必ず暗号鍵の変更を行わなければならなかったが、2011年からは変更間隔が柔軟になっている。同社でも、暗号鍵の変更間隔をSSLの更新期限と同様に緩和してもらった。
ただ、2011年7月以降は脆弱性を特定するプロセスにおいて、対象環境に応じたリスクランク付けのアプローチが要求されるようになっただけでなくCVSSスコア4.0未満を推奨と厳しくなった。藤田氏も「現在、リスクランクの判断基準を策定しています。高ランクに位置づけられた脆弱性への対応に関しては、パッチを当てるときに意識しながら行っていきたいです」と説明する。
なお、仮想化に関しては、従来のシステムに比べ対象範囲が広がる可能性があるなどの理由から、現段階では検討していない。
来年度の審査に向けては、「更新審査でバージョンも変更がないため、コンサルティングなどはお願いせずに、自社での対応を予定している」(藤田氏)という。新たなソリューションとしては、ログ監視システムの導入を検討している。また、国際ペイメントブランドが推進する本人認証技術である「3-Dセキュア」などのシステム強化を検討しており、サーバの増設も行う予定となっている。ただ、それに伴い、PCI DSSの対象範囲が広がる可能性もあるため、如何にコストをかけずにシステム強化を図るかを考えていきたいとしている。
