2011年11月22日8:00
代替コントロールを適用せずにPCI DSS Version2.0に完全準拠
世界基準の安全な決済環境をYahoo! JAPANサイト内外で提供
ヤフー株式会社(Yahoo! JAPAN)は、約2000万人の登録者を擁する決済サービス「Yahoo!ウォレット」の決済環境において、2008年から4期連続でPCI DSSに準拠している(関連記事)。2011年は、Version2.0の審査を行い、7月に準拠証明書を取得した。
「Version2.0は、メジャーなバージョンアップと予想しましたが、われわれにとってはそれほどインパクトがありませんでした。今年も代替コントロールを適用せずに準拠を達成することができました」(ヤフー(株) R&D統括本部 プラットフォーム開発本部 セントラル開発1部 企画3 リーダー 吉村 耕太郎氏)
要件項目は、1.2から2.0になり若干細かくなったが、常日頃から運用面で行っていることがほとんどであり、2.0だからといって苦労した点はなかったそうだ。また、「1.2からの変更点のマッピングなども難しい点はありませんでした」とヤフー(株) R&D統括本部 プラットフォーム開発本部 セントラル開発1部 開発5 リーダー 加藤誠氏は説明する。記載項目については、「1.1から1.2、2.0と改訂されるにつれて、解釈がわかりやすくなった印象があります」(吉村氏)とプラスに捉えている。
例えば、要件3.6の暗号化については、「今までは実運用上、鍵の洗い替えは要件通りに行えませんでしたが、より現実的な内容に改定された印象があります」と吉村氏は説明する。
ただ、2011年7月以降は、脆弱性を特定するプロセスにおいて、対象環境に応じたリスクランク付けのアプローチが要求されるようになっただけでなく、CVSSスコア4.0未満を推奨と厳しくなった。この部分は、次回の審査時の課題として同社でも認識している。なお、Version2.0からは仮想環境下での利用についても明記されたが、現状、同社のシステムでは仮想化は導入していない。
PCI DSSについては、バージョンの変更よりも、常日頃の継続的な運用が大切であると捉えている。同社では、2008年の審査時にIDS(侵入検知システム)を導入したが、それ以降はPCI DSS対応として新たなシステムを導入していない。もともとセキュリティに対しては、厳しいルール付けを行ってきたため、「PCI DSSだからといって、特別な運用をする必要はない」(吉村氏)と考えている。実際、代替コントロールについては2008年に一箇所適用したが、2009年以降はすべてPCI DSSのオリジナル要件で準拠を果たした。同社ではほかの事業部でもクレジットカード決済に関わるビジネスを行っているが、運用面などのルールは厳しい基準が設けられているという。
ただし、「他のEC加盟店が準拠を果たすためにゼロからシステムを構築するとなった場合、コストも時間もかかるため、準拠は容易ではありません」と吉村氏は指摘し、情報漏えいを防ぐためには決済代行事業者などにクレジットカードを預ける非保持サービスなどに切り替えることも検討する必要があると説明する。
PCI DSSについては、準拠している加盟店はまだ少なく、利用者への認知度は低いため、他社との差別化に役立っているわけではないという。しかし、同社ではYahoo!ウォレットの決済環境を「Yahoo! JAPAN」のサイト内はもちろん、「ZOZO TOWN」や「セブンネットショッピング」など外部のサイトにも広く提供しており、今後はさらにその数を増やしたいとしている。
そのため、PCI DSSに準拠した安全な決済環境であることをPRしていく方針であり、次年度以降も継続的な準拠を行っていきたいとしている。
