2011年12月5日8:00
バージョンアップごとに要件の明確化が図られ、運用面の負荷が増す
次年度以降はリスクランク付けのアプローチが課題に
ゼウス
決済代行事業者のゼウスは、2007年10月、決済代行事業者としてはいち早くPCI DSS Version1.1に準拠を果たした。同社では、2009年9月にPCI DSS Ver.1.2の完全準拠を取得している。前回の審査では、PCI DSSの運営団体である「PCI SSC」によるQSA(認定セキュリティ評価機関)の品質保証プログラムがリリースされたことによるレギュレーションの厳格化が大変だったというが、2011年9月のVersion2.0の審査では、「項目が明確化され、対応箇所が増えた部分はありましたが、審査を受けるにあたり、特に大きな変更点はありませんでした」とゼウス システム部副部長 北井征紀氏は説明する。
同社にとってもっとも大きな改善点は、要件6の脆弱性診断において、対象環境に応じたリスクランク付けのアプローチが要求された点だ。2011年の審査時はベストプラクティスだったが、現状、同項目は未確定な部分も多い。そのため、「この部分は、QSAと相談しながら、慎重に行いました」と北井氏は話す。
「使用するOSが多ければ多いほど、それぞれのディストリビューションはまちまちなので、リスク分けが大変になります。また、毎年ボリュームが増えることも考えられるため、QSAと相談しながら行っていく方針です」(北井氏)
ゼウスでは、昨年から人員の変更などはあったが、基本的にほぼ同様の対応を行っている。ただ、1.2から2.0は、若干項目が細かくなったため、細分化した部分で強化した部分はあるという。
「1.1から、1.2、2.0になるにつれ、要求項目が徐々に増えているため、運用面の負荷がかかるようになったのは事実です」(北井氏)
また、代替コントロールは前年同様の箇所で対応した。ゼウスでは継続的なセキュリティの維持を心がけているが、準拠前の2~3カ月は、書類の作成など大変な部分が多かったそうだ。
現状、同社のシステムは仮想化には対応していないが、今後はデータベース以外の部分での利用は十分に考えられるという。なお、ゼウスではアスタリスクとともに、スマートフォンを決済端末として活用するソリューションを提供しているが、「スマートフォンの部分は、特化しているわけではなく、あくまでもWebアプリケーションを提供しているだけなので、特にPCI DSS準拠に関して難しくなった点はありません」と北井氏は説明する。
スマートフォン決済に関しては、日本クレジットカード協会からガイドラインは発表されたものの、PCI SSCの中のルールとしても未確定な部分が多いとされる。
「弊社では、対面で無線LANを利用した決済端末を取り扱っているため、取引先のカード会社や国際ブランドが、決済時のセキュリティのどの部分に気を付けているのかが見えてきました。その延長戦でスマートフォン決済を投入できたため、業界の中でも比較的早く舵を切ることができました」(ゼウス 代表取締役社長 地引一由氏)
今後は、データベースの暗号化は負荷やコストがかかるため、「トークナイゼーション」を導入し、カード番号を乱数に置き換えて管理することを検討する方針だ。
