2012年3月2日8:00
PCI DSSへの遵守について加盟店からの問い合わせが増加
2012年はリスクのランク分けを割り当てるためのプロセスの確立が課題に
決済代行事業者のソフトバンク・ペイメント・サービス(SBPS)は、2008年から継続してPCI DSSに準拠している。2011年は新バージョンのVersion2.0とVersion1.2.1のいずれかを選択できたが、要件自体に大きな変更はなかったため、2.0での審査を選択した。
リスクランクの正式なプロセスは当年度の対象から外す
事前にVersion2.0の変更箇所についてQSAと確認
Version2.0の審査に向け、最大のポイントとなったのは、要件6.2の「リスクのランク分けを割り当てるためのプロセスの確立」だ。同項目は、2012年6月30日まではベストプラクティスだが、同部分がマスト(必須)になれば、同社の対応負担にも大きな影響を及ぼすことは明らかだった。ソフトバンク・ペイメント・サービス 情報セキュリティ管理部 部長 柳沢浩治氏は、「2011年の審査においても例年通り9月での対応を検討しましたが、震災の影響による関東の節電対策の影響と、ISMSの再認証取得などが重なったため、社内的に検討した結果、審査は例年より遅い11月に対応を実施した。11月の審査対応により、結果的にベストプラクティスからは外しました」と説明する。
また、PCI DSSの審査を担当するQSA(認定セキュリティ評価機関)について、確認事項の厳格化や監査報告書(ROC)に対象範囲の正確性の根拠、サンプリング抽出の際の詳細な根拠の説明などを国際ブランドが求めたため、若干審査が厳しくなった部分があったという。
SBPS柳沢氏は、PCI DSSの要件について、要件1.1.5、1.3.7、2.1.1、10.4.2、11.1.a、11.2.bの6項目がVersion 2.0になり強化された点であるとは捉えている。一方、要件3.2、3.6.4、3.6.8、11.1は緩和ポイントと捉えていた。
同社では、Version2.0の審査を受診する際、事前に数カ所の変更事項について確認し、審査に向け万全を期している。まず、要件1.1.5bでは、安全でないサービスとして、FTP・Telnetに加え、POP3・IMAP・SNMPが追加された。この点については、該当のサービス利用時には、その目的を文書化しているが、追加のサービスにおいても同様であることを確認した。
また、要件1.3.7では、「内部ネットワークゾーンにカード会員データを保存するシステムコンポーネントなどが配置されていること」と表記されているが、1.2ではデータベースの表現が記されていた。この部分は、「通常はデータベースと思われるが、一時的にCSVなどのファイルを保管するようなサーバなどがあれば、対象となる」という回答を受けた。また、要件2.1.1.dのワイヤレスネットワーク経由の認証および伝送用の強力な暗号化をサポートする項目に関しては、「WPA/WPA2」の表記が消えているが、WEP以外であれば特に問題ないことを確認した。
要件3では、3.2、3.6.4、3.6.8の項目について確認。まず、3.2では、イシュアに限り、業務上必要な場合はセンシティブ認証データの保存が認められたが、これは例えば、駐車場の利用料金をクレジットカードで支払うなど、直近3カ月程度の情報が必要な場合への措置との回答を受けている。また、3.6.4では、暗号キーの変更が年に1回の縛りがなくなり、定期的な変更になったことを確認。さらに、要件3.6.8(要件7.1.3)では、従来は書面に直筆のサインが必要となっていたが、今回より一般的な電子ファイル(Word/Excel等)でも対応が可能になるという回答も受けた。
「要件6.2のCVSSは4.0という数式からみると大きな変更箇所になります。脆弱性が重要なシステムコンポーネントに影響することの1つ以上が含まれるとなっていますが、これを実施した場合、どれか1つを選択していれば問題ないか確認をしたところ、『当年度は、CVSS以外の選択でも、要素的に含まれるため問題ない』という回答を受けました。また、今回の審査で対応を見送った場合、連携する項番2.2/6.5.6/10.4.a/11.2.aへの対応は、どのように考えればよいかと聞いたところ、11.2などを含めて全体的な内容で判断するということでした」(柳沢氏)
要件10.4.2への対応については、これまで時刻同期する方式が多かったが、ログの記録とレビューすることが追加になっており、さらにアクセス可能者を限定することが前提となるという回答を受けた。要件11.1では、ワイヤレスネットワークのアクセスポイントの存在を確認する要件だが、無線アナライザの記載が削除された。この部分は、目視での確認も可能であるが、隠れたAPを検出する場合は、現状のアナライザ確認が有効だと思われるとのことだった。
要件11.1.aの「検出および識別するプロセスが文書化されていることを確認する」点については、現在の実施方式の場合、手順書までは特に必要とせず、規程の定義内容で十分であるという回答を受けた。また、要件11.2.bの、「脆弱性スキャンレポートをレビューし、スキャンプロセスに合格結果が取得されるまで、またはPCI DSS要件6.2で定義されたすべての「高」脆弱性が解消されるまで、再スキャンを実行する」項目については、既存の合格結果のみで可能なのかという疑問があった。6.2をVersion1.2の対応とした場合、合格結果を選択することになるのかという問いには「共に再スキャンで合格すれば、充足する」ということだった。
PCI DSS準拠の問い合わせ加盟店数増加、
AOC開示により対応
前述のような解釈の差分はあったが、事前にQSAに確認したことにより、問題なく準拠を果たすことができたという。Version2.0への変更により、他の企業ではコンサルティングを依頼したケースも多かったが、同社ではすべて自社で対応している。結果的に、追加でシステム投資することなく、さらに、代替コントロールに関しても前年同様の箇所で適用した。
なお、Version2.0から明確に記された仮想化については、「商用環境でトランザクションが増えているので、リスクが増大する可能性があるため、当面は考えていません」と同社 情報セキュリティ管理部 高橋智明氏は説明する。
2012年の審査に向けては、要件6.2への対応が最大のポイントとなる。従来、ISMSやPCI DSSの担当者は兼務していたが、加盟店からのニーズ増加もあり、今年に関しては高橋氏をPCI DSSに専念させる予定という。
最近では、同社に対し、加盟店からPCI DSSへの準拠状況についての問い合わせも増えているそうだ。特に海外で事業を展開する企業からの問い合わせが多く、「その場合は、準拠証明書(AOC)のコピーを提出して、PCI DSSに準拠したシステムであることを説明しています」と柳沢氏は話す。
SBPSでは、今後も信頼される決済サービスを提供すべく、さらなるセキュリティ対策の強化に向けた体制作りに余念がない。
