2013年1月22日8:00
Yahoo!ウォレットのPCI DSS準拠への取り組み
ヤフーが運営する国内最大級のポータルサイト「Yahoo!JAPAN」では、ユーザーがオンラインサービスを安全に楽しく利用するために「Yahoo!ウォレット」の決済環境で、2008年11月にPCI DSSを取得後、毎年準拠を継続しています。
2008年から5年連続でPCI DSSに準拠
現場のメンバーを中心にプロジェクトチームを結成
「Yahoo!ウォレット」は、2004年からヤフーが提供するサービスで、クレジット番号や銀行口座の支払い情報を登録することで、Yahoo!BB、オークション、プレミアム、Yahoo!ショッピングやパートナーサイトでの支払いが行えます。現在、2,400万IDの登録があり、多くの方がクレジットカードを決済手段としてご利用いただいています。
ペイメントカードの国際セキュリティ基準である「PCI DSS」について最初の要請を受けたのは2006年で、VisaからAIS準拠の要請がありました。しかし、当時は準拠するメリットが見いだせなかったため、特に何もアクションを起こしませんでした。コストをかけて準拠しても対外的に評価されない規格であれば意味がありません。また、ヤフーでは、2004年からISMS認証を取得し、厳しい社内セキュリティ基準も制定していました。
転機は2007年で、改正割賦販売法にカード情報保護について盛り込まれる見通しとなり、PCI DSSの調査を開始しました。2008年5月からプロジェクトを開始し、同10月に準拠を果たしています。その後、毎年審査を継続しており、現在はVersion2.0に準拠しています。
プロジェクト実行前の準備としては、誰が何をすればいいのか、コストをかけて実施することの理解を得ることが必要でした。また、設備投資、要件解釈セミナーの受講、訪問審査の費用についての予算を確保し、準拠に向けた取り組みを進めました。さらに、外部の支援を受けずに準拠する方針を掲げています。プロジェクトチームは、セキュリティやコンプライアンスなどの部門ではなく、フロント、バックエンド、インフラなど、現場のメンバーで結成されました。
セキュリティレベルの客観的な証明に効果
準拠、維持コストの軽減を望む
準拠に向けては、要件解釈セミナーの受講に加え、先行取得企業からのヒアリングにより、審査の内容についてリサーチし、掲げた方針を守れるかを確認しています。また、PCI DSSの要件の中でどの項目に対応できていないのかを確認しました。その結果、当初は40以上の要件に対応できていませんでした。基本的にできるところまでは頑張りましたが、どうしても無理な部分は割り切って諦めました。
審査に向けての成果物としては、「課題管理票」で未対応要件の見える化を行い、要件、対応方針、担当者、ステータスを記載しました。また、ルールや手順書を社内共有のファイルサーバに配置しています。さらに、それぞれの要件について回答内容と回答者を決定し、リハーサルを実施しました。また、「想定問答集」や手順書、ルールなどを決め、当日の審査を想定したリハーサルも行い、審査においては章ごとに誰が審査に立ち会うかを決定しました。
準拠後の対応として、PCI DSSの審査は年に1回ですが、通年での事務局運営として課題管理や定期的なタスクの実施確認を行っています。また、PCI DSSのバージョンアップの内容を確認しています。加えて、対応メンバーの増強や要件に対する規定、手順、記録の整備を実施しています。
PCI DSSに準拠してよかったことは、セキュリティレベルの客観的な証明に効果があるということです。PCI DSSは要件が具体的で公開されていますので、基準に準拠していることを広くアピールできます。また、PCI DSSに準拠した「Yahoo!ウォレット」の安全性を利用者向けページなどで訴求できます。さらに、各種セミナーやメディア等を通じてのPRも可能です。
ISMSとの比較としては、ISMSはリスクに見合いで策定した基準であれば問題ありませんが、PCI DSSは要件が具体的で記載項目と同様のことを満たす必要があります。そのため、客観的な要件になりにくく、ISMSの弱点を補う効果もあります。
今後、PCI DSSに期待することは、加盟店への負担軽減です。弊社ではISMSに基づく厳しい社内セキュリティ基準で運用されていたため、投資コストを抑えることに成功しました。また、開発部隊も社内で抱えていたため、迅速かつ低コストで対応できていますが、一般の企業ではかなりの負担になると思われますので、投資・運用コストの軽減に期待しています。さらに、2年目以降の審査の簡略化も挙げられます。弊社では過去5年、継続してPCI DSSに準拠していますが、システムの変更がないものを毎年1から審査しているため負担が重いのは事実です。また、各社個別の環境に応じた弾力的な審査基準、運用ができないかと考えています。
さらに、利用者への認知度の向上として、統一マークの制定、PCI DSS準拠企業がどうして安全なのかを浸透させる取り組み、目につく場所での準拠企業のPRなど、知る人ぞ知る規格から、世に広めていただきたいと期待しています。加盟店に向けても同様で、義務ではなく、費用をかけてでも準拠するメリットをわかりやすくしていただきたいと思います。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のヤフー セントラルサービスカンパニー ID決済本部 運用部 運用技術3 リーダー 大河原 央貴氏の講演をベースに加筆を加え、紹介しています。
