2014年5月29日8:00
PCI DSS準拠システムの構築と課題解決
加盟店の責任として遵守し、準拠を継続
ニフティ
さまざまなインターネットサービス事業を展開するニフティは、運営するインターネットサービス「@nifty(アット・ニフティ)」のクレジットカード決済システムにおいて、2010年8月にペイメントカードの国際セキュリティ基準である「PCI DSS」に準拠しており、その後も毎年継続して審査を受診しています。今回はその取り組みについて紹介します。
1,000万人の顧客情報を預かる企業の責任として準拠
PCI DSSへの準拠により補償被害のリスクを最小化
ニフティでは、約1,000万人のお客様の情報をお預かりしているため、加盟店の責任を感じながらシステムを構築しています。PCI DSSに準拠する際に学んだこと、実際に構築するうえで気を付けたこと、これまで4回の審査を受けた印象について、ご説明します。
まず、ニフティがPCI DSSを取得する理由として、会員のお客様情報を数多く扱っていることが挙げられます。2007年からPCI DSSのことを調べ始めましたが、日本だけでなく海外でも情報漏えい事件が起こっていました。セキュリティに関してナーバスな時期でもあり、導入を検討しました。また、J-SOXなどのコンプライアンス対応、会社としてISMSの導入を進めていましたので、その流れに沿ってPCI DSSの取得も考えました。
ニフティでは、比較的早くオンラインでのクレジットカードの利用をスタートしています。特に、オンラインでの小額決済導入は、国内で最も早かったと思います。他社に比べて、クレジットカードによる決済比率が高いため、セキュリティを守る必要がありました。また、自社の提携クレジットカードを発行していた関係上、セキュリティを強化する目的もありました。
ニフティではPCI DSSに自主的に準拠しましたが、2007年は関連情報が少なく、Web等を見ても断片的な内容が中心でした。特に日本語の情報はほとんどありませんでした。PCI DSSについては、2007年や2008年は国内での強制力はありませんでしたが、2008年11月13日にVISAが2010年9月までにレベル1(年間600万件の処理)加盟店は準拠しなければならないというアナウンスを行いました。アクワイアラからも遵守を要請する話があり、罰金もあるため、本気で取り組むことになりました。事前のヒアリングを経て、2009年下期から準備を開始した結果、2010年8月に完全準拠することができました。その後、日本クレジット協会(JCA)から、非対面、対面を含めて、加盟店は2018年までに準拠もしくは非保持化をしなければならないというアナウンスがでています。
PCI DSSのコストメリットは次のように考えることができます。PCI DSSに準拠する際の基準となるオーソリのトランザクション数から、リスクが計算できます。たとえば、Level1加盟店の場合を想定すると、月に1度の洗い替えの場合、年に12回で600万件/年のオーソリとなるため、保有カード番号数は50万件になります。被害補償がポートコストを含めて1万円/件と仮定しても、約50億円の被害額が想定されます。PCI DSSに準拠することで、その被害を最小化することが可能です。
「多層防御」、「性悪説」、「守るための手法」を学ぶ
PCI DSS準拠の範囲を事前に確認することが重要
PCI DSSを構築する際、要件を熟読していく中、「多層防御」、「性悪説」、「守るための手法」を学びました。多層防御については、対外的にまとまっている文献はないので参考書になりました。例えば、サーバを設計して破られた場合の対応を、ネットワーク層、サーバ層、外部からのネットワークスキャンで確認するのは、多層防御の管理手順です。性悪説に関しては、日本の会社では動きにくいと思います。日本では管理職が部下を信じなければならない部分もありますが、例えばシステム関係の部署が情報を抜いて持って行った場合など、教科書的に学ぶことができます。また、これまでサーバをチェックリストで管理する経験がなく、250以上の詳細な要件を確認できるのは大きかったです。
最終的に学んだのは、日本独自で、エンジニアの過去の経験に頼っていた仕組みを定型化でき、従来の手法と世界標準の差を学習できたことでした。
審査に向けては、審査範囲の明確化が重要です。設定変更、運用的対応、技術的対応で分離した上で導入しました。また、PCI DSSのコンサルティングサービスを依頼するよりも、優秀なエンジニアに要件を見せて解決策を見出す方が早いと考えています。さらに、データベースの暗号化、ファイヤーウォール、ログサーバ、IDS(侵入検知システム)など、どうしても投資が必要なシステムが出てきます。例えば、データベースの暗号化の場合、独自に実装するとQSA(認定審査機関)から、数多くの質問を受けます。審査員との調整では、事前にスコープの範囲を決めておかないと、後から対応が大変です。スコープの確認では、予備調査などを活用し、事前に確認しておくことが大切です。PCI DSSのメリットは、QSAがコンサルティングできるため、コンサルティング会社に依頼するよりも、審査会社と調整する方が迅速に対応できます。
PCI DSSのメリットとして、30日間や四半期ごと、期間が決められた要件が多いですが、これを活用することで運用を確実にできると思います。また、PCI DSSでは、マニュアル、台帳、作業申請書、ログ、設定ファイルなど、不足している資料・証跡を確認できますが、審査の際は200以上の項目をまっすぐ見ますので、審査前に資料を要件ごとに整理して、いつでも確認できるようにすることも比較的審査がスムーズに進むポイントです。
※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」のニフティ株式会社 セキュリティ推進室 課長 伊藤 求氏の講演をベースに加筆を加え、紹介しています。