2014年5月29日8:00

PCI DSS準拠システムの構築と課題解決
加盟店の責任として遵守し、準拠を継続

ニフティ

さまざまなインターネットサービス事業を展開するニフティは、運営するインターネットサービス「@nifty(アット・ニフティ)」のクレジットカード決済システムにおいて、2010年8月にペイメントカードの国際セキュリティ基準である「PCI DSS」に準拠しており、その後も毎年継続して審査を受診しています。今回はその取り組みについて紹介します。

1,000万人の顧客情報を預かる企業の責任として準拠
PCI DSSへの準拠により補償被害のリスクを最小化

ニフティでは、約1,000万人のお客様の情報をお預かりしているため、加盟店の責任を感じながらシステムを構築しています。PCI DSSに準拠する際に学んだこと、実際に構築するうえで気を付けたこと、これまで4回の審査を受けた印象について、ご説明します。

PCI DSS プロジェクトの経過
PCI DSS プロジェクトの経過

まず、ニフティがPCI DSSを取得する理由として、会員のお客様情報を数多く扱っていることが挙げられます。2007年からPCI DSSのことを調べ始めましたが、日本だけでなく海外でも情報漏えい事件が起こっていました。セキュリティに関してナーバスな時期でもあり、導入を検討しました。また、J-SOXなどのコンプライアンス対応、会社としてISMSの導入を進めていましたので、その流れに沿ってPCI DSSの取得も考えました。

ニフティでは、比較的早くオンラインでのクレジットカードの利用をスタートしています。特に、オンラインでの小額決済導入は、国内で最も早かったと思います。他社に比べて、クレジットカードによる決済比率が高いため、セキュリティを守る必要がありました。また、自社の提携クレジットカードを発行していた関係上、セキュリティを強化する目的もありました。

ニフティではPCI DSSに自主的に準拠しましたが、2007年は関連情報が少なく、Web等を見ても断片的な内容が中心でした。特に日本語の情報はほとんどありませんでした。PCI DSSについては、2007年や2008年は国内での強制力はありませんでしたが、2008年11月13日にVISAが2010年9月までにレベル1(年間600万件の処理)加盟店は準拠しなければならないというアナウンスを行いました。アクワイアラからも遵守を要請する話があり、罰金もあるため、本気で取り組むことになりました。事前のヒアリングを経て、2009年下期から準備を開始した結果、2010年8月に完全準拠することができました。その後、日本クレジット協会(JCA)から、非対面、対面を含めて、加盟店は2018年までに準拠もしくは非保持化をしなければならないというアナウンスがでています。

PCI DSSのコストメリットは次のように考えることができます。PCI DSSに準拠する際の基準となるオーソリのトランザクション数から、リスクが計算できます。たとえば、Level1加盟店の場合を想定すると、月に1度の洗い替えの場合、年に12回で600万件/年のオーソリとなるため、保有カード番号数は50万件になります。被害補償がポートコストを含めて1万円/件と仮定しても、約50億円の被害額が想定されます。PCI DSSに準拠することで、その被害を最小化することが可能です。

「多層防御」、「性悪説」、「守るための手法」を学ぶ
PCI DSS準拠の範囲を事前に確認することが重要

PCI DSSを構築する際、要件を熟読していく中、「多層防御」、「性悪説」、「守るための手法」を学びました。多層防御については、対外的にまとまっている文献はないので参考書になりました。例えば、サーバを設計して破られた場合の対応を、ネットワーク層、サーバ層、外部からのネットワークスキャンで確認するのは、多層防御の管理手順です。性悪説に関しては、日本の会社では動きにくいと思います。日本では管理職が部下を信じなければならない部分もありますが、例えばシステム関係の部署が情報を抜いて持って行った場合など、教科書的に学ぶことができます。また、これまでサーバをチェックリストで管理する経験がなく、250以上の詳細な要件を確認できるのは大きかったです。

最終的に学んだのは、日本独自で、エンジニアの過去の経験に頼っていた仕組みを定型化でき、従来の手法と世界標準の差を学習できたことでした。

審査に向けては、審査範囲の明確化が重要です。設定変更、運用的対応、技術的対応で分離した上で導入しました。また、PCI DSSのコンサルティングサービスを依頼するよりも、優秀なエンジニアに要件を見せて解決策を見出す方が早いと考えています。さらに、データベースの暗号化、ファイヤーウォール、ログサーバ、IDS(侵入検知システム)など、どうしても投資が必要なシステムが出てきます。例えば、データベースの暗号化の場合、独自に実装するとQSA(認定審査機関)から、数多くの質問を受けます。審査員との調整では、事前にスコープの範囲を決めておかないと、後から対応が大変です。スコープの確認では、予備調査などを活用し、事前に確認しておくことが大切です。PCI DSSのメリットは、QSAがコンサルティングできるため、コンサルティング会社に依頼するよりも、審査会社と調整する方が迅速に対応できます。

PCI DSSのメリットとして、30日間や四半期ごと、期間が決められた要件が多いですが、これを活用することで運用を確実にできると思います。また、PCI DSSでは、マニュアル、台帳、作業申請書、ログ、設定ファイルなど、不足している資料・証跡を確認できますが、審査の際は200以上の項目をまっすぐ見ますので、審査前に資料を要件ごとに整理して、いつでも確認できるようにすることも比較的審査がスムーズに進むポイントです。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」のニフティ株式会社 セキュリティ推進室 課長 伊藤 求氏の講演をベースに加筆を加え、紹介しています。

zipage
tokysyu

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP