2015年3月5日7:47
■日本NCR
NCR RES-ePaymentがPA-DSS Version 3.0の認定を取得
日本NCRは、決済アプリケーション・ソフトウェア「NCR RES-ePayment(アールイーエス イーペイメント:NCR Retail Enterprise Solution ePayment Application)」がペイメントカードの国際セキュリティ基準を管理する団体PCI SSC(Payment Card Industry Security Standards Council)より、国内初のPA-DSS(Payment Application Data Security Standard)Version 3.0の認定を取得した。PA-DSSへの認定のメリットについて日本NCRに話を聞いた。
流通企業からPA-DSS対応が求められる
POSからセンターまでセキュリティを確保
「PA-DSS」は、PCI DSSやPCI PTSの運営団体であるPCI SSCが定めたペイメントカードの情報セキュリティ基準で、クレジットカード決済アプリケーションを開発・販売する事業者が対象となっている。もともとVisaのPA-BP(Payment Application Best Practice)を基盤としており、2008年の第2四半期から、PA-QSA(認定審査機関)による審査がスタートした。
日本NCRでは、国内向けの製品としては初めて、2008年にPA-DSS Version1.1に完全準拠し、2011年9月9日にはVersion 2.0を取得。そして、2014年に国内で初となるVersion 3.0に準拠を果たした。
日本NCRの「NCR RES-ePayment」は、クレジットカード、デビットカード、非接触ICカードなど、POSでの決済手段に対応するパッケージアプリケーションで、消費者のクレジットカード情報をPOS上に残さず、通信データの暗号化等、多くのセキュリティ要件を満たしているそうだ。
日本NCR 流通システム ソフトウェア製品開発部 マネジャー 仲間絹子氏は、「2008年にPA-BPに準拠した頃は、流通企業の意識はそれほど高くありませんでしたが、現在は流通企業の対応要件(Request for Proposal)として盛り込まれていますので、かなり機運は高まっていると感じています」と話す。また、ターゲット(Target)など、米国の大手企業からの情報漏洩の影響を受け、数多くの問い合わせが寄せられたそうだ。
同社のPA-DSSに対応した決済パッケージは、アパレル大手のBEAMSなどで採用されている。グローバルに展開している企業からは引き合いも多いが、「国内で従来、自由なアプリケーションを作り込んで運用されていたお客様ですと、その機能を残したいという要望も多く、セキュリティ要件との兼ね合いが難しいところです」と製品・マーケティング本部 製品開発部 シニア・ソフトウェア・エンジニア 藤田宏明氏は悩みを口にする。
「お客様のサーバにNCRが提供する決済サーバを設置する場合、お客様からの要件によっては、セキュリティ面で要件が満たせないこともあり、NTTデータの『PastelPort(パステルポート)』や三菱UFJニコスの『J-Mups』といったインフラを交えてセキュリティを高める戦略をとっています。いずれもセンターと接続するためのソフトウェアが標準で組み込まれているため、POSからセンターまで包括的にセキュリティを確保できます」(仲間氏)
Version3.0では対象範囲が拡大
審査コストの低減が準拠企業の拡大に必要
Version2.0の審査の際は、暗号化の部分の難易度が上がった点、そして、PA-DSSの審査を担当するPA-QSAの品質をPCI SSCが審査することになったため、審査のハードルが上がったが、「2.0から3.0のバージョンアップでは、曖昧な表記がより厳格化された印象を受けました」と藤田氏は話す。個々の対策については、それほど大きく変わっていないが、要件ごとの対応策が明確化したそうだ。実際の受審については、2.0との差分から、新しく追加した要件を埋めていく必要があったが、過去2回の審査よりはスムーズに対応できたそうだ。
また、3.0の審査からは、セキュリティに関する分析を行うプロセスが整っているかという要件が加わった。例えば、セキュリティトレーニングを受けているかという証明を求められ、「お客様に実装ガイドを提供して、導入に当たって考慮する部分の説明について英語でドキュメント化して提出する必要があり、大変でした」と仲間氏は振り返る。
なお、PA-DSSの審査は、NTTデータ先端技術に依頼した。対応コストについては、1.1で蓄積したベースがあり、2.0ではコストを抑えて準拠することができたが、3.0では『J-Mups』も含めて対象範囲を拡大したため、前回とほぼ同様の料金で準拠できたそうだ。日本におけるPA-DSSの準拠は、日本NCRなど数社に限られるが、「さらなる普及に向けては、米国と同様の審査コストになることが必要です」と仲間氏は語気を強める。
同社が国内でいち早くPA-DSSに準拠した理由は、POSシステムへのセキュリティ面の不安を考えたからである。例えば、米国ではPCI DSSの準拠が証明されたPOSアプリケーションの使用が義務化されており、NCRだけでなく、ほかの会社もPA-DSSに準拠したパッケージを販売している。今後は国内でもPA-DSSに対応した決済アプリケーションの広がりが期待される。近年は大手流通業の団体なども関心が高まっており、同社のPOS加盟店からカード番号の漏洩を防ぐため、積極的に同パッケージの販売を行っていきたいとしている。
※3月12日開催の「ペイメントカード・セキュリティフォーラム2015」では、日本NCRが「世界標準の中でのNCRのPayment Solution」と題し講演されます。
