2016年8月9日8:00
センシティブ情報をセンター側で保有する強みを生かし、加盟店の準拠を後押し
三菱UFJニコスは、クラウド型マルチ決済システム「J-Mups」の推進を強化しているが、2012年7月のセンター開設当初からPCI DSSに準拠した強固なシステムで運用されている。同社のPCI DSS準拠の取り組みについて、話を聞いた。
センターの開設時から取得を前提に構築
J-Mupsシステム全体がスコープに
「J-Mups」は、三菱UFJニコスとJR東日本メカトロニクスが構築した専用のサーバーに集約したクレジットカード、銀聯カード、各種電子マネーの各決済機能を、加盟店に設置した決済端末やPOSからインターネット経由で利用できる仕組みである。クラウド型の決済サービスに国内でいち早く対応。同社の収益を押し上げる役割を果たしている。
同社では、J-Mupsセンターの立ち上げ当初から、PCI DSSの準拠を視野に入れていた。三菱UFJニコス アクワイアリング開発部 ネットワーク開発グループ 開発担当 上席調査役 清水郷太氏は、「カード会社のデータセンターとなりますので、センターの開設時から取得を前提に構築しました。国内初のシンクライアント型のクレジットカードのデータセンターとなりましたので、会員データフロー等はPCI DSSに沿ったものが必要だと考えています」と説明する。J-Mupsは2012年7月にサービスを開始したが、2012年5月24日付けでVersion2.0への完全準拠を果たしている。
J-Mupsセンターはシステム開発ベンダの協力を得て立ち上げた。端末はJR東日本メカトロニクス製となるが、端末からデータセンターの仕組みまでセキュリティを考えて構築した。清水氏は、「システム開発ベンダに構築を委託する中で、コンサル部隊としてご協力いただき、要件を満たしているかを確認しながら対応を行いました」と話す。
基本的に、J-Mupsシステム全体がスコープとなった。準拠に向けて、システムの運用が実態についていけるかがポイントだった。また、セキュリティを重視しなければならない反面、レビューなどの運用コストも必要となる。当然、PCI DSSを意識しなければコストは抑えられるが、基準にすべて対応する方向でWAF(Web Application Firewall)やIPS(侵入検知システム)などを導入している。
PCI DSSの準拠に向けては、要件の解釈に迷うところもあったが、その際は認定審査機関(QSA)のアドバイスを受けながら対応した。また、三菱UFJニコスのシステムにおいて、セキュリティ部門に要件解釈のアドバイスを受けた。
※「不正利用対策・PCI DSSガイドブック」から一部抜粋
