2017年7月27日8:00
■ニフティ/富士通コミュニケーションサービス
委託先がPCI DSSに準拠する5つのポイント
小野:ニフティから委託を受け、2011年に富士通CSLとしてもPCI DSSに準拠したいと考えましたが、当時は社内の理解を得られませんでした。2014年には社内の理解が進み、PCI DSS 準拠に向けた準備に着手しましたが、委託先が準拠するポイントは5つあったと考えています。
1つめはスコープの要件です。弊社は委託業務のため、業務内容はニフティの委託内容に準じます。また、PCI DSSのスコープを精査していき、まずは必要な要件を洗い出す工程が必要となりました。カード会員データの富士通CSL内での実施業務は自社管理となり、シンクライアントからリッチクライアントの変更に伴うログサーバの追加、ネットワーク機器関連、内外の脆弱性スキャンなど、要件全般で新規の対応が必要となりました。また、技術面のほか、要件12などの情報セキュリティポリシーも全般的に見直し、構築する必要がありました。
2つめに、要件の適合に当たっては、必ずしも高額なソリューションを導入することが正解ではないと考えています。現場の規模、業務内容などにあわせて、最適解を見つけることが重要であり、システムで解決できることも現場運用で対応することにより、PCI DSS運用に対する現場の理解が深まるなどのメリットもあります。
さらに、要件に当てはめることに加え、業務面、コスト面などを踏まえ、代替コントロールを活用する手段も検討しました。なぜなら、PCI DSSの運用自体がコア業務を圧迫しては本末転倒であり、上手くバランスをとることが重要です。さらに、委託先の立場としては、無理のない運用でPCI DSS準拠を安定して担保することが、最も委託元会社に貢献できるという認識です。
3つめに、カード会員データ環境(CDE)の責任範囲として、ニフティではソニーペイメントサービスにカード情報を委託されているため、富士通CSLの社内ネットワークにおいてはカード会員情報は非保持同等となっています。紙媒体でカード会員情報を扱っていますが、その取り扱いは富士通CSL内向けの運用マニュアルで管理しています。カード会員情報登録データベースへ接続するためのネットワークが存在するため、富士通CSLの責任範囲は社内ネットワークの終端装置までとなります。実際、ソニーペイメントサービスのサーバで通信暗号化を実施しており、インターネット上のセキュリティは担保されています。
準拠に向けての体制整備が4つめのポイントであり、社内の複数の専門組織がそれぞれ担当する体制を敷いています。基本的にはシステム部門と、業務運用部門、情報管理部門が専門分野を構築しながらも、横断的な連携がなされた結果、運用に向けて効率的な動きができたと考えています。たとえば、ネットワーク機器の運用マニュアル作成はシステム部門が主導しながらも、業務運用部門の事情を踏まえながら、現場運用に最適な内容を構築するといった体制を敷きました。
最後に、PCI DSS 準拠後を見据えることが重要であると考えており、弊社だと年に1回のサイクルにおいて四半期毎にPCI DSS の運用の見直し、改善を行っています。PCI DSS 運用開始後は、業務運用部門の担当者が主体的にPDCAサイクル(運用見直し・改善)に関わり、運用への理解を深めています。さらに、PCI DSSに関するエリア退出時に壁に両手をついて、情報の持出しを防止するなど、運用経験などから必要と判断するケースにおいては、PCI DSSの要求以上に厳しいルールを設定し、運用の遵守を徹底しています。
PCI DSS準拠後のそれぞれのメリット
伊藤:PCI DSS準拠のメリットとして、セキュリティレベルの向上を内外に証明できること、世界水準と自社水準の比較ができることが挙げられます。PCI DSSの基準はよくできたルールであり、付け焼刃的な対応では準拠できません。また、2010年から法令遵守への意識が高まっていますが、社内的にはセキュリティの意識が高くなり、コンプライアンスを見直すいい機会になりました。ただし、運用システム、構築コストがかかり、特にバージョンが変更された際は大変です。
小野:富士通CSLでは、PCI DSSに準拠したメリットとして、委託先会社の立場から、委託元会社への貢献、信頼構築が挙げられます。弊社では、PCI DSS準拠を起点に、ニフティのような業務のアウトソーシングビジネスや、準拠済みの企業に対する運用アドバイスなど、さまざまな要望に柔軟に対応していきたいです。たとえば、PCI DSS 関連で想定される業務委託の例として、「新規業務をPCI DSSに準拠して、業務を委託したい」「既存業務をPCI DSSに準拠して、業務を委託したい」といったケースがあります。また、PCI DSSに準拠した既存業務を委託して、今後も準拠を継続させたいというケースもあります。さらに、PCI DSS準拠に関して支援・アドバイスがほしいといったケースもあると思います。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のニフティ株式会社 IT企画室 セキュリティ品質推進部 担当部長 伊藤求氏と、富士通コミュニケーションサービス株式会社 コーポレートサービス本部 情報管理推進室 小野眞之介氏のパネルセッションをベースに加筆を加え、紹介しています。
