2018年8月20日8:00
クレジット会員向けMyページや個別クレジットWeb申込をセキュアに
エクサは、 日本アイ・ビー・エムとJFEスチールを親会社に持つIT企業だ。同社では、クレジット事業者向けに提供している会員向けMyページや個別クレジットWeb申し込みを実現するWebクラウドサービス「BLUEBIRD(ブルーバード)」において、2014年にPCI DSS Version2.0に準拠し、その後も準拠を継続している。同社のPCI DSS準拠に向けた取り組みについて、話を聞いた。
PCI DSSを意識してBLUEBIRDを構築
複数の部署が連携して準拠に取り組む
「BLUEBIRD」は、クレジット基幹業務に精通したエクサが独自に企画・構築したクラウド型Webサービスとなり、クレジットカード会社の会員に対し、明細照会サービスを提供している。クレジットカード会社にとっては、紙の利用明細に比べてコスト削減、業務効率化、販促活用によるクレジット利用促進などが図れるという。また、BLUEBIRDにおいて、取引の明細や会員の属性情報は、クレジットカード会社の基幹システムから提供してもらい、表示される。クレジットカード会社からは、暗号化もしくはマスキングされた情報のみを提供してもらうため、エクサ自身でPIN(暗証番号)やPAN(カード番号)を保持していない。
「2011年からBLUEBIRDの準備を開始しましたが、サービス開始後にPCI DSSの基準に合わせるのは大変でしたので、意識した形で検討を行いました。たとえば、ログイン認証やパスワードの管理はPCI DSSの基準に合わせた形で構築した経緯があります」(エクサ 金融開発本部 決済ソリューション部 第一ソリューション室長 田中秀和氏)
エクサでは、BLUEBIRDがクレジットカード会社に接続するシステムであるため、PCI DSS対応は必須だと考え、2011年から準備を開始した。決済ビジネスに携わるエンジニアを中心とした「PCI DSS準備チーム」を設置し、まずは約300項目あるPCI DSS要件(当時は2.0)のギャップ分析を実施している。
PCI DSSでは、要件の数が膨大かつ、幅広い技術領域が求められる。また、PCI DSSの要件をBLUEBIRDのシステムに当てはめたときの解釈が難しい部分もあった。PCI DSS の要求事項に対する現状の対策実施率はギャップ分析を行った当初、6割程度と比較的高かった。BLUEBIRDでは、標準機能ではPANを生で保存しない仕様としていたため要件3(保存データの暗号化)の多くが対象外となり、結果として対策実施率が6割を超えたという。
PCI DSS準拠に向けては、他部署を巻き込む必要もあった。今回のプロジェクトでもインフラ担当、ネットワーク担当、アプリ担当、セキュリティ担当などと連携しながら進めている。また、審査会社には、コンサルティングも依頼した。同部 森崇雅氏は、「コンサルティングの方に相談することで、他社での対応方法などについてアドバイスいただきました」と説明する。
事前調査を受け、複数の機器を導入/文書の作成が労力に
代替コントロールは複数箇所で提供/4度の審査を行い、今後も準拠を継続へ
(書籍「カード決済セキュリティ PCI DSSガイドブック」よりエクサの記事の一部を紹介)
