2010年11月25日8:10
電子証拠調査のプロとPCI DSSのQSAが連携
ペイメントカードのフォレンジック調査専門の合弁会社を設立
コンピュータフォレンジックで多数の実績を持つUBICとPCI DSSのQSA(認定セキュリティ評価機関)の国際マネジメントシステム認証機構(ICMS)は8月17日、ペイメントカード情報漏洩事故の調査を行うPayment Card Forensics(PCF)を設立した。同社設立の狙いについて代表取締役社長の野崎周作氏、取締役の瀬田陽介氏に話を聞いた。
PCI SSCがフォレンジック調査機関を認定
アクワイアラもフォレンジック調査機関の選択肢増加を望む
ペイメントカード情報の漏洩事故は国内でも問題となっている。ビザ・ワールドワイド(Visa)やマスターカード・ワールドワイド(MasterCard)ではEC加盟店などが情報漏洩を起こした際、フォレンジック調査を行う認定機関である「QIRA(Qualified Incident Response Assessor)」、「QFI(Qualified Forensics Investigators)」による調査とレポートの提出が求められている。実質、国内で活動できるQIRA、QFIは限られており、「EC加盟店にとって選択肢が少ないことから、フォレンジック調査の価格も決して安くはない」とPCF取締役 瀬田陽介氏は説明する。
UBICではこれまで、警察や官公庁向けにフォレンジックツールの販売・トレーニング、民間企業向けに、数多くのフォレンジック調査を実施してきたが、「ペイメントカードのインシデント発生案件については、ベライゾンやラックをカード会社が推奨していたため、なかなか入り込めなかった」とPCF 代表取締役 野崎周作氏は説明する。
QIRA、QFI の基準はPCI SSCに移管され、「PCI Forensic Investigator (PFI)Version1.0」として発行し、来年3月からPCI SSCが認定を開始することとなった。UBICとICMSでは、これをいい機会と捉え、合弁会社を設立。ペイメントカードのインシデント案件を担当する専門の会社として活動することとなった。
「各ブランドが求めるフォレンジック調査の実施については弊社の持っている経験値を使えば問題なく対応できます。季節変動はありますが、月に2~3件はペイメントカードの情報漏洩事故が起きていると思われますので、PCFの設立により、この分野のリーディングカンパニーを目指していきたい」(野崎氏)
具体的にはUBICのフォレンジック調査員が事故の被害範囲や原因調査を担当。インシデントが発生した加盟店がアクワイアラやブランドに提出するレポートには、フォレンジック調査の結果と事故が発生した時点でのPCI DSSとの適合性を報告しなければならないため、QSAとして多数の実績を持つICMSがサポートする形だ。
ICMSの代表取締役社長でもある瀬田氏は、「すでに複数のアクワイアラにはご挨拶しておりますが、いずれも国内で活動できるフォレンジック調査機関の選択肢が増えることを歓迎しており、早くサービスをスタートしてほしいというお言葉をいただいています」と説明する。
ICMSのQSA活動にもプラスに
売り上げ目標は1年間で1億円
PCFでは今後もペイメントカードのインシデントの案件は増えるだろうと予想しており、新会社設立後はカード会社に積極的なアピールを行っている。その一方で、PFIがリリースされたことにより、複数の企業がフォレンジック調査機関として名乗りを上げる可能性があり、競争は激化するのではないかと考えている。PCFでは他社との差別化を図るために、レポーティングのスピードを可能な限り早くし、インシデント発生企業をサポートしていく方針だ。また、他社との差別化要因として24時間365日の事故受付を挙げている。
なお、ペイメントカードの情報漏洩を起こした企業は、必然的に翌年以降のPCI DSSオンサイト監査の対象になることから、瀬田氏はICMSのQSA活動にもプラスに働くことも期待している。
フォレンジックの調査金額はレポートとアセスメントを含め200万円程度を想定。PCFでは国内だけでなく、UBICの支店がある韓国、香港のアジアパシフィック地域、米国での展開も視野に入れ、まずはサービス開始1年間で1億円の売り上げを目指す。
