2011年1月12日8:00
決済代行事業者のリーディングカンパニーとしてPCI DSSに取り組む
ISMSとの合同審査で審査日数の削減と作業の効率化を図る
GMOペイメントゲートウェイは2万6,000店舗以上が利用する国内最大級の決済代行事業者である。同社ではPCI DSSが策定される前からVisaのAISを取得し、国内の上場決済代行事業者でもっとも早くISMSの認証を取得するなど、セキュリティ確保に力を入れている。
ISMSの認証を上場決済代行事業者で一番に取得
1.1から1.2へのバージョンアップで審査項目が増加
GMOペイメントゲートウェイでは2008年にPCI DSS Version1.1の認証を取得。2009年にVersion1.2への対応を行い、2010年12月に更新審査を行った。
同社ではISMSの認証を上場決済代行事業者としてもっとも早く取得している。2009年からはISMSとPCI DSSの審査を同一のQSA(認定セキュリティ評価機関)に依頼し、合同審査を実施。両審査を合わせて実施することにより、審査日数の削減と作業の効率化を図った。
2009年の審査においてはバージョンが1.1から1.2へ変更となったが、「審査が難しくなったというよりは実施する項目が増えたという印象でした」とGMOペイメントゲートウェイ システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏は説明する。例えば、ぺネトレーションテストは外部だけではなく、内部も要求されるようになった。また、要件11では無許可な無線アクセスポイントが存在していないことを確認しなければならない。
「弊社では無線LANを使用していませんが、アクセスポイントが存在していないことを証明する証跡は確保していませんでした。そのため、ツールを使って対応を図りました」(田中氏)
PCI SSCのQSAに対する品質保証プログラムの実施により、ネットワークやサーバの設定など、サンプリングの項目数が増えたという。
ツールとしては、要件6.6項の対応はWAF(Web Application Firewall)を導入、要件10のログの集約や要件11のファイル整合性監視ソフトに関してもソリューションの導入で乗り切った。代替コントロールに関しては要件3の部分など、複数の項目で適用している。
Version 1.2の継続となる2010年の審査でも同様の項目で代替コントロールを適用したが、新規のシステム投資などは特になく、準拠を果たしている。
「弊社は国内の決済代行事業者の中ではトップクラスの決済処理を行っているため、サーバの台数が多く、審査を担当したQSAからも大変でしたねと、ねぎらいのお言葉をいただきました」(田中氏)
Version 2.0の基準変更はプラスに?
次期システムでは仮想化を意識
2011年からはVersion2.0が適用されたが、「要件がより明確化されたため、格段に審査が厳しくなるという印象はない」と同社 取締役 システム本部 本部長 市田員史氏は話す。
「Vesion2.0では仮想化が明示的に認められましたが、次期システム構築の際はその辺りも考慮して検討を行う方針です」(市田氏)
トークナイゼーションなどの新技術の動向に関しても「既存システムに組み込み込んでどの程度効果があるかなど、費用対効果も含めて見極めが必要だと思います」と同社 システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏は説明する。
「PGマルチペイメントサービス」で
加盟店が安心して決済できる環境を
GMOペイメントゲートウェイではISMS、プライバシーマーク、PCI DSSを三本柱にして加盟店のカード情報を漏えいさせないために全社一丸となって取り組んできた。「PGマルチペイメントサービス」に加盟店がカード情報を保持しなくても決済処理が行える「カード情報非保持サービス」を標準装備する等に加えて、情報漏えいに関する社内の教育や啓蒙を積極的に実施している。
「弊社ではカード情報を加盟店様が保管しない『非保持』の提案を積極的に行っています。もし、加盟店様が自社でカード会員情報を処理する場合は、その際の注意点などもアドバイスさせていただいています」(市田氏)
最近では新規加盟店だけでなく、既存の取引先からも非保持への切り替えに関する問い合わせが増えているという。また、加盟店自身がPCI DSSの取得を検討するケースも出てきているそうだ。
同社では今後も決済代行事業者のリーディングカンパニーとしてPCI DSSを始めとするセキュリティ対策に取り組む方針だ。
