2011年1月25日8:00
大手ECサイト「DMM.com」運営のDMM.com社
システム委託先のDMM.comラボ社と共にPCI DSSに完全遵守
テレビでもおなじみのECサイト「DMM.com」を運営するDMM.com社では、関連システムを請け負う関連会社のDMM.comラボ社と共に2010年12月、PCI DSS Version1.2の認証を取得した。
レベル1の到達前に取得を決意
カード会員情報は自社で保持
DMM.com社では「DMM.com」の名称でDVDレンタル、動画配信、電子書籍、PC・ゲームソフト、ファッション、家電、オークション、フラッシュマーケティングなど、さまざまな事業を展開している。同社では2008年12月にVisaからAISプログラムの説明を受け、PCI DSSの取得に向けリサーチを開始した。2009年6月にはカード会社に年間の取引件数を確認。その際は2007年4月から2008年3月までの取引件数であり、年間100~600万件を処理するレベル2の認定だった。
「お陰さまで弊社のサイトの会員数は伸びており、売上高も右肩上がりのため、レベル1の到達が当時から見えていました。また、MasterCardやJCBブランドの取り扱い件数も含めればレベル1の件数は当時から超えていたため、2009年からPCI DSSの取得に向けたリサーチを開始し、同10月にプロジェクトチームを結成しました。なお、2010年12月のPCI DSS取得時点ではレベル1加盟店となっています」(DMM.com 戦略本部 マネージャー 信田治美氏)
PCI DSSでは業務委託先も含めた取得が求められている。DMM.com社ではDMM.comの企画や営業がメインの会社であり、システムやネットワーク、カスタマーサポートなど、業務の90%以上は関連会社のDMM.comラボ社に業務委託している。そのため、コンサルティングと審査を依頼したQSA(認定セキュリティ評価機関)からは、両社がPCI DSSに準拠する必要があるとの指摘を事前に受けた。
同社ではSBIベリトランスとソフィア総合研究所に決済処理を委託しているが、カード会員情報自体は自社で保有している。
「弊社では2004年11月からサイト運用を開始しており、そこから積み上げてきた会員も多く抱えています。カード決済に関するお問い合わせも24時間365日対応のカスタマーセンターで請け負っており、独自の不正検知システムも稼働しています。そのため、自社でカード会員情報を保持していないとお客様に対してのユーザビリティが落ちてしまいます」(信田氏)
PCI DSSの審査については、基本的にカード会員情報に関わる部分に関してはDMM.comラボ社に委託していたため、DMM.com社では要件12など、部分的な対応を満たせば準拠できた。
準拠後の負担が大きいパッチの適用とログの集約
代替コントロールは適用せず
一方、DMM.comラボ社では、PCI DSSの基準に基づいた大幅なシステム構築が必要となったという。まず審査対象範囲の特定の部分では、カード会員情報を既存のシステムと分離させなければならなかった。
「準拠前の状態ですと、システムが明確にセグメント化されておらず、カード会員情報と関係のない膨大な範囲が審査対象となっていましたので、システムを手直しし、カード会員情報だけ分離しました」(DMM.comラボ 制作管理部 マネージャー 前田和紀氏)
PCI DSSはカード会員情報を守るための基準だが、「そもそもカード番号は弊社システムの多岐にわたっていますので、複数の対応を並行して行わなければいけませんでした。そのため、審査までのスケジュールのコントロールが難しかったです」とDMM.comラボ システム部アプリケーションエンジニア 坂本寛樹氏は説明する。
PCI DSSの項目のなかで最も大変だったのが要件3の暗号化だ。同部分は準拠を果たした多くの企業が苦戦しているが、DMM.comラボ社では暗号化の仕組みを自社で開発することにより対応を行った。
「要件6.1のセキュリティパッチの適用については、準拠する直前に、弊社側で使っているプログラム言語のバージョンを上げなければいけなかったため、影響範囲が大きかったです。今後も定期的なパッチの適用は発生するので管理の大変さも痛感しました」(坂本氏)
要件6.6についてはWAF(Web Application Firewall)を導入。また要件10のログの集約や要件11のファイル整合性監視ソフトに関してもソリューションを導入している。坂本氏は、「ログについては今後の監視面で負担が大きい」と口にする。
なお、DMM.com社では2010年6月に対面型のレンタルショップをオープンしたため、同店舗におけるPOS決済については「自己問診」を行っている。
DMM.com社とDMM.comラボ社では予備審査などは実施せず、2010年12月にQSAによるオンサイトレビューを実施。結果的に、両社とも代替コントロールは適用せずに完全準拠を果たした。審査やコンサルティング、ソリューションにかかった費用は数千万円に達している。
「EC加盟店として早い段階でPCI DSSに対応したことは評価をいただいています。もちろん、ブランドなどから要請は受けていましたが、レベル2の段階でPCI DSSの準備を開始したところは少ないと思います」(信田氏)
加盟店より先にカード会社に準拠してほしい
2011年以降も審査は継続
信田氏は自らPCI DSSを取得した経験から、基準を国内で浸透させるためには、まずはカード会社から先に取得を進めてほしいと指摘する。
「PCI DSSの取得により、弊社の運用フローでは、現場がカード番号を取り扱わない状態になりましたが、やり取りするカード会社とカード番号のマスク桁数に差が生じました。そのため、カード番号のやり取りはSBIベリトランスに業務委託を行い、余計なコストが発生してしまいました。カード会社は加盟店に推進する立場なので、いち早くPCI DSSに対応してほしいと感じています」(信田氏)
DMM.com社とDMM.comラボ社では「2011年以降もPCI DSSの審査は継続していきたい」(DMM.com 戦略本部 町 隆幸氏)としている。次回の更新審査からは基準がVersion2.0となるが、大幅な変更はなく、ライフタイムサイクルが2年から3年に延長したこともプラスに働くと見ている。前田氏も、「PCI DSS取得に向けては、運用を考えた構築はしましたが、次回以降もブラッシュアップしていきたいです」と語ってくれた。
