同時審査のメリットは
工数・日数の短縮とコスト減
ソフトバンク・ペイメント・サービスでは、PCI DSS Ver.1.1に引き続き、Ver.1.2でもISMSとの同時審査を行った。同時審査のきっかけは、同社の審査を担当するQSA(認定審査機関)からの提案だったというが、同社でも十分にそのメリットを感じている。
「最大のメリットは、やはり工数の短縮ですね。別々に行っていた時はそれぞれ4日ずつかけていましたから、単純計算いうと8日間になる計算です。それが、トータル4.5日間で済むので、それだけ本来の業務に支障をきたす恐れが少ないということがいえます。それに加えて、コストダウンという利点もあります。ゆくゆくは、Pマークとの3種同時審査も実現していただきたいと思っています」(情報セキュリティ管理室 室長・柳沢浩治氏)
同社では設立時からカード情報を保有することに対してのセキュリティ・ポリシーを確立し、徹底して管理を行ってきた。各種審査の基準の背景を理解した上であらかじめ環境を構築しているため、基準の変更部分には改修をする程度で済むという。さらに、同社ではセキュリティに関する専門部署があり、各種審査の際はその部署が対応を行っている。
暗号化、データ監視などは
独自の対応方法のため、説明時に苦慮
柳沢氏によれば、PCI DSS Ver.1.2では、審査の範囲よりもむしろ、レギュレーションの基準が上がったという印象が強いという。 「例えば、より具体的になったのが、無線LANのアクセスポイントの証跡やログの保管期限の延長など。特に証跡については、そこまで求められるとは考えていなかった部分までかなり細かく審査されました」
また、同社のシステムが独自の対応方式を実装していたために苦慮した部分もいくつかある。
「例えば、要件3.5について。PCI DSS基準によれば暗号化キーがデータ暗号化キーとは別個に保存されていることになっていますが、弊社の場合、暗号化に独自のシステムを使用しているため、要件そのままを適用させることはできませんでした。また、10.5.5のファイル整合性監視または変更検出ソフトウェアを使用して、既存のログデータを変更すると警告が生成されるようにするという部分に関しては、弊社では以前から24時間365日体制で手動でのチェック体制を行っています。『ソフトウェアを使用して』という規定が厳密になるのであれば、今後、何らのソリューションを導入することも考えなくてはいけません」(柳沢氏)
セキュリティ・ポリシーやノウハウの共有で
自社、加盟店ともに安全な体制をつくる
同社では今後、加盟店への啓蒙活動という意味もこめて、新しいアプローチを考えているという。
「PCI DSSの認知度が高まるにあたり、関心を持たれる加盟店様も増えてきたようです。しかしPCI DSS対策という観点だけでいうと、コスト的にも人的作業としても割に合わないと懸念することも多いのが事実です。私たち自身も、審査のためということではなくセキュリティを高めるということを目的において、ポリシーやノウハウを共有していきたいと思っています。そうすることによって結果的には、弊社に決済代行を任せていただいている加盟店様、そこを利用されたお客様すべてが安全な状態になるという環境を目指しています」(取締役COO兼CISO 巣立和彦氏)
また、今年の秋に発表される次期バージョン以降、審査を受ける加盟店が多くなることも見込まれるが、それに関しての準備も怠らない。
巣立氏によれば、「加盟店様の審査にあたっては弊社の体制が問われる部分もでてきます。そのたびに問い合わせやデータ提出など、弊社の業務に影響が出るのは避けたいところです。必要なデータはあらかじめ配布しておくなど、監査を受ける仕組みづくりを弊社で整えていくことも考えています」とのこと。これまで以上に「情報セキュリティ管理室」の重要性が高まりそうだ。
