ソフトバンク・テクノロジーは2009年12月、同社の「eBizエンタープライズECシステム」で、PCI DSS Ver.1.2の認定を取得し完全準拠した。eBizエンタープライズECシステムはコンシューマ向けのECフロントから、決済・受注・出荷・販売管理を含めたバックオフィスまでの、すべての環境構築、開発、運用までを提供するシステムである。
準拠の経緯は加盟店からの要請と内部統制の視点から
事前の予備調査は特になく準拠を果たす
PCI DSSの審査はISMSと同じ認証機関に依頼したが、事前の予備調査は特になく、同認証機関の審査では初となる、指摘事項なしでの取得となった。
そもそもソフトバンク・テクノロジーと決済ビジネスとのかかわりは古く、シマンテック公式オンラインストア「シマンテックストア」をはじめ、10年を超えるシステム構築や運用実績がある。以前はグループ会社向けに決済システムサービスの提供を行っていたため、ビザ・ワールドワイドの「AIS」の監査パスも取得している。
PCI DSS取得に向けて準備を進めたのは2年前。「準拠を目指した理由は加盟店サイドからの要請があったこと、また弊社自身、ISMSやプライバシーマークなどの内部統制を重視する社風があったためです」(ソフトバンク・テクノロジー eBizエンタープライズサービス事業部 システム部 部長 金坂栄子氏)
同社の別の事業部からコンサルティングを受ける
システムに要したコストは100万円程度
準拠に向けては6項目12要件の各項目と自社のシステムとの精査を1年かけて行った。要件と実装のギャップ分析などについては、同社のセキュリティ及びコンサルティングを担当する部門のコンサルティングを受け対応している。システムに要したコストは100万円程度で、一部、内部の伝送処理にSSHを導入したことなどを除いてはガイドライン策定や運用フローの改善などの整備面の強化の対応がほとんどだった。「結果的に大きなシステム投資はあまりなく、コンプライアンスで積み重ねた業務運用の部分でカバーするケースが多かった」と金坂氏は説明する。外部委託先としてPCI DSSの準拠企業であるソフトバンク・ペイメント・サービスが名を連ねていたたことも大きかった。
技術的な要件対応としては暗号化やアカウント管理の仕組みを構築した。機能的な実装だけではなく、実際に人手のオペレーションが発生するため、運用のルール化や整備が必要になった。
各要件のギャップ分析や脆弱性スキャニングサービスの実施に関してはセキュリティ及びコンサルティングを担当する部門のアドバイスが役立ったという。同社では脆弱性スキャニングサービスやペネトレーションテストを自ら実施しており、専用のツールでアプリケーションのスキャンを行った。なお、外部のスキャンサービスは「HACKER SAFE(ハッカー・セーフ)」を使用している。
アンチウィルスソフトウェアの適用はシマンテックやトレンドマイクロのものをすでに導入していたこと、文書管理はISMSでの実績や日本版SOX法でドキュメントの整備を行っていたため、比較的スムーズに対応することができたという。
代替コントロールを3要件で適用
要件3と8に関してはアクセスコントロールを強化
審査での指摘事項は特になかったが、準拠に向けては代替コントロールを3つの要件で適用した。
まず要件3.4のデータの暗号化ではすべてのPANを読み取り不可にしなければならないが、「一部の暗号化されていないデータに関しては、サーバへの直接アクセスができない物理的制限、およびアクセス制御の徹底的な強化を図ることでカバーしています」とソフトバンク・テクノロジー eBizエンタープライズサービス事業部 システム部 部長代行 峯 俊洋氏は語る。要件8.4.aのパスワードファイルが伝送および保存中に読み取り不能であることを確認する点に関しても、アクセスコントロールを厳密にすることにより対応している。
3つめは要件8.5.8。同要件では、グループ、共有、または汎用のアカウントおよびパスワードを使用しないことが求められている。
「弊社には一部共通アカウントで管理されているサーバが存在するが、ネットワーク的な制限や、別の認証を経由しないとサーバまで到達できないアーキテクチャとなっており、完全に個人が特定できる認証の仕組みが担保できているということで代替コントロールが適用されました」(峯氏)
2010年の審査に向けては、データベースのバージョンを上げるなど、システム強化を図っていきたいとしている。ただ、あくまでもPCI DSSのためだけではなく、同社のeBizエンタープライズECシステムのセキュリティ強度を上げることを主眼に取り組む方針だ。
