ソフトバンク・テクノロジー株式会社(2009年新規取得)

2010年5月14日  00:00
 
指摘事項は特になく完全準拠を達成
統制面の強化で大規模なシステム投資を抑える

ソフトバンク・テクノロジーは2009年12月、同社の「eBizエンタープライズECシステム」で、PCI DSS Ver.1.2の認定を取得し完全準拠した。eBizエンタープライズECシステムはコンシューマ向けのECフロントから、決済・受注・出荷・販売管理を含めたバックオフィスまでの、すべての環境構築、開発、運用までを提供するシステムである。

準拠の経緯は加盟店からの要請と内部統制の視点から

事前の予備調査は特になく準拠を果たす

PCI DSSの審査はISMSと同じ認証機関に依頼したが、事前の予備調査は特になく、同認証機関の審査では初となる、指摘事項なしでの取得となった。

eBizエンタープライズサービス事業部 システム部 部長 金坂栄子氏

そもそもソフトバンク・テクノロジーと決済ビジネスとのかかわりは古く、シマンテック公式オンラインストア「シマンテックストア」をはじめ、10年を超えるシステム構築や運用実績がある。以前はグループ会社向けに決済システムサービスの提供を行っていたため、ビザ・ワールドワイドの「AIS」の監査パスも取得している。

PCI DSS取得に向けて準備を進めたのは2年前。「準拠を目指した理由は加盟店サイドからの要請があったこと、また弊社自身、ISMSやプライバシーマークなどの内部統制を重視する社風があったためです」(ソフトバンク・テクノロジー eBizエンタープライズサービス事業部 システム部 部長 金坂栄子氏)

同社の別の事業部からコンサルティングを受ける

システムに要したコストは100万円程度

準拠に向けては6項目12要件の各項目と自社のシステムとの精査を1年かけて行った。要件と実装のギャップ分析などについては、同社のセキュリティ及びコンサルティングを担当する部門のコンサルティングを受け対応している。システムに要したコストは100万円程度で、一部、内部の伝送処理にSSHを導入したことなどを除いてはガイドライン策定や運用フローの改善などの整備面の強化の対応がほとんどだった。「結果的に大きなシステム投資はあまりなく、コンプライアンスで積み重ねた業務運用の部分でカバーするケースが多かった」と金坂氏は説明する。外部委託先としてPCI DSSの準拠企業であるソフトバンク・ペイメント・サービスが名を連ねていたたことも大きかった。

技術的な要件対応としては暗号化やアカウント管理の仕組みを構築した。機能的な実装だけではなく、実際に人手のオペレーションが発生するため、運用のルール化や整備が必要になった。

各要件のギャップ分析や脆弱性スキャニングサービスの実施に関してはセキュリティ及びコンサルティングを担当する部門のアドバイスが役立ったという。同社では脆弱性スキャニングサービスやペネトレーションテストを自ら実施しており、専用のツールでアプリケーションのスキャンを行った。なお、外部のスキャンサービスは「HACKER SAFE(ハッカー・セーフ)」を使用している。

アンチウィルスソフトウェアの適用はシマンテックやトレンドマイクロのものをすでに導入していたこと、文書管理はISMSでの実績や日本版SOX法でドキュメントの整備を行っていたため、比較的スムーズに対応することができたという。

代替コントロールを3要件で適用

要件3と8に関してはアクセスコントロールを強化

審査での指摘事項は特になかったが、準拠に向けては代替コントロールを3つの要件で適用した。

eBizエンタープライズサービス事業部 システム部 部長代行 峯 俊洋氏

まず要件3.4のデータの暗号化ではすべてのPANを読み取り不可にしなければならないが、「一部の暗号化されていないデータに関しては、サーバへの直接アクセスができない物理的制限、およびアクセス制御の徹底的な強化を図ることでカバーしています」とソフトバンク・テクノロジー eBizエンタープライズサービス事業部 システム部 部長代行 峯 俊洋氏は語る。要件8.4.aのパスワードファイルが伝送および保存中に読み取り不能であることを確認する点に関しても、アクセスコントロールを厳密にすることにより対応している。

3つめは要件8.5.8。同要件では、グループ、共有、または汎用のアカウントおよびパスワードを使用しないことが求められている。

「弊社には一部共通アカウントで管理されているサーバが存在するが、ネットワーク的な制限や、別の認証を経由しないとサーバまで到達できないアーキテクチャとなっており、完全に個人が特定できる認証の仕組みが担保できているということで代替コントロールが適用されました」(峯氏)

2010年の審査に向けては、データベースのバージョンを上げるなど、システム強化を図っていきたいとしている。ただ、あくまでもPCI DSSのためだけではなく、同社のeBizエンタープライズECシステムのセキュリティ強度を上げることを主眼に取り組む方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

PayBやWeChatPay/Alipay/ PayPay等のスマートフォン決済、ミニプログラム、 越境EC、リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

最強レベルのホワイトハッカーによるペネトレーション試験をお引き受けします。(決済ネットワーク、Webアプリ、決済ターミナル向け)(FIME JAPAN)
【8/26(水)開催】CREPiCO「ペイジー口座振替受付サービス」フィットネス・スポーツ業界向けWebセミナー(セイコーソリューションズ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP