2011年7月11日8:00

PCI DSSの準拠に2年かけて取り組む
準拠コストを抑え、長期的に運用費用がかからない仕組みを構築

ネットムーブは、インターネット決済の代行サービスを始め、Webサイト制作、セキュリティソリューションの提供などを行っている。同社は2年間かけて準拠に取り組み、2011年3月にPCI DSS Version1.2に完全遵守。長期的に運用費用がかからない仕組みを構築したという。

決済システムそのものをリニューアルし

加盟店側でカード番号を保持しない仕組みを構築

ネットムーブでは2009年から、PCI DSSの準拠に向けた準備を開始した。同社ではインターネットの決済代行サービスを提供しているが、近年、ECサイトからクレジットカードなどのカード会員情報が漏えいする事件を受け、加盟店から同社の決済サービスのセキュリティに対する質問を受けることも多くなったという。特にISMSの認証を取得した企業からの問い合わせが寄せられていた。また、国際ブランドからPCI DSS遵守の義務化に向けた期限がリリースされたことも引き金となった。

ネットムーブ 取締役 玉置敏光氏

「弊社のセキュリティに関する取り組みを客観的に説明する基準として、PCI DSSが分かりやすいこともあり、準拠を決意しました」(ネットムーブ 取締役 玉置敏光氏)

同社ではPCI DSSの準拠に向けて外部企業にコンサルティングを依頼し、審査を担当するQSA(認定セキュリティ評価機関)の紹介も受けた。そこから準拠までに約2年間を要している。

同社の決済システム自体、2000年から順次、サーバの増築を繰り返してきた。昨今、加盟店側でカード会員情報を保管しないサービスを求める企業が増えてきたため、準拠に向けては加盟店のカード番号を保管する仕組みを構築。同社の決済システムそのものもリニューアルした。

PCI DSSの要件の解釈に苦しむ

時間をかけて長期的に運用費用がかからない仕組みを目指す

準拠に向けて苦戦した部分はPCI DSSの要件の解釈とコストを抑えることである。

「PCI DSSの『要件とセキュリティ評価手順』に記載されている約250項目の内容の理解に苦しみました。どう解釈したらいいか分からない部分も多かったため、コンサルティングの方にアドバイスをいただきながら、対応を進めました」(玉置氏)

例えば、クレジットカード番号をデータベースに保管する場合、PCI DSSの基準では暗号化しなければならない。しかし、暗号化する場合には運用上支障が出る懸念があり、その際にカード番号を平文でとっておくための代替案のプランがなかなか立てられなかったという。

また、例えば要件6.6の対応ではWAF(Web Application Firewall)を導入するとコストがかさむ。そのため、脆弱性診断の実施を選択した。さらに、リニューアルに伴いログを集約できるシステムを新たに導入。要件11のファイル整合性監視についてもフリーソフトを導入し、コストを抑えている。

玉置氏は、「弊社のPCI DSS準拠は、全体的にコストとの戦いでした。PCI DSSの要件を満たすのはお金と時間をかければ可能かもしれませんが、弊社自身、薄利なトランザクションがベースのビジネスを展開しているため、そういうわけにはいきません。この2年間はコストをかけないで要件を満たすため、頭を悩ませました」と笑う。

多重防御で強固なセキュリティを構築するPCI DSSの仕組み自体の有効性は理解できたが、時間をかけて長期的に運用費用がかからない仕組みを目指したため、準拠までの道のりは長くなった。

2011年はVersion2.0の審査を検討

セキュリティソリューションをパッケージ化して提供へ

結果的に、「コストを抑え準拠するという目標は達成できました」と玉置氏は成果を語る。主にコストがかかった部分は脆弱性診断、QSAが実施する審査費用、コンサルティング費用で済んだという。

今回の審査は、Version2.0が有効になった後の2011年に実施したが、2009年から準備を行ってきたVersion1.2で準拠を果たした。年末には更新審査を迎えるが、Version2.0での審査を検討しているという。

同社では加盟店側のサーバにカード会員情報を残さないカード会員情報非保持のサービスを提供している。今後は、同システムを提供することによる決済の安全性を訴えるとともに、金融機関などで多数の実績を持つクライアントセキュリティ機能を装備したアンチウィルスソフトの「nProtect Netizen」をはじめとするセキュリティソリューションをパッケージ化し、加盟店に提案する方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP