2011年9月5日8:00

レベル1のインターネットサービスプロバイダ「So-net」がPCI DSS準拠
ISMS、プライバシーマークと統合したマネジメントマニュアルを作成

インターネットサービスプロバイダのソネットエンタテインメント(So-net) は、カードブランドのバリデーションでレベル1(Visa/MasterCardで年間600万件以上の取引)に該当する大型加盟店だ。同社では、2011年7月、ペイメントカードの国際セキュリティ基準であるPCI DSS Version2.0に完全準拠を果たした。

Version2.0の発行に合わせて準備を開始

2回の予備審査で準拠に備える

ソネットエンタテインメント(So-net)が、PCI DSSを意識したのは2009年。当時、通信販売や損保・保険会社などが保持しているカード情報が漏えいする事件が相次いで起こったため、「弊社としてもカード情報の取り扱いをより厳重に行う必要があり、そのためにはPCI DSSの準拠が必要だと考えました」とソネットエンタテインメント リスク管理部 リスク管理課 課長 佐々木功昌氏は説明する。ブランドやアクワイアラからの要請もあったが、自主的にPCI DSSへの準拠を決意した。

ソネットエンタテインメント リスク管理部 リスク管理課 課長 佐々木功昌氏

So-netにはリスク管理部にセキュリティ事務局があり、全社的なセキュリティのルールを取り決めている。PCI DSSの準拠に向けては、同事務局をはじめ、システム技術のスタッフ、会員の個人情報などの登録を行う部署、カスタマーサポートの4部門が関わっている。中心となったのはセキュリティ事務局4人とシステム技術2人で、コンサルティングなどは依頼せずに自社のスタッフで準拠に取り組んだ。

So-netでは、2010 年9 月のPCI DSS Version2.0の発行に合わせて準備を開始。これまでも、1999年に「プライバシーマーク」、2003年に「ISO/IEC27001:2005」および「JIS Q27001:2006」を取得するなど、同社ではセキュリティに関するさまざまな取り組みを行っている。2011年については、ISMSとPCI DSSの合同審査を行い、審査の負荷を軽減することを目指したため、両審査が同時にできるQSA(認定セキュリティ評価機関)を選定している。

Version 2.0の発表以降は、数多くのセミナーに参加し、情報を収集。また、要件の解釈に間違いがないように、慎重にドキュメントをチェックした。まずは自社の改善項目を明らかにするため、QSAによる予備審査を2010年10月に実施。2011年3月にも再度、予備審査を行い、5月の本審査に向け、綿密な準備を行った。

従来からカード情報などの個人情報を一元管理

CVSSスコア4.0未満を維持するための素早い対応が課題

準拠に向け、もっとも大変だったのは社内の規定を記した、マネジメントマニュアルの作成だ。

ソネットエンタテインメント 管理・業務部門 リスク管理部 リスク管理課 小山真平氏

「従来はISMSとプライバシーマークの社内規定は別々に作成していましたが、PCI DSSを含め、すべての基準を統合したマネジメントマニュアルを作成しました。結果的にこの作業が一番大変でした」(ソネットエンタテインメント 管理・業務部門 リスク管理部 リスク管理課 小山真平氏)

逆に数多くの加盟店が苦戦しているスコープを狭める作業に関しては、従来からカード情報などの個人情報を一元管理していたため、システムを入れ替えるなどの作業は発生しなかったという。

要件3の暗号化に関する要件については、QSAと予備審査の時点ですり合わせを行い、クリアした。要件6に関してはIPA(情報処理推進機構)の資料などを参考にしながら脆弱性検査を実施している。2011年7月以降は脆弱性を特定するプロセスにおいて、対象環境に応じたリスクランク付けのアプローチが要求されるようになっただけでなくCVSSスコア4.0未満を推奨と厳しくなったが、現時点ではクリアすることができた。CVSSスコアは変動するため、4.0未満を維持するよう如何に素早く対応するかが課題である。

「PCI DSSでは、四半期単位での脆弱性スキャンが必要となりますが、例えばキャンペーンサイトなどは毎月変更が必要になりますので、例えカード情報に関係のないサイトであってもしっかりと取り組んでいきたいです」(佐々木氏)

要件10、11への対応としては、IDS(侵入検知システム)を導入したが、東日本大震災により物流がストップしてしまったため、審査までのスケジュールがタイトになり、システム技術の担当者は苦労したそうだ。なお、要件11のログなどの改ざん検知の仕組みについては、別のプロジェクトで導入した機器に対応機能が備わっていたため、要件にあわせて適用している。

ISMSとPCI DSSの合同審査を5日で実施

審査の負荷を軽減しISMSはコストを削減

結果的に代替コントロールは数箇所適用したが、事前の準備を行っていたこともあり、比較的スムーズに準拠を果たすことができた。ISMSとPCI DSSの合同審査の成果も感じており、「昨年まではISMSの審査に3日間かかっていましたが、今年はISMSが5日、PCI DSSが4日の計5日で2チームに分かれて審査を行いました。結果的に、審査の負荷を軽減でき、ISMSの部分では昨年に比べてコストを削減できました」と小山氏は笑顔を見せる。

準拠に向けてのコストは数千万円かかったが、「PCI DSSにより、世界レベルのセキュリティを体感でき、自社のセキュリティレベルを高めるために必要な改善点が把握できました」と佐々木氏はメリットを口にする。

今後も継続的に審査を受診するが、課題としては脆弱性検査などのコストの低減を挙げる。また、同社の中はカード情報以外の個人情報も保持しているが、今後はPCI DSSの基準をベースに対象範囲を広げ、さらなるセキュリティの強化を図る狙いだ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP