2011年9月20日8:00

スーパーマーケット向けの共同利用センターでPCI DSSに完全準拠
加盟店に対し安全なシステムを提供し、将来的な準拠を後押し

エス・ビー・システムズは、国内最大規模のコーペラティブチェーンである「CGCグループ」の関連企業である。同社では、全国226社、3,687店舗(2011年9月現在)のCGCグループ加盟スーパーマーケットに向け、グループ共同利用型のASP決済処理センターのサービスを提供しているが、2011年6月にPCI DSS Version2.0に準拠を果たしている。

年間の決済トランザクションは数千万件に達する

運用規定やポリシーの策定と運用の徹底に労力をかける

スーパーマーケット向けの共同利用型ASP決済処理サービスを提供するエス・ビー・システムズ。CGCグループでは、トヨタファイナンスと提携したクレジットカード「CGCパワーカード」も発行しており、年間のクレジットカードの決済トランザクションは数千万件に及んでいる。同社では、決済関係のシステム受託を開始してから8年目となるが、「クレジットカード情報は年々増え続け、相当数のカード情報がデータセンターに残っていました」とエス・ビー・システムズ カード事業チーム 統括リーダー 尾花智樹氏は話す。同社では、トヨタファイナンスとビザ・ワールドワイドの勧めもあり、自主的にPCI DSSの準拠を決意したという。

カード事業チーム 統括リーダー 尾花智樹氏

実際の準備を開始したのは2010年7月。同社のカード事業チーム7人を中心に取り組んだ。まずは、セミナーなどに積極的に参加し、「要件とセキュリティ評価手順」に記載されている項目の理解を深め、自社のセキュリティシステムとのギャップ分析を行った。8月に適用範囲のスコーピングを実施。それと並行して書類関係の整備を行った。

当初は、取得にあたりコンサルティングを依頼することも考えたが、コストの負担などを考え、PCI DSSに準拠している外部委託先にアドバイスをもらいながら対応にあたった。

準備開始の時点では旧バージョンとなる 1.2を参考にしたが、9月末に新バージョンとなる2.0が発表された。同社では両要件を見定め、「1.2から特に問題となるような大きな変更点はなかった」(尾花氏)ため、2.0での準拠を選択。12月に予備審査を実施し、2011年2月から3月にかけて、システムの実装を行っている。

準拠に向けて課題となったのは対象範囲のスコーピングだ。従来のシステムでは、カード会員情報を保持しているデータセンターやコールセンターのみならず、事業所のクライアントシステムまで審査の対象となった。そのため、事業所からの漏えいリスクなどを考え、クライアントシステムではカード会員情報を参照できないように変更し審査対象から切り離した。

人的な面で苦労したのは、書類関係の整備である。「現状、弊社ではISMSを取得していないため、要件12の運用規定やポリシーの策定と運用体制の確立などは苦労しました」とカード事業チーム チーフ 安宅 航氏は打ち明ける。同社では、個人情報保護法をもとに社内規定を整備していたが、「今回のPCI DSSの審査では、将来的なISMSの取得を視野に規定類を作成しました」とカード事業チーム リーダー 鈴木義之氏は話す。

動画で操作イメージを録画できるツールにより要件10に対応

代替コントロールは3箇所で適用

システム面で課題となったのは要件10の「すべてのアクセス監視ログ取得」である。この部分は動画で操作イメージを録画できるツールを導入した。また、要件11のシステム不正変更時にアラートを出すシステムはパッケージを採用せず開発対応している。

カード事業チーム リーダー 鈴木義之氏

一方、要件3の暗号化に関しては、当初から機械的に暗号キーを変更していたため、ローテーションなどの面で苦労することはなかったという。

結果的に代替コントロールは、3箇所で適用した。まず、「スクリプト、ドライバ、機能、サブシステム、ファイルシステム、不要な Web サーバなど、不要な機能をすべて削除する」要件2.2.4では、「不要なサービスを削除する点で検証作業が必要だったため、物理的な制御で対応しました」と尾花氏は説明する。

また、要件5.1の「悪意のあるソフトウェアの影響を受けやすいすべてのシステム(特にパーソナルコンピュータとサーバ)に、アンチウィルスソフトウェアを導入する」点については、商用環境ではパフォーマンスと安定性の観点から導入が難しかったため、ネットワークでの制御に加え、例えばファイルを導入する際はその手前でウィルスチェックを行うなど、運用面でカバーした。「すべてのシステムコンポーネントの自動監査証跡を実装する」要件10.2については、動画録画の際、リモートアクセスサーバに入り操作する運用となっているが、オンサイト保守時の作業においてもリモートアクセスサーバ経由での作業となるよう運用体制を構築し、代替コントロールを適用した。

準拠にかけたコストは数千万円

今後はDRセンターの開設を検討へ

同社では2011年5月にQSA(認定セキュリティ評価機関)による訪問審査を受け、6月に細かい改善事項の是正を行い、6月末にPCI DSSの認証を取得した。

カード事業チーム チーフ 安宅 航氏

準拠に要したコストは数千万円と対応コストは高かったが、「加盟社様のカード会員情報を安全に運用するという責任は重く、自社のセキュリティレベルを客観的に図るうえで、プラスになりました」と尾花氏は捉えている。同社では、Webサイトや名刺、カタログなどに認定ロゴマークを掲載して、PCI DSSに準拠した安全なシステムであることをPRしている。

同社の加盟店の中には、年間100万件以上のカード取引があるレベル2に近い企業もあるため、「加盟社様が将来、PCI DSSに準拠する際は、多くの項目の対応が軽減できるメリットを享受していただけます」と尾花氏は期待する。

同社では来年以降も継続してPCI DSSの審査を受ける方針だ。また、災害時の対策を含めDR(ディザスタ・リカバリ)センターの開設を検討しているが、その際もPCI DSSの基準をベースに構築を行う考えだ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP