2011年12月9日8:00
社内のメンバーを中心にコストを抑えてPCI DSSに完全準拠
セキュリティレベルの向上により、準拠後は営業面でもプラスに
決済代行事業者やコンサルティングサービスを展開するビリングシステムは、2010年11月にPCI DSS Version1.2に完全準拠した。同社では2011年11月にVersion2.0による更新審査を行い、2年連続で準拠を果たしている。
ペイメントカード情報は従来から集約
カード会員情報と関係ない部分のシステム対応に苦慮
ビリングシステムは、インターネットを利用した個人投資家の株式の売買、為替・金融先物取引に付随する銀行口座、証券口座間の資金移動を、リアルタイムでサポートする「クイック入金サービス」をはじめ、決済のASPサービスを提供している。決済手段としてもクレジットカードをはじめ、銀行、コンビニ決済など、幅広い方式をサポートしている。
「最近では、大手企業からPCI DSS準拠など、セキュリティに関するお問い合わせをいただくことが多くなってきました。また、弊社にとっても自社のセキュリティレベルを客観的に見極めるために準拠を決意しました」(ビリングシステム 取締役CTO兼システム本部長 高松広明氏)
同社では2009年からシステム部門を中心に準備を開始し、2010年11月にPCI DSS Version1.2に準拠した。準拠にかかった期間は約1年。既存のシステムをベースに、「コストをかけずに準拠することを意識して取り組んだため、コンサルティングは特に依頼せずに、自社のスタッフで対応を行いました」とシステム部 マネジャー 赤谷志朗氏は説明する。また、審査にかかるコストなどもなるべく抑えるように意識した。
同社ではPCI DSSの「要件とセキュリティ評価手順」に記載されている項目で、自社が対応できていないところをチェックしながら、システム対応を行った。システム部 マネジャー 七條純一氏は、「従来から一カ所のサーバにカード会員情報を集約していたため、比較的対応は行いやすかった」と説明する。また、一昨年からカード会員情報の保持が必要なサービスを提供しているが、基本的にはカード会員情報はデータベース上に残らないように設計していた。
「もともとカード会員情報については厳格な管理を行っていたため、準拠が大変だった部分は、カード会員情報と関係のない部分でした」(高松氏)
ログ管理を行うサーバを構築
代替コントロールは5箇所で適用
既存のシステムで準拠が難しい部分については、代替コントロールでの適用を踏まえ、対応に当たった。準拠に向けては、ログ管理を行うサーバを構築。また、要件3の暗号化部分など、代替コントロールを5箇所で適用している。
「弊社独自のシステムとして、内部セグメント(Trust)のネットワークから直接インターネットに接続している部分があります。一回通信が終わった後で返答を返す仕組みは基本的に、HTTP、HTTPSで行いますが、弊社では直接Trustからお客様に返しています。それをPCI DSSの要件に合わせるためにはDMZにプロキシ・サーバを導入する必要がありましたが、コストの問題もあり難しかったため、代替コントロールを適用しています」(高松氏)
Version2.0への変更により苦慮した点はそれほどない
仮想化への対応は今後の検討課題
2011年11月には、PCI DSS Version2.0の更新審査を行ったが、「1.2に比べ、要件自体にそれほど変化はありませんでした」とシステム部 尼子宏氏は説明する。審査時に指摘を受けた箇所もほとんどなく、代替コントロールも同じ箇所で適用している。むしろ、「セキュリティパッチの適用など、常日頃の運用面のほうが大変でした」と高松氏は打ち明ける。
PCI DSSの準拠により、営業の担当者もセキュリティに関するアピールを行いやすくなるなど、プラスに働く点も出てきているそうだ。
Version2.0からは、仮想環境下での利用も具体的に記載されているが、「仮想化は本番の環境では使っていませんので、今後の課題だと思います」と高松氏は話す。また、同社では、ISMSの認証も取得しており、同一の認証機関に審査を依頼しているという。
