2012年2月21日8:00
システムのリニューアルを機にPCI DSSに準拠したシステムを構築
ITに強い決済代行事業者として強固なセキュリティを確保
2008年設立のイーペイメントは、クレジットカード決済に加え、銀行振込、電子マネーなど、豊富な決済手段を加盟店に提供している。同社では、システムのリニューアルを機にPCI DSSに対応したシステムを構築し、2011年9月、PCI DSS Version2.0に完全準拠した。
設立から3年目でPCI DSSに準拠
顧客ニーズに対してスピーディーに応えられる高品質なシステムを自社で構築
イーペイメントでは、決済代行事業者として実績を重ねていく中、同業他社からグローバルなセキュリティ基準としてPCI DSSの準拠の必要性を聞き、1年半前から準備に取り掛かった。
「弊社は設立から3年目の決済代行事業者ですが、クライアントの増加とともに、トランザクション数も伸びているため、早期に準拠しないとシステム対応も含めて大変になることもあり、リニューアルを機に準拠を決意しました」(イーペイメント 代表取締役 田村浩一郎氏)
昨今、決済代行事業者は乱立しており、加盟店からみた差別化が難しくなっている状態だが、イーペイメントの1つの強みとして、田村氏は「ITに強い人間を抱えている点」を挙げる。その言葉通り、PCI DSSの準拠に向け、各要件に対応したシステムは自社でつくり込んだ。
準拠に向けてはシステム部門が中心となり、要件対応を行った。PCI DSSの基準では、同社内部のサーバや決済アプリケーションだけではなく、加盟店やカード会社などとの接続ラインに対しても厳しい基準が設けられている。
「サーバの構成や実際のアプリケーション、データベースの配置などを含めてPCI DSSの準拠を意識してシステムをつくり込みました。要件と照らし合わせながら漏れがないように対応を行っています」(取締役 CTO 板倉史門氏)
仮想化プラットフォームでホスト側のセキュリティを担保
PCI DSSの要件に合わせ暗号化や改ざん検知の仕組みも構築
同社では、PCI DSSに準拠しているホスティング事業者の協力を得て、仮想化プラットフォームの中で、ホスト側のセキュリティを担保している。数多くの準拠企業が苦戦する要件3の暗号化の仕組みも新たに構築したため、それほど苦にはならなかったそうだ。また、ログを統合して管理する要件10や、システムの改ざんを検知する要件11については、自前でスクリプトを組んでいる。
要件6.6については、脆弱性検査を実施。Version2.0からは、脆弱性診断において、OSの対象環境に応じたリスクランク付けのアプローチが要求されたが、「基本的にはOS系を含め、利用しているサービスがそれほど多くはなかったので、CVSSランクを参考にしながらパッチを当てています。今回は社内の判断で運用しましたが、次回の審査以降はQSAの見る目も厳しくなると思います」と板倉氏は説明する。
また、要件12の情報セキュリティの整備については、コンサルティングを依頼した企業の協力を得て、ポリシーを策定した。
指摘事項はほとんどなく完全準拠を達成
今後は新サービスを続々とリリースへ
結果的に代替コントロールをほとんど適用せずに準拠を果たした。予備審査は実施せず、QSA(認定セキュリティ評価機関)との協議もほとんどなかったそうだ。準拠に向けての労力は想像以上にかかったというが、「セキュリティパッチの適用や変更管理の手順や運用については、審査後のほうが大変です」と板倉氏は継続的な運用の必要性を述べる。
結果的に、PCI DSS準拠にかけたコストは、安くはなかったが想定の範囲内に収まったそうだ。
「弊社は自社でシステムを構築しており、専用の仮想環境で運用しています。外注はほとんどなかったため、他社に比べるとコストを抑えることができました」(田村氏)
取締役CMO 川野陽祐氏は、「弊社は決済代行事業者として後発組ですが、PCI DSSにより従来の営業力とフットワークの軽さに加え、セキュリティ面でもお客様にPRすることが可能となりました」と笑顔を見せる。また、営業の大下晃氏も「これを機に、さらにお客様の満足度を高めていきたい」と意気込みを語る。
最後に田村氏は、「今後は企業としてのブランディングが大切になります。信頼性と成長性を併せ持つITに特化した決済代行事業者として、決済に関連する新たなサービスを続々とリリースする予定です」と力強く語った。
