2010年7月15日 09:19

大手ISPのBIGLOBEがPCI DSSに完全準拠
取得に向けて既存システムから決済環境を完全分離

国内最大手のインターネットサービスプロバイダ(ISP)であるNECビッグローブは6月、VisaのAIS認証にPCI DSS Ver.1.2の認証を取得した。2008年10月から準拠に向けて着手。1年半にわたる準備の末、国内ISPの中ではいち早く準拠を果たした。

国際標準として自ら取得を決意

カード会員情報を既存のシステムから分離

NECビッグローブではBIGLOBE会員に向けた継続課金やコンテンツ課金などでクレジット決済を導入している。トランザクション件数も国際ブランドなどから、「レベル1に相当する可能性がある」とのコメントをもらうなど、膨大なものだ。

同社では大手ショッピングモールが準拠を発表した2008年から、PCI DSS取得の必要性を感じ準備を開始した。特に加盟店開拓を行うアクワイアラやQSA(認定セキュリティ評価機関)などから準拠要請があったわけではなく、自主的に取得を決意したという。

基盤システム本部 サービス運用管理グループ マネージャー 田仲一至氏

「これまで自分たちがセキュアに守ってきた環境にも自信がありましたし、カードセキュリティの国際基準として、外部監査機関からのお墨付きをもらえるようであればPCI DSSを取得したいと考えました」(基盤システム本部 サービス運用管理グループ マネージャー 田仲一至氏)

2008年10月に審査を依頼するQSA(認定セキュリティ評価機関)、コンサルティング会社を選定。システム部門や業務部門などから約45人のプロジェクトメンバーを結成した。

同社では自社でクレジットカードの決済処理を行っている。当然、機密情報として同社が定めた一番高いセキュリティレベルにクレジットカード情報は含まれていたが、その他の個人情報と同一のシステムで管理されていた。

「弊社の既存のシステムすべてをPCI DSSに対応させるか、カード会員情報のみを切り離すかの二者択一を迫られました。どちらも手間とコストがかかりますが、結果的にカード会員情報のみを既存のシステムから分離する形を取りました」(田仲氏)

自社システムと要件とのギャップに苦しむ

8つの要件で代替コントロールを適用

準備当初は、機器やシステムにかかるコストの試算も想像以上に高かったという。実際、「SIerなどから最初に提示された見積もりの金額は驚くほど高かったです」と田仲氏は笑う。それに加え、同社が考えるカードセキュリティに関する捉え方とPCI DSSの要件とのギャップに苦しんだ。

例えば、PCI DSSの要件1ではカード会員データを保護するためにファイアウォールをインストールして構成を維持することが求められている。しかし、同社のサーバはセキュアな構造として、重要なデータが外界と接しないようにフロント側で境界ホストを立ててセグメント分離をする設計になっているため、ファイアウォールを導入していない。取得準備当初はQSAから「ファイアウォールを導入しないと準拠できない」という説明を受け、対応に苦慮した。結果的には、同社システムの安全性は評価され、代替コントロールも適用していない。

代替コントロールを適用したのが要件3だ。同社では暗号キーは実装していたが、鍵を定期的に変更する要件で指摘を受けたという。

「弊社ではデータを暗号化するカギは簡単に変更することはできないと考えており、データベースを提供しているベンダーの見解も『毀損した場合のみ変更する』というものでした。弊社では鍵そのものを暗号化していますので、その鍵を交換することで対処できると考えていました」(田仲氏)

要件5のアンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する点も代替コントロールを適用した部分だ。同社の業務運用端末にはアンチウィルスソフトウェアがインストールされているが、サーバ本体には入っていないという。そのため、ウィルスのサーバへの侵入経路を調査し、フロント側で対処した。

要件6への対応では、NECグループ企業からWAFを導入。他社製品よりも安価だったことに加え、モジュール型のため、システム構成を変えずに入れられたことがメリットだったという。

要件11のファイル整合性監視のシステムも独自に追加。サーバに関するパッチの適用は自社で開発し、そこで重要なファイルの変更管理を行う仕組みを構築した。ネットワークのぺネトレーションテストは外部の業者に依頼。一方、アプリケーションのぺネトレーションテストはグループ内にテスト実施手順を定めている部隊があるため、その手順をQSAに確認して自社で診断している。

当初の想定よりも安価なコストで準拠を果たす

PCI DSS取得は営業面でもプラスに

結果的に8つの代替コントロールを適用し、1年半の期間を要したが、ISPのなかではいち早く準拠を果たした。メンバーの1人であるサービス開発部 クラウドテクノロジG マネージャーの根津光伸氏は、「弊社のやっていたことがPCI DSS取得により一般的に認められたことが一番大きかった」と成果を語る。最終的な投資コストに関しても、「自社で対応した部分などもあり、当初想定したよりは安価に抑えられた」という。

サービス開発部 クラウドテクノロジG マネージャーの根津光伸氏

ただ田仲氏は自らの取得経験から「弊社と同様の規模でビジネスをしているISPや通販会社などが対応するのは時間もコストもかかるのでは」との見解を示した。例えば、取得前に大規模なカード情報流出事故などを想定して決済処理システムを再構築していた企業であれば部分的なシステム追加や運用変更で対処できるかもしれないが、会員管理のシステムと決済システムが分離されておらず、また膨大な過去の決済記録を保存している会社が対応するのは非常に手間やコストがかかるという。

同社では今後、3カ月ごとに進捗状況を確認し、来年度もスムーズに準拠できる体制を整える。PCI DSSのバージョンが変更となる来年以降の審査では、仮想環境も視野に入れたシステム設計を考えていきたいとしている。同社では法人向けのホスティングやSIビジネスも展開しているが、PCI DSS取得後は問い合わせが増えるなど、営業面でもプラスに働いているそうだ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP