2010年7月15日 09:19
大手ISPのBIGLOBEがPCI DSSに完全準拠
取得に向けて既存システムから決済環境を完全分離
国内最大手のインターネットサービスプロバイダ(ISP)であるNECビッグローブは6月、VisaのAIS認証にPCI DSS Ver.1.2の認証を取得した。2008年10月から準拠に向けて着手。1年半にわたる準備の末、国内ISPの中ではいち早く準拠を果たした。
国際標準として自ら取得を決意
カード会員情報を既存のシステムから分離
NECビッグローブではBIGLOBE会員に向けた継続課金やコンテンツ課金などでクレジット決済を導入している。トランザクション件数も国際ブランドなどから、「レベル1に相当する可能性がある」とのコメントをもらうなど、膨大なものだ。
同社では大手ショッピングモールが準拠を発表した2008年から、PCI DSS取得の必要性を感じ準備を開始した。特に加盟店開拓を行うアクワイアラやQSA(認定セキュリティ評価機関)などから準拠要請があったわけではなく、自主的に取得を決意したという。
「これまで自分たちがセキュアに守ってきた環境にも自信がありましたし、カードセキュリティの国際基準として、外部監査機関からのお墨付きをもらえるようであればPCI DSSを取得したいと考えました」(基盤システム本部 サービス運用管理グループ マネージャー 田仲一至氏)
2008年10月に審査を依頼するQSA(認定セキュリティ評価機関)、コンサルティング会社を選定。システム部門や業務部門などから約45人のプロジェクトメンバーを結成した。
同社では自社でクレジットカードの決済処理を行っている。当然、機密情報として同社が定めた一番高いセキュリティレベルにクレジットカード情報は含まれていたが、その他の個人情報と同一のシステムで管理されていた。
「弊社の既存のシステムすべてをPCI DSSに対応させるか、カード会員情報のみを切り離すかの二者択一を迫られました。どちらも手間とコストがかかりますが、結果的にカード会員情報のみを既存のシステムから分離する形を取りました」(田仲氏)
自社システムと要件とのギャップに苦しむ
8つの要件で代替コントロールを適用
準備当初は、機器やシステムにかかるコストの試算も想像以上に高かったという。実際、「SIerなどから最初に提示された見積もりの金額は驚くほど高かったです」と田仲氏は笑う。それに加え、同社が考えるカードセキュリティに関する捉え方とPCI DSSの要件とのギャップに苦しんだ。
例えば、PCI DSSの要件1ではカード会員データを保護するためにファイアウォールをインストールして構成を維持することが求められている。しかし、同社のサーバはセキュアな構造として、重要なデータが外界と接しないようにフロント側で境界ホストを立ててセグメント分離をする設計になっているため、ファイアウォールを導入していない。取得準備当初はQSAから「ファイアウォールを導入しないと準拠できない」という説明を受け、対応に苦慮した。結果的には、同社システムの安全性は評価され、代替コントロールも適用していない。
代替コントロールを適用したのが要件3だ。同社では暗号キーは実装していたが、鍵を定期的に変更する要件で指摘を受けたという。
「弊社ではデータを暗号化するカギは簡単に変更することはできないと考えており、データベースを提供しているベンダーの見解も『毀損した場合のみ変更する』というものでした。弊社では鍵そのものを暗号化していますので、その鍵を交換することで対処できると考えていました」(田仲氏)
要件5のアンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する点も代替コントロールを適用した部分だ。同社の業務運用端末にはアンチウィルスソフトウェアがインストールされているが、サーバ本体には入っていないという。そのため、ウィルスのサーバへの侵入経路を調査し、フロント側で対処した。
要件6への対応では、NECグループ企業からWAFを導入。他社製品よりも安価だったことに加え、モジュール型のため、システム構成を変えずに入れられたことがメリットだったという。
要件11のファイル整合性監視のシステムも独自に追加。サーバに関するパッチの適用は自社で開発し、そこで重要なファイルの変更管理を行う仕組みを構築した。ネットワークのぺネトレーションテストは外部の業者に依頼。一方、アプリケーションのぺネトレーションテストはグループ内にテスト実施手順を定めている部隊があるため、その手順をQSAに確認して自社で診断している。
当初の想定よりも安価なコストで準拠を果たす
PCI DSS取得は営業面でもプラスに
結果的に8つの代替コントロールを適用し、1年半の期間を要したが、ISPのなかではいち早く準拠を果たした。メンバーの1人であるサービス開発部 クラウドテクノロジG マネージャーの根津光伸氏は、「弊社のやっていたことがPCI DSS取得により一般的に認められたことが一番大きかった」と成果を語る。最終的な投資コストに関しても、「自社で対応した部分などもあり、当初想定したよりは安価に抑えられた」という。
ただ田仲氏は自らの取得経験から「弊社と同様の規模でビジネスをしているISPや通販会社などが対応するのは時間もコストもかかるのでは」との見解を示した。例えば、取得前に大規模なカード情報流出事故などを想定して決済処理システムを再構築していた企業であれば部分的なシステム追加や運用変更で対処できるかもしれないが、会員管理のシステムと決済システムが分離されておらず、また膨大な過去の決済記録を保存している会社が対応するのは非常に手間やコストがかかるという。
同社では今後、3カ月ごとに進捗状況を確認し、来年度もスムーズに準拠できる体制を整える。PCI DSSのバージョンが変更となる来年以降の審査では、仮想環境も視野に入れたシステム設計を考えていきたいとしている。同社では法人向けのホスティングやSIビジネスも展開しているが、PCI DSS取得後は問い合わせが増えるなど、営業面でもプラスに働いているそうだ。