2010年9月8日8:30

ISMSとのブリッジ審査で国内初の初回同時取得
ホスティングサービス事業者のPCI DSS取得メリットとは?

ホスティングサービス事業者のエクシードは2010年2月、ISMSの認証とPCI DSS Ver.1.2の認証を同時に取得した。両審査を初回で同時に取得した事例は国内初となる。PCI DSSは加盟店や決済代行事業者を中心に取得が進められてきたが、国内のホスティング事業者が準拠した事例はそれほど多くはない。同社では今後、PCI DSSの取得を前面に打ち出したクラウドサービスの展開を視野に入れている。

PCI DSS準拠で新ビジネスの創出を狙う

準拠に向け機器やシステム投資を極力抑える

「弊社はお客様の資産をお預かりするホスティングサービスを展開しています。PCI DSSとISMSを同時に取得することで、お客様からの安心感を得ることにつながります。また、社内のセキュリティ意識の向上という意味でもプラスになると考えました」(エクシード CISO PM/コンサルティング・グループ 羽鳥充保氏)

CISO PM/コンサルティング・グループ 羽鳥充保氏

今後はサービスプロバイダや加盟店がデータセンターを利用する場合、委託先に対してPCI DSSの基準に準じた対応を求めるケースが増えると予想されている。その際にPCI DSSに準じた運用を行っている同社に委託すれば、サービスプロバイダや加盟店がスムーズにPCI DSSに準拠することが可能になる。同社ではホスティング事業者としていち早くPCI DSSに対応することで新たなビジネスの創出を狙っている。

エクシードはISMSとPCI DSS取得に向けた準備を2009年2月に開始。4名でプロジェクトを結成し、要件対応を進めた。ISMSに関してはドキュメントの整備が主体になったが、比較的スムーズに対応することができたという。一方、PCI DSSの場合は機器やソフトウェアなど、システム構築にかかるコストが課題となった。

「機器やシステムを如何に安く仕入れられるかを考えました。当初は1,800万円のコストがかかる想定でしたが、結果的には手づくりでつくり込むなどの工夫をしたため、200万円弱で設備投資を行うことができました。Linuxベースのシステム構築ができたのもコスト面でプラスに働きました」(エクシード システム技術部 テクニカル・オペレーション マネジャー苙口裕介氏)

カード会員情報の流れる経路やスコープは

事前にシミュレーションを実施

システム技術部 テクニカル・オペレーション マネジャー苙口裕介氏

同社ではこれまで、クレジットカードなどの情報を保管したケースはない。そのため、カード会員情報の流れる経路やスコープについては、事前にシミュレーションをして対象範囲を特定した。

「システム的に意識したのは現行のシステムをなるべくいじらないことです。その目的は十分に達成することができました」(苙口氏)

PCI DSSの各要件については、PCI SSCの「要件とセキュリティ評価手順」に記載されている文章の解釈が難しかったため、「コンサルティングの方の協力がなければ判断できない部分が多くありました」と同社 PM/コンサルティング・グループ 杉森貴博氏は当時の苦労を打ち明ける。

PM/コンサルティング・グループ 杉森貴博氏

ISMSは2009年の夏から秋にかけて、文書のレビューを実施。PCI DSSの準拠に向けては09年末までにシステムをつくり込んだ。新規システムとしてはネットワーク機器、ログ管理システム、IDS、指紋認証、Webカメラなどを導入。要件5のアンチウィルスソフトウェアの適用についてはオープンソース+スクリプトでカバーしている。

また、同社はホスティングベンダーという性質上、6.6項は脆弱性診断を実施したが、WAF(Web Application Firewall)の導入は見送った。そのほかにも対象外とした項目がいくつかあったという。

 

ブリッジ審査で労力を軽減

更新審査は12月に実施

ISMSとPCI DSSのブリッジ審査は2月に実施。初回審査のため、ISMSは二段階に分けて行った。まずISMSの文書審査を行い、その後PCI DSS、最後にISMSの残りの審査を実施した。

 「両審査を個別に受診するよりも、確実に社員の労力は短縮できています。複合だから苦労したという部分はありませんでした」(羽鳥氏)

結果として代替コントロールを暗号鍵の変更部分で1箇所適用したが、それ以外は大きな問題はなく、ISMSとPCI DSSの同時認証を取得した。

ISMSとPCI DSS更新審査は、PCI DSSが新バージョンになる都合上、Ver.1.2を適用できる今年12月に実施する予定である。PCI DSSがVer.2.0になる来年以降に向けては、同社が得意としているクラウド環境を意識した運用を行う方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP