2010年3月31日 15:25
外部委託利用でPCI DSS対策を効率的に実施
独自のサービス展開で加盟店との関係強化
決済代行会社のデジタルガレージ イーコンテクストカンパニーでは、日本初PayPalの決済導入に踏み切るなど、幅広い決済手段の取り扱いで注目されている。2009年12月にはPCI DSS Ver.1.2完全準拠し、セキュリティ面でもより充実した体制になった。
ペネトレーションテストは
効率を考え外部企業に委託
デジタルガレージ イーコンテクストカンパニーでは、2008年11月にPCI DSS Ver.1.1の完全準拠を取得し、2009年12月にはVer.1.2にも対応した。Ver.1.2の対応にあたっては、審査機関を変更。その理由についてシステム業務本部 システム部 部長・張替英明氏は「前回とは別の視点で審査を受けたいと考えたからです。また、ゆくゆくはISMSとの同時審査も考えており、その準備という意味もあります」と語っている。
Ver.1.2準拠への対応として今回もっとも留意した箇所は、要件11のペネトレーションテストの範囲が広がった点について。
「もともと、要件5のアンチウイルスソフトウエアについても、要件4の無線LANの件についても、昨年の時点ですでに対応が済んでいました。ペネトレーションテストについては準備期間と人手が必要なため、内部、外部ともに委託先にお願いしました」(上級執行役員 イーコンテクストカンパニー カンパニーディレクター兼営業本部長・酒井好孝氏)
その分コストはかさんだが、総計としては前回と同じ程度だったという。
「前回は、要件11の対応として『TripWire Enterprise』を導入しました。今回はその分がペネトレーションテストにかかったという計算です」(酒井氏)
今後はシステムだけでなく
対応機器の選定などにも配慮
セキュリティパッチに関しては通常の運用で最新のものを適用していたため、問題はなかったという。要件3.4の暗号キーに関しては、アクセス・コントロールという形を、6.6については、脆弱性検査で実施した。
「来年は、WAFを導入する予定です。PCI DSSのためというよりは、セキュリティ強度を上げる意味合いが強いです。ちょうど機器交換のタイミングとも合致していたので、WAF機能がついたものにリプレイスする予定です」(張替氏)
予備審査も実施していたため特に混乱はなかったが、Ver.1.2に関してはサンプリングの粒度が細かくなったと感じているという。
「対象機器が増えたことはもちろん、実際のログや運用データの確認などが前回よりもかなり詳細に行われました」(張替氏)
今後の対応としては、システムはもちろん、ハード部分での対応の配慮をあげる。
「内部のぺネストレーションテストでは、アプライアンス製品などの外部からは見えない部分で脆弱性が指摘されることがあります。セキュリティのために導入している製品でも、スキャンでひっかかることがある。機器交換のタイミングで、そのあたりはよく選定していかなければいけないと思っています」(酒井氏)
加盟店にはカード情報非保持を推奨
新たなサービス提供も視野に
毎年実施されるPCI DSS審査に、業界内ではシステム改修にかかるコストが負担になっている声も聞くが、酒井氏は「お客様のカード情報を扱っている以上、セキュリティに対する考え方は常に厳しくなければいけない」と言う。PCI DSSの考え方としては納得がいく部分が多く、準拠できないのは問題だというのだ。クレジットカード決済だけでなく、さまざまな手段で広く決済代行を取り扱う同社ならではの姿勢だろう。
また、同社ではカード不正使用時の保障制度としてなりすまし保険を付帯するなど、加盟店などへのサポートも積極的に行っているが、今後はやはり、カード情報非保持を推奨していく考えだ。
「加盟店様への営業時にもなるべくカード情報を持たないようご案内もしていますが、最近では加盟店様側から、なるべくなら持ちたくないという声もよく聞くようになしました。今後は機器交換などのタイミングで、順次システムを切り替えていく予定です」(張替氏)
同社は、2009年に日本で初めてPayPal決済を導入したほか、中国、韓国企業とともに、日・中・韓にまたがる国際決済アライアンス「ONE PAYMENT ALLIANCE(ワン・ペイメント・アライアンス)」にも参加している。さらに近々、加盟店に向けた独自のサービスも開始予定だという。加盟店との強固な信頼関係を築くためにセキュリティ強化にも力をいれることは、両者にとって大きなメリットになるに違いない。
