株式会社デジタルガレージ イーコンテクストカンパニー(2009年更新審査)

2010年3月31日  15:25

外部委託利用でPCI DSS対策を効率的に実施

独自のサービス展開で加盟店との関係強化

決済代行会社のデジタルガレージ イーコンテクストカンパニーでは、日本初PayPalの決済導入に踏み切るなど、幅広い決済手段の取り扱いで注目されている。2009年12月にはPCI DSS Ver.1.2完全準拠し、セキュリティ面でもより充実した体制になった。

ペネトレーションテストは

効率を考え外部企業に委託

デジタルガレージ イーコンテクストカンパニーでは、2008年11月にPCI DSS Ver.1.1の完全準拠を取得し、2009年12月にはVer.1.2にも対応した。Ver.1.2の対応にあたっては、審査機関を変更。その理由についてシステム業務本部 システム部 部長・張替英明氏は「前回とは別の視点で審査を受けたいと考えたからです。また、ゆくゆくはISMSとの同時審査も考えており、その準備という意味もあります」と語っている。

上級執行役員 イーコンテクストカンパニー カンパニーディレクター兼営業本部長・酒井好孝氏
上級執行役員 イーコンテクストカンパニー カンパニーディレクター兼営業本部長・酒井好孝氏

Ver.1.2準拠への対応として今回もっとも留意した箇所は、要件11のペネトレーションテストの範囲が広がった点について。

「もともと、要件5のアンチウイルスソフトウエアについても、要件4の無線LANの件についても、昨年の時点ですでに対応が済んでいました。ペネトレーションテストについては準備期間と人手が必要なため、内部、外部ともに委託先にお願いしました」(上級執行役員 イーコンテクストカンパニー カンパニーディレクター兼営業本部長・酒井好孝氏)

その分コストはかさんだが、総計としては前回と同じ程度だったという。

「前回は、要件11の対応として『TripWire Enterprise』を導入しました。今回はその分がペネトレーションテストにかかったという計算です」(酒井氏)

今後はシステムだけでなく

対応機器の選定などにも配慮

セキュリティパッチに関しては通常の運用で最新のものを適用していたため、問題はなかったという。要件3.4の暗号キーに関しては、アクセス・コントロールという形を、6.6については、脆弱性検査で実施した。

「来年は、WAFを導入する予定です。PCI DSSのためというよりは、セキュリティ強度を上げる意味合いが強いです。ちょうど機器交換のタイミングとも合致していたので、WAF機能がついたものにリプレイスする予定です」(張替氏)

予備審査も実施していたため特に混乱はなかったが、Ver.1.2に関してはサンプリングの粒度が細かくなったと感じているという。

「対象機器が増えたことはもちろん、実際のログや運用データの確認などが前回よりもかなり詳細に行われました」(張替氏)

今後の対応としては、システムはもちろん、ハード部分での対応の配慮をあげる。

「内部のぺネストレーションテストでは、アプライアンス製品などの外部からは見えない部分で脆弱性が指摘されることがあります。セキュリティのために導入している製品でも、スキャンでひっかかることがある。機器交換のタイミングで、そのあたりはよく選定していかなければいけないと思っています」(酒井氏)

加盟店にはカード情報非保持を推奨

新たなサービス提供も視野に

毎年実施されるPCI DSS審査に、業界内ではシステム改修にかかるコストが負担になっている声も聞くが、酒井氏は「お客様のカード情報を扱っている以上、セキュリティに対する考え方は常に厳しくなければいけない」と言う。PCI DSSの考え方としては納得がいく部分が多く、準拠できないのは問題だというのだ。クレジットカード決済だけでなく、さまざまな手段で広く決済代行を取り扱う同社ならではの姿勢だろう。

システム業務本部 システム部 部長・張替英明
システム業務本部 システム部 部長・張替英明氏

また、同社ではカード不正使用時の保障制度としてなりすまし保険を付帯するなど、加盟店などへのサポートも積極的に行っているが、今後はやはり、カード情報非保持を推奨していく考えだ。

「加盟店様への営業時にもなるべくカード情報を持たないようご案内もしていますが、最近では加盟店様側から、なるべくなら持ちたくないという声もよく聞くようになしました。今後は機器交換などのタイミングで、順次システムを切り替えていく予定です」(張替氏)

同社は、2009年に日本で初めてPayPal決済を導入したほか、中国、韓国企業とともに、日・中・韓にまたがる国際決済アライアンス「ONE PAYMENT ALLIANCE(ワン・ペイメント・アライアンス)」にも参加している。さらに近々、加盟店に向けた独自のサービスも開始予定だという。加盟店との強固な信頼関係を築くためにセキュリティ強化にも力をいれることは、両者にとって大きなメリットになるに違いない。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP