2010年11月01日8:00

@niftyのクレジットカード決済システムが完全準拠
取得に向け既存のデータベースからカード会員情報を分離

大手インターネット・サービス・プロバイダのニフティは、同社が運営するインターネットサービス「@nifty(アット・ニフティ)」のクレジットカード決済システムが、ペイメントカードの国際基準である「PCI DSS Version 1.2」完全準拠を発表した。

会員数は1,000万人を超える

AISのバリデーションはレベル1

ニフティが運営する@niftyでは、ブロードバンド接続サービス、コンテンツやオンラインショッピングサービスなど、さまざまなサービスを提供している。同社がPCI DSS取得を意識したのは2008年。アクワイアラやブランドからの要請ではなく、自主的に取得を決意した。

ニフティ 執行役員CIO IT統括本部長 林一司氏

「ISMSやJ-SOXなど、業界的な法律の施行が重なっていた時期だったこと、また、弊社のような大量のカード情報を処理している企業は、事実上取得が義務に近いこともあり、取得を決意しました」(ニフティ 執行役員CIO IT統括本部長 林一司氏)

@niftyの会員数は1,000万人を超え、月次課金のクレジットカード決済を行う利用者も多い。そのため、バリデーションはVisa AISのレベル1加盟店(年間600万件以上のカード処理)に入る想定で対応を開始した。

同社では2008年下期からPCI DSS取得に向けた準備に着手。2009年下期からPCI DSS基準対応のシステム構築を開始している。専任のスタッフは特に設けず、日常の業務をこなしながら約70人のメンバーが対応に携わった。また、他社のコンサルティングなどは受けずに、すべて自社のスタッフで準備にあたった。Visaではレベル1加盟店のAIS遵守期限を今年の9月末までに設定したが、「それに間に合わせるようにシステム構築を進めました」と林氏は説明する。

アカウントの管理やセキュリティパッチの適用で苦戦

要件11はソリューションの導入で対応

同社では以前よりカード会員情報などに対し独自のセキュリティ対策を実施していたが、PCI DSSに対応するために、システム的にも運用的にも大掛かりな変更が必要となった。同社では、取得に向け既存のデータベースからカード会員情報を分離。これに伴い、サービス利用者のクレジットカード決済入力画面やスタッフの業務フローが変更になった。

「カード会員情報を独立させたほうがコストを抑えることができ、スムーズに準拠ができると考えました。データベースを集約したことにより、お客様の閲覧ページや弊社スタッフの参照ページも変更になりましたので、アプリケーション、データベースやネットワークなどの各担当部門を取りまとめるのが大変でした」(ニフティ IT統括本部 セキュリティ・品質推進部 伊藤 求氏)

IT統括本部 セキュリティ・品質推進部 伊藤 求氏

同社ではカード番号を取り扱う画面を集約。サービス利用者は同画面でのみカード番号を入力できるようにした。また、カード会員情報を閲覧できるスタッフの数も集約したという。

要件対応で一番ナーバスになったのはアカウントの管理だ。同社ではマルチユーザーのOSを使っている関係上、アドミニストレータ(情報システム、コンピュータシステムの運用管理、保守の担当者)は個別にアカウントを削除することができず、マルチユーザー化する部分が苦労したという。

要件1のファイアウォールはPCI DSSの基準に沿ったネットワークを構築した。要件 3 に関しては、データベースの暗号化オプションやファイル暗号化ソフトを使用して対応。また、要件6.1のセキュリティパッチの適用については、運用面での苦労が大きかったそうだ。
要件6.6については脆弱性診断を実施。この部分は「もともと社内の基準がありましたのでそれほど苦労はしませんでした」と伊藤氏は説明する。

要件11に関しても変更管理の仕組みやログ収集ソフトなどを導入することで乗り切った。「要件11の対応ソリューションはコスト負担も大きかったのですが、今回は準拠までの時間が勝負だったので、導入を決断しました」(伊藤氏)

取得に向け予備審査を2回実施

大切なのは取得ではなくセキュリティレベルの維持、向上

同社では準拠に向け予備審査を2009年3月、2010年3月の2回実施した。結果的に代替コントロールを複数の項目で適用したが8月16日付で完全準拠の認定を取得している。

「準拠に向け、それなりのコストはかかりましたが、世の中で要求されている基準を体験できたのは、自社の心構えとして大きかったです。ただ、大切なのは準拠するだけではなく、セキュリティのレベルを維持、向上させていくことだと考えています」(林氏)

伊藤氏は、日々の運用面の課題としてセキュリティパッチの適用を挙げている。また、次回以降の審査ではISMSとの合同審査も意識していきたいとしている。

同社では今後も経営の基本理念である「ニフティとなら、きっとかなう。With Us,You Can.」の考え方に基づき、ユーザーが安心して利用できる安全なネットワーク環境を提供すべく取り組んでいく方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP