2010年11月01日8:00
@niftyのクレジットカード決済システムが完全準拠
取得に向け既存のデータベースからカード会員情報を分離
大手インターネット・サービス・プロバイダのニフティは、同社が運営するインターネットサービス「@nifty(アット・ニフティ)」のクレジットカード決済システムが、ペイメントカードの国際基準である「PCI DSS Version 1.2」完全準拠を発表した。
会員数は1,000万人を超える
AISのバリデーションはレベル1
ニフティが運営する@niftyでは、ブロードバンド接続サービス、コンテンツやオンラインショッピングサービスなど、さまざまなサービスを提供している。同社がPCI DSS取得を意識したのは2008年。アクワイアラやブランドからの要請ではなく、自主的に取得を決意した。
「ISMSやJ-SOXなど、業界的な法律の施行が重なっていた時期だったこと、また、弊社のような大量のカード情報を処理している企業は、事実上取得が義務に近いこともあり、取得を決意しました」(ニフティ 執行役員CIO IT統括本部長 林一司氏)
@niftyの会員数は1,000万人を超え、月次課金のクレジットカード決済を行う利用者も多い。そのため、バリデーションはVisa AISのレベル1加盟店(年間600万件以上のカード処理)に入る想定で対応を開始した。
同社では2008年下期からPCI DSS取得に向けた準備に着手。2009年下期からPCI DSS基準対応のシステム構築を開始している。専任のスタッフは特に設けず、日常の業務をこなしながら約70人のメンバーが対応に携わった。また、他社のコンサルティングなどは受けずに、すべて自社のスタッフで準備にあたった。Visaではレベル1加盟店のAIS遵守期限を今年の9月末までに設定したが、「それに間に合わせるようにシステム構築を進めました」と林氏は説明する。
アカウントの管理やセキュリティパッチの適用で苦戦
要件11はソリューションの導入で対応
同社では以前よりカード会員情報などに対し独自のセキュリティ対策を実施していたが、PCI DSSに対応するために、システム的にも運用的にも大掛かりな変更が必要となった。同社では、取得に向け既存のデータベースからカード会員情報を分離。これに伴い、サービス利用者のクレジットカード決済入力画面やスタッフの業務フローが変更になった。
「カード会員情報を独立させたほうがコストを抑えることができ、スムーズに準拠ができると考えました。データベースを集約したことにより、お客様の閲覧ページや弊社スタッフの参照ページも変更になりましたので、アプリケーション、データベースやネットワークなどの各担当部門を取りまとめるのが大変でした」(ニフティ IT統括本部 セキュリティ・品質推進部 伊藤 求氏)
同社ではカード番号を取り扱う画面を集約。サービス利用者は同画面でのみカード番号を入力できるようにした。また、カード会員情報を閲覧できるスタッフの数も集約したという。
要件対応で一番ナーバスになったのはアカウントの管理だ。同社ではマルチユーザーのOSを使っている関係上、アドミニストレータ(情報システム、コンピュータシステムの運用管理、保守の担当者)は個別にアカウントを削除することができず、マルチユーザー化する部分が苦労したという。
要件1のファイアウォールはPCI DSSの基準に沿ったネットワークを構築した。要件 3 に関しては、データベースの暗号化オプションやファイル暗号化ソフトを使用して対応。また、要件6.1のセキュリティパッチの適用については、運用面での苦労が大きかったそうだ。
要件6.6については脆弱性診断を実施。この部分は「もともと社内の基準がありましたのでそれほど苦労はしませんでした」と伊藤氏は説明する。
要件11に関しても変更管理の仕組みやログ収集ソフトなどを導入することで乗り切った。「要件11の対応ソリューションはコスト負担も大きかったのですが、今回は準拠までの時間が勝負だったので、導入を決断しました」(伊藤氏)
取得に向け予備審査を2回実施
大切なのは取得ではなくセキュリティレベルの維持、向上
同社では準拠に向け予備審査を2009年3月、2010年3月の2回実施した。結果的に代替コントロールを複数の項目で適用したが8月16日付で完全準拠の認定を取得している。
「準拠に向け、それなりのコストはかかりましたが、世の中で要求されている基準を体験できたのは、自社の心構えとして大きかったです。ただ、大切なのは準拠するだけではなく、セキュリティのレベルを維持、向上させていくことだと考えています」(林氏)
伊藤氏は、日々の運用面の課題としてセキュリティパッチの適用を挙げている。また、次回以降の審査ではISMSとの合同審査も意識していきたいとしている。
同社では今後も経営の基本理念である「ニフティとなら、きっとかなう。With Us,You Can.」の考え方に基づき、ユーザーが安心して利用できる安全なネットワーク環境を提供すべく取り組んでいく方針だ。
