2010年11月26日8:00
代替コントロールを適用せずに完全準拠を達成
強固なセキュリティを武器に大型加盟店の獲得を狙う
EC加盟店向けにクレジットカード、電子マネー、銀聯、Alipayなど、多彩な決済サービスを提供するインターネットペイメントサービス(IPS)では2010年10月18日、クレジットカード決済システムが「PCI DSS Ver.1.2」の認証を取得した。代替コントロールは適用せずに準拠を果たした同社の取り組みを追った。
取得に向けシステムを完全に刷新
PCI DSSの基準に合わせ機器を導入
インターネット・ペイメントサービス(IPS)がPCI DSS取得を意識したのは2009年春。アクワイアラからの指示は特になく、自主的に取得を決意した。
「弊社はこれまで中小規模の加盟店様を対象に決済システムを提供してきましたが、最近は大型加盟店様からの問い合わせも増えてきました。そのため、PCI DSSを取得して強固なセキュリティをアピールしたいと考えました」(インターネットペイメントサービス 取締役 営業本部長 中尾周平氏)
同社では審査を行う認定セキュリティ評価機関(QSA)、コンサルティングを委託するベンダーを選定し、2009年の夏から本格的な準備をスタートした。
「PCI DSSのバリデーションに合わせてシステムを完全に刷新しました。着手した当初はPCI DSS取得により、システムの運用面に制約がでてくる不安も正直ありました」(中尾氏)
まずはPCI DSSの「要件とセキュリティ評価手順」と自社のシステムとのギャップ分析からスタートし、新センターでの運用ルールを含め、システムの構築を行った。
「PCI DSSの対応は全社にまたがりますので、各部署で使用するサーバにカード情報が含まれていないかを調査しました。取得に向けてはカード会員情報を一カ所に集約し、ユーザー対応などのサポート部門は運用フローを大幅に変更しています」(中尾氏)
要件3の暗号鍵の管理方法は自社でつくり込んだ。要件6.1では重要なセキュリティ・パッチはリリース後1カ月、それ以外の重要度の低いパッチは3カ月以内に適用しなければならないが、「スーパーアナログで対応しており、今後の運用面は苦労すると思います」とシステム部 部長 田村信介氏は苦笑する。
要件6.6の対応に関してはゲートウェイタイプのWAF(Web Application Firewall)を導入。四半期に一度のセキュアコーディングと合わせて既知の脅威に対応する。要件9の物理的アクセスの制限に関してはICカードによる認証を行うことで強化した。
要件11に関しても変更管理の仕組みやログ収集ソフトなどを新規に導入。ログ収集ソフトについてはコストが高かったため、別の運用方法も検討したが、最終的に社員の運用の負荷を考え、導入を決意した。一方、変更管理ソフトについては、導入後の設定面で現在も苦労しているという。
取得を機にカード会社からの信頼も高まる
トランザクション件数の倍増が目標
同社では3月の終わりにQSAによる予備審査を実施。その段階では機器導入が行われていなかったが、指摘事項は3つほどだった。その後、8月に本審査を行い、10月に完全準拠を果たした。準拠にかかったコストは約8,000万円。PCI DSSの要件に合わせて社内のシステムをつくり込んでおり、代替コントロールは一切適用していない。
「QSAからも代替コントロールを活用せずに準拠を果たすケースは珍しいとお褒めの言葉をいただいています。社内的にもPCI DSSという言葉が頻繁に発せられることにより、今まで以上にカード情報を守らなければいけないという意識が生まれました。確かにコストはかかりましたが社員のモチベーションが高まりましたし、営業面でプラスになることは間違いありません」(経営管理本部 業務推進部 部長 石倉真奈氏)
来年度の審査に向けての課題は一にも二にも運用だ。「パッチの適用をはじめ、セキュリティレベルを維持したうえで運用面の負荷を如何に減らしていくかが今後の課題です」(田村氏)
カード会社にとってもPCI DSSを取得していることは決済代行事業者選定の1つのポイントとなっており、「PCI DSS準拠によりカード会社からの反応も良くなり、業界内での信頼を高めることができたのも大きなポイントでした」と同社 経営管理本部 業務推進部 岩佐祐美氏は成果を語る。
今後は、PCI DSSを取得した強固なセキュリティを武器に大型加盟店の獲得を狙う。中尾氏は最後に「現在、年間約200万件のトランザクションを少なくとも倍にしていきたい」と意気込みを語ってくれた。