ソーシャルで集金決済~資金を効率的に集める決済方法(NCBレポート2012年5月号)
書籍「NFCビジネス完全ガイド」好評受付中、5月末までは先行特典を実施
書籍「PCI DSSのすべて」~初心者でもわかるペイメントカードの世界基準~
「中国ビジネスレポート」をスペシャルプライスで提供
New Payment Report 2011 電子版の販売を開始(NCB)
カードマーケティングガイド~ポイントカード・ICカードの動向を完全網羅~PCI DSS Version2.0準拠企業に聞く(8)~ソフトバンク・ペイメント・サービス
2012年3月2日8:00
PCI DSSへの遵守について加盟店からの問い合わせが増加
2012年はリスクのランク分けを割り当てるためのプロセスの確立が課題に
決済代行事業者のソフトバンク・ペイメント・サービス(SBPS)は、2008年から継続してPCI DSSに準拠している。2011年は新バージョンのVersion2.0とVersion1.2.1のいずれかを選択できたが、要件自体に大きな変更はなかったため、2.0での審査を選択した。
リスクランクの正式なプロセスは当年度の対象から外す
事前にVersion2.0の変更箇所についてQSAと確認
Version2.0の審査に向け、最大のポイントとなったのは、要件6.2の「リスクのランク分けを割り当てるためのプロセスの確立」だ。同項目は、2012年6月30日まではベストプラクティスだが、同部分がマスト(必須)になれば、同社の対応負担にも大きな影響を及ぼすことは明らかだった。ソフトバンク・ペイメント・サービス 情報セキュリティ管理部 部長 柳沢浩治氏は、「2011年の審査においても例年通り9月での対応を検討しましたが、震災の影響による関東の節電対策の影響と、ISMSの再認証取得などが重なったため、社内的に検討した結果、審査は例年より遅い11月に対応を実施した。11月の審査対応により、結果的にベストプラクティスからは外しました」と説明する。
ソフトバンク・ペイメント・サービス 情報セキュリティ管理部 部長 柳沢浩治氏
また、PCI DSSの審査を担当するQSA(認定セキュリティ評価機関)について、確認事項の厳格化や監査報告書(ROC)に対象範囲の正確性の根拠、サンプリング抽出の際の詳細な根拠の説明などを国際ブランドが求めたため、若干審査が厳しくなった部分があったという。
SBPS柳沢氏は、PCI DSSの要件について、要件1.1.5、1.3.7、2.1.1、10.4.2、11.1.a、11.2.bの6項目がVersion 2.0になり強化された点であるとは捉えている。一方、要件3.2、3.6.4、3.6.8、11.1は緩和ポイントと捉えていた。
同社では、Version2.0の審査を受診する際、事前に数カ所の変更事項について確認し、審査に向け万全を期している。まず、要件1.1.5bでは、安全でないサービスとして、FTP・Telnetに加え、POP3・IMAP・SNMPが追加された。この点については、該当のサービス利用時には、その目的を文書化しているが、追加のサービスにおいても同様であることを確認した。
また、要件1.3.7では、「内部ネットワークゾーンにカード会員データを保存するシステムコンポーネントなどが配置されていること」と表記されているが、1.2ではデータベースの表現が記されていた。この部分は、「通常はデータベースと思われるが、一時的にCSVなどのファイルを保管するようなサーバなどがあれば、対象となる」という回答を受けた。また、要件2.1.1.dのワイヤレスネットワーク経由の認証および伝送用の強力な暗号化をサポートする項目に関しては、「WPA/WPA2」の表記が消えているが、WEP以外であれば特に問題ないことを確認した。
要件3では、3.2、3.6.4、3.6.8の項目について確認。まず、3.2では、イシュアに限り、業務上必要な場合はセンシティブ認証データの保存が認められたが、これは例えば、駐車場の利用料金をクレジットカードで支払うなど、直近3カ月程度の情報が必要な場合への措置との回答を受けている。また、3.6.4では、暗号キーの変更が年に1回の縛りがなくなり、定期的な変更になったことを確認。さらに、要件3.6.8(要件7.1.3)では、従来は書面に直筆のサインが必要となっていたが、今回より一般的な電子ファイル(Word/Excel等)でも対応が可能になるという回答も受けた。
「要件6.2のCVSSは4.0という数式からみると大きな変更箇所になります。脆弱性が重要なシステムコンポーネントに影響することの1つ以上が含まれるとなっていますが、これを実施した場合、どれか1つを選択していれば問題ないか確認をしたところ、『当年度は、CVSS以外の選択でも、要素的に含まれるため問題ない』という回答を受けました。また、今回の審査で対応を見送った場合、連携する項番2.2/6.5.6/10.4.a/11.2.aへの対応は、どのように考えればよいかと聞いたところ、11.2などを含めて全体的な内容で判断するということでした」(柳沢氏)
要件10.4.2への対応については、これまで時刻同期する方式が多かったが、ログの記録とレビューすることが追加になっており、さらにアクセス可能者を限定することが前提となるという回答を受けた。要件11.1では、ワイヤレスネットワークのアクセスポイントの存在を確認する要件だが、無線アナライザの記載が削除された。この部分は、目視での確認も可能であるが、隠れたAPを検出する場合は、現状のアナライザ確認が有効だと思われるとのことだった。
要件11.1.aの「検出および識別するプロセスが文書化されていることを確認する」点については、現在の実施方式の場合、手順書までは特に必要とせず、規程の定義内容で十分であるという回答を受けた。また、要件11.2.bの、「脆弱性スキャンレポートをレビューし、スキャンプロセスに合格結果が取得されるまで、またはPCI DSS要件6.2で定義されたすべての「高」脆弱性が解消されるまで、再スキャンを実行する」項目については、既存の合格結果のみで可能なのかという疑問があった。6.2をVersion1.2の対応とした場合、合格結果を選択することになるのかという問いには「共に再スキャンで合格すれば、充足する」ということだった。
PCI DSS準拠の問い合わせ加盟店数増加、
AOC開示により対応
前述のような解釈の差分はあったが、事前にQSAに確認したことにより、問題なく準拠を果たすことができたという。Version2.0への変更により、他の企業ではコンサルティングを依頼したケースも多かったが、同社ではすべて自社で対応している。結果的に、追加でシステム投資することなく、さらに、代替コントロールに関しても前年同様の箇所で適用した。
ソフトバンク・ペイメント・サービス 情報セキュリティ管理部 高橋智明氏
なお、Version2.0から明確に記された仮想化については、「商用環境でトランザクションが増えているので、リスクが増大する可能性があるため、当面は考えていません」と同社 情報セキュリティ管理部 高橋智明氏は説明する。
2012年の審査に向けては、要件6.2への対応が最大のポイントとなる。従来、ISMSやPCI DSSの担当者は兼務していたが、加盟店からのニーズ増加もあり、今年に関しては高橋氏をPCI DSSに専念させる予定という。
最近では、同社に対し、加盟店からPCI DSSへの準拠状況についての問い合わせも増えているそうだ。特に海外で事業を展開する企業からの問い合わせが多く、「その場合は、準拠証明書(AOC)のコピーを提出して、PCI DSSに準拠したシステムであることを説明しています」と柳沢氏は話す。
SBPSでは、今後も信頼される決済サービスを提供すべく、さらなるセキュリティ対策の強化に向けた体制作りに余念がない。
PCIDSSサービスの資料請求
関連記事
- PCI DSS Version2.0準拠企業に聞く~(3)ヤフー株式会社(Yahoo! JAPAN)
- 「PR」3キャリアのスマートフォン向け携帯キャリア決済をまとめて提供可能に(ソフトバンク・ペイメント・サービス)
- PCI DSS Version2.0準拠企業に聞く~(7)スマートリンクネットワーク
- PCI DSS Version2.0準拠企業に聞く~(5)ゼウス
- PCI DSS Version2.0準拠企業に聞く~(4)エクシード
- PCI DSS Version2.0準拠企業に聞く~(1)J-Payment
- ソフトバンク・ペイメント・サービスがフィリピン向け海外送金サービスを開始
- ソフトバンク・ペイメント・サービス株式会社(2009年更新審査)
- 「PCI DSS Version2.0」に完全準拠(デジタルチェック)
- Version2.0のユーザーズガイドをWebで公開予定~日本情報処理開発協会
関連記事
[Focus記事カテゴリの最新記事]
- クーポン販売総数1,000万枚を突破した「GROUPON」の戦略は?(グルーポン・ジャパン)
- 店舗の空席時を利用して時間・枚数限定のクーポンを連携(ロケーションバリュー)
- ジオサービスから決済までO2Oサービスを強化(Yahoo! JAPAN)
- スマートフォンを利用した共通ポイントプログラム「スマポ」を展開(スポットライト)
- 「Edy」「iD」の電子マネーや「プロン女カード」を販促に活用(プロントコーポレーション)
[カードセキュリティ 最新情報カテゴリの最新記事]
- 「銀聯ネット決済」において新たな認証スキームを導入(三井住友カード/ベリトランス)
- 外部調査機関によるフォレンジック調査を行い、PCI DSS準拠などの対策を予定(ベクター)
- PCI DSSの普及に向け取り組む日本カード情報セキュリティ協議会が定時会員総会を開催
- 暗号化ファイル伝送ツール「Confidential Posting」を販売開始(富士通FIP)
- EMV、VISA認証サービス、PCI DSSなどカード決済のセキュリティ対策に力を入れる(Visa)
[カードセキュリティPCI DSSカテゴリの最新記事]
- 「銀聯ネット決済」において新たな認証スキームを導入(三井住友カード/ベリトランス)
- 外部調査機関によるフォレンジック調査を行い、PCI DSS準拠などの対策を予定(ベクター)
- PCI DSSの普及に向け取り組む日本カード情報セキュリティ協議会が定時会員総会を開催
- 暗号化ファイル伝送ツール「Confidential Posting」を販売開始(富士通FIP)
- EMV、VISA認証サービス、PCI DSSなどカード決済のセキュリティ対策に力を入れる(Visa)
[トップページ用注目ニュースカテゴリの最新記事]
- オンラインクーポンや「TSUTAYAサーチ」などの店舗販促に力を入れる(TSUTAYAカンパニー)
- 中国工商銀行と提携し、現地在住者向けJCBカードを発行(JCB/JCBI)
- 「求人情報ナビゲーション」の掲載をスタート(TIプランニング)
- クーポン販売総数1,000万枚を突破した「GROUPON」の戦略は?(グルーポン・ジャパン)
- 北海道のスーパー「北雄ラッキー」と提携カードを発行(ジャックス)
[ペイメントニュースカテゴリの最新記事]
- オリコの「途上与信」「マーケティング施策実行支援機能」のアウトソーシングを受注(CTC)
- グローバル企業計541 社の財務責任者(CFO)の意識調査を実施(American Express)
- 「ほくせん」へ信販クレジット基幹系SaaS型クラウドサービスを提供(NEC)
- PayPalモバイル決済端末の成果(カードBizと僕の勝手気ままログ)
- オンラインクーポンや「TSUTAYAサーチ」などの店舗販促に力を入れる(TSUTAYAカンパニー)
