アナザーレーン株式会社(2010年新規取得)

2010年5月20日  20:11
 
PCI DSS取得に向けシステムを刷新
3カ月の短期間で完全準拠を達成

決済代行事業者のアナザーレーンは2010年3月、PCI DSS Ver.1.2の認証を取得した。PCI DSS取得のために1からシステムを造り込んだ同社の取り組みは、今後取得を目指す企業にとって、モデルケースになるに違いない。

 取得に向け外部にコンサルティングを依頼

機器関連の投資コストは800万円

アナザーレーンは中小企業を中心に約5,000加盟店を要するペイメントカードの決済代行事業者である。月間の決済トランザクションは約10万件。インターネット決済のトランザクション処理に加え、流通加盟店にCAT端末の導入支援を行っている。同社では経営理念に「世界中いつでもどこでも安全・安心・便利にクレジットカード決済サービスをお届けし続けます」と掲げている。そのため、従来からセキュリティ面の強化を重要な経営課題と認識し、プライバシーマーク取得を含め、カード会員情報の保護など、管理体制の整備に取り組んでいる。PCI DSSの取得は、その一環として実施された。

システム開発部 部長 森 清一氏

同社では2009年6月から取得に向けての準備を開始。取得を意識したのはアクワイアリングを行うカード会社からの要請があったためだ。まずはPCI DSS関連のベンダーや認定審査機関(QSA)が行った各種セミナーに参加して基準に関しての情報収集を行ったが、準拠に向けてはシステムの大幅な刷新が必要になった。

スムーズな準拠に向け、同社では外部企業にコンサルティングを依頼している。コンサルティング企業の選定に向けては複数の企業から見積りを取り、同社へのコンサルティングスタッフの常駐を含め検討した。しかし、ベンダーから提出された金額は約6,000万円と高額だったため、社内での作業は自社のスタッフで賄うことにした。

結果的に「当初想定していた金額よりは投資を抑えることができました。もっとも高かったのはWAF(Web Application Firewall)、IPSを含めた機器の部分とそれに付随するシステムで、約800万円かかっています」とアナザーレーン システム開発部 部長の森 清一氏は説明する。

システムの刷新が準拠に向けプラスに働く

要件3の暗号化は代替コントロールを適用

具体的な作業に関しては、同社ではサーバを一カ所で管理しており、ネットワーク環境もそれほど広くはなかったため、スコープを狭める部分については比較的スムーズに対応できたという。

社内システムを刷新したことにより、準拠にプラスに働いた側面もある。「1からシステムを造り込んだこともあり、各要件に応じて既存のシステムを変更するのに比べると、対応しやすかった部分はあります」(システム開発部 主任 鈴木尊志氏)

システム開発部 主任 鈴木尊志氏

例えば、セキュリティパッチやアンチウィルスソフトウェアの適用などに関しては最新版を導入したため、それほど苦にはならなかったという。要件11の変更管理の要件については、ログインやメールパスワードの変更があった際に管理者にメールを飛ばす方法を選択した。

準拠に向けてネックになったのは要件3の暗号化の部分で、唯一代替コントロールを適用したが、アクセスコントロールを厳密にすることで乗り切った。

結果的には2009年9月から準備に取り掛かり約3カ月でPCI DSSに準じたシステムを構築することに成功した。12月に予備審査を行い、2010年1月に訪問審査を実施。2月に完全準拠の証明書が発行された。

「PCI DSS取得に際し、従来と違う運用を全社内的に行わなければならなかったのですが、社員がこの取得の重要性を共有できました。大幅な運用変更はありましたが、各部門の協力によりスムーズに完全準拠を達成できました。審査を行った会社からは、他社に比べスムーズに取得できたとのお言葉もいただいております」(森氏)

基準の重要性を考えればコストは安価

今後は決済代行事業者も淘汰が進む?

同社では来年以降もPCI DSSの審査を継続して行う予定だ。当然PCI DSSの更新にはコストがかかる。2010年も訪問審査だけで200万円のコストがかかっており、来年以降も毎年それに近い金額が必要になるが、「基準の重要性を考えれば決して高い金額ではなく、むしろ安いと思っています」と森氏は説明する。

更新審査に向けての課題は、変更管理、ぺネトレーションテスト、脆弱性スキャンなどの証跡をきちんと残すことが第1点。また代替コントロールを適用した暗号化の部分は、データベース列のPANの暗号化を予定している。

同社では、今後は競合他社も追随してPCI DSSを取得するのではないかと見ている。その上で、現在は決済代行事業者が乱立している状態だが、今後は運用面も含め、きちんとした会社だけが存続していくことになるとの見解を示している。森氏は最後に「弊社と同様のビジネスを展開している会社の中では比較的早くPCI DSSを取得できました。これを機にさらなるセキュリティ強化を図り、加盟店様とカードホルダーがより安心してご利用いただけるサービス提供を目指していきたいと思います」と意気込みを語ってくれた。

■PCI DSS準拠企業の事例一覧へ

page toppagetop