2011年7月11日8:00

PCI DSSの準拠に2年かけて取り組む
準拠コストを抑え、長期的に運用費用がかからない仕組みを構築

ネットムーブは、インターネット決済の代行サービスを始め、Webサイト制作、セキュリティソリューションの提供などを行っている。同社は2年間かけて準拠に取り組み、2011年3月にPCI DSS Version1.2に完全遵守。長期的に運用費用がかからない仕組みを構築したという。

決済システムそのものをリニューアルし

加盟店側でカード番号を保持しない仕組みを構築

ネットムーブでは2009年から、PCI DSSの準拠に向けた準備を開始した。同社ではインターネットの決済代行サービスを提供しているが、近年、ECサイトからクレジットカードなどのカード会員情報が漏えいする事件を受け、加盟店から同社の決済サービスのセキュリティに対する質問を受けることも多くなったという。特にISMSの認証を取得した企業からの問い合わせが寄せられていた。また、国際ブランドからPCI DSS遵守の義務化に向けた期限がリリースされたことも引き金となった。

ネットムーブ 取締役 玉置敏光氏

「弊社のセキュリティに関する取り組みを客観的に説明する基準として、PCI DSSが分かりやすいこともあり、準拠を決意しました」(ネットムーブ 取締役 玉置敏光氏)

同社ではPCI DSSの準拠に向けて外部企業にコンサルティングを依頼し、審査を担当するQSA(認定セキュリティ評価機関)の紹介も受けた。そこから準拠までに約2年間を要している。

同社の決済システム自体、2000年から順次、サーバの増築を繰り返してきた。昨今、加盟店側でカード会員情報を保管しないサービスを求める企業が増えてきたため、準拠に向けては加盟店のカード番号を保管する仕組みを構築。同社の決済システムそのものもリニューアルした。

PCI DSSの要件の解釈に苦しむ

時間をかけて長期的に運用費用がかからない仕組みを目指す

準拠に向けて苦戦した部分はPCI DSSの要件の解釈とコストを抑えることである。

「PCI DSSの『要件とセキュリティ評価手順』に記載されている約250項目の内容の理解に苦しみました。どう解釈したらいいか分からない部分も多かったため、コンサルティングの方にアドバイスをいただきながら、対応を進めました」(玉置氏)

例えば、クレジットカード番号をデータベースに保管する場合、PCI DSSの基準では暗号化しなければならない。しかし、暗号化する場合には運用上支障が出る懸念があり、その際にカード番号を平文でとっておくための代替案のプランがなかなか立てられなかったという。

また、例えば要件6.6の対応ではWAF(Web Application Firewall)を導入するとコストがかさむ。そのため、脆弱性診断の実施を選択した。さらに、リニューアルに伴いログを集約できるシステムを新たに導入。要件11のファイル整合性監視についてもフリーソフトを導入し、コストを抑えている。

玉置氏は、「弊社のPCI DSS準拠は、全体的にコストとの戦いでした。PCI DSSの要件を満たすのはお金と時間をかければ可能かもしれませんが、弊社自身、薄利なトランザクションがベースのビジネスを展開しているため、そういうわけにはいきません。この2年間はコストをかけないで要件を満たすため、頭を悩ませました」と笑う。

多重防御で強固なセキュリティを構築するPCI DSSの仕組み自体の有効性は理解できたが、時間をかけて長期的に運用費用がかからない仕組みを目指したため、準拠までの道のりは長くなった。

2011年はVersion2.0の審査を検討

セキュリティソリューションをパッケージ化して提供へ

結果的に、「コストを抑え準拠するという目標は達成できました」と玉置氏は成果を語る。主にコストがかかった部分は脆弱性診断、QSAが実施する審査費用、コンサルティング費用で済んだという。

今回の審査は、Version2.0が有効になった後の2011年に実施したが、2009年から準備を行ってきたVersion1.2で準拠を果たした。年末には更新審査を迎えるが、Version2.0での審査を検討しているという。

同社では加盟店側のサーバにカード会員情報を残さないカード会員情報非保持のサービスを提供している。今後は、同システムを提供することによる決済の安全性を訴えるとともに、金融機関などで多数の実績を持つクライアントセキュリティ機能を装備したアンチウィルスソフトの「nProtect Netizen」をはじめとするセキュリティソリューションをパッケージ化し、加盟店に提案する方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP