ヤフー株式会社(2009年更新審査)

2010年6月25日 09:00

「Yahoo!ウォレット」がPCI DSSに完全準拠
レベル1加盟店として世界基準のセキュリティ対応に意義を見出す

ヤフーは「Yahoo!ウォレット」の決済環境で2008年11月にPCI DSS Ver.1.1、2009年10月にVer.1.2に完全準拠した。Yahoo!ウォレットは年間600万件以上のカード決済処理を行っており、ビザ・ワールドワイド(Visa)「AIS」のレベル1(年間600万件以上の取引件数)加盟店に選別される。同社の取り組みをR&D統括本部 プラットフォーム開発本部 セントラル開発1部 リーダー 吉村 耕太郎氏に説明してもらった。

取得に向け各部門のエキスパートが結集

審査まで5カ月かけて準備に取り組む

「Yahoo!ウォレット」はYahoo! JAPAN IDに紐づいたサービスでクレジットカード、銀行口座などの支払い情報を登録することでオンラインショッピング、ブロードバンドサービスのYahoo! BB、インターネットオークション、Yahoo!プレミアムなどのサイトで支払いが行えるサービスだ。2010年5月末現在、1,900万IDの登録があり、もっとも多い支払い登録はクレジットカードとなっている。PCI DSSのバリデーションは年間600万件以上のカード決済処理を行うビザ・ワールドワイド(Visa)「AIS」のレベル1加盟店。

ヤフー R&D統括本部 プラットフォーム開発本部 セントラル開発1部 リーダー 吉村 耕太郎氏

ヤフーでは2006年にVisaのアクワイアラ(加盟店開拓を行うカード会社)からAIS取得の要請を受けた。当時はPCI DSSの認知度が低く、取得するメリットもそれほど感じられなかったことから要請を断っている。同社では2004年にISMSの認証を取得。社内にも独自の厳しいセキュリティ基準が存在していたため、「今さら新しい基準に対応する必要はない」という自負もあったという。

しかし、2008年頃からPCI DSSの露出が増加。改正割賦販売法にクレジットカード情報保護の取り扱いが盛り込まれることも取得の動きを加速させた。さらに、これまで社内で培ってきた厳しいセキュリティ基準を踏まえ、PCI DSSに対応することにより客観的な目で運用に関するルールを確立できる点も大きなポイントになった。

ヤフーでは2008年5月からPCI DSS取得の準備を開始。「外部コンサルティングなどの支援を受けずに、弊社のスタッフが自ら計画を立て、実行する工程で審査に臨みました」と吉村氏は説明する。同社ではISMSの審査は専門の部隊で行っている。PCI DSSはISMSに比べてより具体的な実装要件が求められるため、インフラ部門、開発部門、システム部門など全員現場のメンバーでチームを結成した。現場の人間、しかも関連部門のエキスパートが結集することで、各要件の具体的な実装基準について直接判断できる体制を確立している。

「課題管理票」や「想定問答集」を作成

大きなシステム投資、予備調査を受けずに準拠を達成

準拠に向けてはPCI DSSの基準を理解することからスタートした。6項目12要件の解釈から始まり、QSA(認定セキュリティ評価機関)の訪問審査にかかる費用を予算に計上。審査を依頼したQSAにはISMSの審査も委託しているが、各基準の詳細理解を深めるセミナーを2日間実施してもらった。PCI DSSの「要件とセキュリティ評価手順」は基本的に英文をそのまま翻訳してあるため、理解しにくい内容の文言も多々あったが、曖昧な点については細かく解説、補足してもらうことで対応した。さらに、先行してPCI DSSに完全遵守した企業にヒアリングを行い、審査に向けての注意点をアドバイスしてもらった。

当初は、40以上の要件に対応できていなかったが、それを課題としてまとめ、解決策を整理することで1つひとつハードルをクリアしていった。また現状のシステムではどうしても解決できない部分については、代替コントロールも含めて運用でカバーする体制を構築した。

同社では来るべき訪問審査に向けて成果物を作成。まずは「課題管理票」で、未対応要件が何であるかをメンバー全員で共有した。また「想定問答集」を作成し、要件ごとにそれぞれ一番詳しい人が回答する形式をとった。回答を証明する証跡についても事前に用意し、当日の審査を想定したリハーサルも社内で実施した。最後は審査スケジュールを作成して、だれが審査に立ち会うかを決めて当日に臨んでいる。重要なファイルについては共有ファイルサーバに保存して、審査員の質問に応じて閲覧できるようにした。結果的に、新規システムとしてIDS(侵入検知システム)の導入はあったが、大きなシステム投資は特になく、事前の予備調査も行わず、2008年11月にPCI DSS Ver.1.2に準拠した。

Ver.1.2にもスムーズに対応

取得経験も踏まえたPCI DSSの課題とは?

ヤフーでは2009年9月に更新審査を行いVer.1.2への対応を完了している。更新審査ではPCI DSSが1.1から1.2に変更されたが、要件がより具体的になったことで、大きなシステム投資は特になく、スムーズに準拠できたという。同社ではPCI DSSの維持のために、通年で事務局を運営している。最初の審査では各部門のエキスパートが結集し対応を行ったが、更新審査では人員を増やして取り組みを継続している。2009年からはQSPプログラム(品質保証プログラム)により、QSAの見る目が厳しくなったと言われているが、事前に審査会社からデータベースの種類やカード会員情報が流れる経路などを記載する「データマトリックス」を用意してもらい、指摘事項がないように心がけた。

同社では自らのPCI DSSの取得を振り返り、具体的なセキュリティ要件に対応することで、セキュリティレベルを客観的に証明できる点で効果があったと感じている。また利用者に対してのアピールという点でも一定の成果があったという。ただ自らの認定取得の経験からPCI DSSの基準に対しての問題点も口にしている。同社ではもともとセキュリティに対して厳しいルール付けを行ってきたためスムーズに準拠できたが、システム対応も含め、どうしても経済的な負担が発生することは否めない。経済環境が厳しい中、他の加盟店がPCI DSSの基準を満たすことができるのか、疑問が残るという。またさらなる認知向上も課題として挙げ、具体的な取得メリットをさらに明確にする必要があるのではないか、という見解を示している。

■PCI DSS準拠企業の事例一覧へ

page toppagetop