PCI DSS 最新情報をチェック

コンテンツメニュー

関連企業ナビゲーション

求人情報ナビゲーション

書籍・レポート情報

クレジットカード・ポイントカード情報メールマガジン

クレジットカード・ポイントカード その他各種カードの最新情報をメールマガジンで一足先にお届けします。

購読はこちらからどうぞ

株式会社エクシード(2010年新規取得)

2010年9月8日8:30

ISMSとのブリッジ審査で国内初の初回同時取得
ホスティングサービス事業者のPCI DSS取得メリットとは?

ホスティングサービス事業者のエクシードは2010年2月、ISMSの認証とPCI DSS Ver.1.2の認証を同時に取得した。両審査を初回で同時に取得した事例は国内初となる。PCI DSSは加盟店や決済代行事業者を中心に取得が進められてきたが、国内のホスティング事業者が準拠した事例はそれほど多くはない。同社では今後、PCI DSSの取得を前面に打ち出したクラウドサービスの展開を視野に入れている。

PCI DSS準拠で新ビジネスの創出を狙う

準拠に向け機器やシステム投資を極力抑える

「弊社はお客様の資産をお預かりするホスティングサービスを展開しています。PCI DSSとISMSを同時に取得することで、お客様からの安心感を得ることにつながります。また、社内のセキュリティ意識の向上という意味でもプラスになると考えました」(エクシード CISO PM/コンサルティング・グループ 羽鳥充保氏)

CISO PM/コンサルティング・グループ 羽鳥充保氏

今後はサービスプロバイダや加盟店がデータセンターを利用する場合、委託先に対してPCI DSSの基準に準じた対応を求めるケースが増えると予想されている。その際にPCI DSSに準じた運用を行っている同社に委託すれば、サービスプロバイダや加盟店がスムーズにPCI DSSに準拠することが可能になる。同社ではホスティング事業者としていち早くPCI DSSに対応することで新たなビジネスの創出を狙っている。

エクシードはISMSとPCI DSS取得に向けた準備を2009年2月に開始。4名でプロジェクトを結成し、要件対応を進めた。ISMSに関してはドキュメントの整備が主体になったが、比較的スムーズに対応することができたという。一方、PCI DSSの場合は機器やソフトウェアなど、システム構築にかかるコストが課題となった。

「機器やシステムを如何に安く仕入れられるかを考えました。当初は1,800万円のコストがかかる想定でしたが、結果的には手づくりでつくり込むなどの工夫をしたため、200万円弱で設備投資を行うことができました。Linuxベースのシステム構築ができたのもコスト面でプラスに働きました」(エクシード システム技術部 テクニカル・オペレーション マネジャー苙口裕介氏)

カード会員情報の流れる経路やスコープは

事前にシミュレーションを実施

システム技術部 テクニカル・オペレーション マネジャー苙口裕介氏

同社ではこれまで、クレジットカードなどの情報を保管したケースはない。そのため、カード会員情報の流れる経路やスコープについては、事前にシミュレーションをして対象範囲を特定した。

「システム的に意識したのは現行のシステムをなるべくいじらないことです。その目的は十分に達成することができました」(苙口氏)

PCI DSSの各要件については、PCI SSCの「要件とセキュリティ評価手順」に記載されている文章の解釈が難しかったため、「コンサルティングの方の協力がなければ判断できない部分が多くありました」と同社 PM/コンサルティング・グループ 杉森貴博氏は当時の苦労を打ち明ける。

PM/コンサルティング・グループ 杉森貴博氏

ISMSは2009年の夏から秋にかけて、文書のレビューを実施。PCI DSSの準拠に向けては09年末までにシステムをつくり込んだ。新規システムとしてはネットワーク機器、ログ管理システム、IDS、指紋認証、Webカメラなどを導入。要件5のアンチウィルスソフトウェアの適用についてはオープンソース+スクリプトでカバーしている。

また、同社はホスティングベンダーという性質上、6.6項は脆弱性診断を実施したが、WAF(Web Application Firewall)の導入は見送った。そのほかにも対象外とした項目がいくつかあったという。

 

ブリッジ審査で労力を軽減

更新審査は12月に実施

ISMSとPCI DSSのブリッジ審査は2月に実施。初回審査のため、ISMSは二段階に分けて行った。まずISMSの文書審査を行い、その後PCI DSS、最後にISMSの残りの審査を実施した。

 「両審査を個別に受診するよりも、確実に社員の労力は短縮できています。複合だから苦労したという部分はありませんでした」(羽鳥氏)

結果として代替コントロールを暗号鍵の変更部分で1箇所適用したが、それ以外は大きな問題はなく、ISMSとPCI DSSの同時認証を取得した。

ISMSとPCI DSS更新審査は、PCI DSSが新バージョンになる都合上、Ver.1.2を適用できる今年12月に実施する予定である。PCI DSSがVer.2.0になる来年以降に向けては、同社が得意としているクラウド環境を意識した運用を行う方針だ。

■PCI DSS準拠企業の事例一覧へ

このエントリーをはてなブックマークに追加
はてなブックマーク - 株式会社エクシード(2010年新規取得)
Post to Google Buzz
Bookmark this on Yahoo Bookmark
Bookmark this on Livedoor Clip
Share on FriendFeed

PCIDSSサービスの資料請求

PCIDSSのすべて

PCIDSSソリューションの一括資料請求はこちら >>PCIDSS資料請求はこちらからお願いします。

関連記事

関連記事

[カードセキュリティ 最新情報カテゴリの最新記事]

[カードセキュリティPCI DSSカテゴリの最新記事]

[準拠企業一覧カテゴリの最新記事]

  • 世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

  • CAFIS/CARDNET/GPnetの与信・売上から決済までをサポートするカード自動決済パッケージ(セイコープレシジョン)

  • クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通アドバンストソリューションズ)

  • 3キャリアのスマートフォン向け携帯キャリア決済をまとめて提供可能に(ソフトバンク・ペイメント・サービス)

  • シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

  • 国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

  • 国内ICカードシェアNo.1(大日本印刷)

  • ラグジュアリーブランド旗艦店でスマートフォン決済がスタート!顧客の面前でiPod touchを利用した決済処理が可能に(ゼウス)

  • ギフトカードの導入事例を紹介(富士通FIP)

  • 三井住友カードと協力しモバイルクレジット決済端末で銀聯対応を順次開始(日本ポステック)

  • チャージもできる、ポイントも貯められる!メンバーズカードシステムとメール配信システムを提供(レピカ)

  • ポイントサービスやデジタルサイネージを活用した次世代販促ソリューション「POCKETTA」(トリニティ)

  • 継続課金を行う事業者様のニーズを反映させた新サービスの提供を開始(スマートリンクネットワーク)

  • カード・電子決済関連企業の製品・ソリューションを紹介する関連企業Navigation!10万円を切る価格で企業PRが可能に!

  • カード・電子決済、PCI DSS、ICカード、ポイントカード関連の記事制作、コンサルティングなど、豊富な実績(TIプランニング)

  • ●●メディアパートナー●●