株式会社日立情報システムズ(2010年新規取得)

2010年10月21日8:00

IT企業提供の共同利用型サービスとして初の認定取得
ハイセキュリティなカードソリューションでカード会社をサポート

日立情報システムズは「PCI DSS Ver.1.2」の準拠認定を取得した。ITサービス企業が提供するペイメントカードの共同利用型サービスがPCI DSSの認定を取得したのは国内初となった。

カードシステムはVisa Netに直接接続

自主的に2つのシステムで取得を決意

日立情報システムズがPCI DSSを取得したのは、「カード発行企業向け共同利用型対外接続サービス」、「クレジットカード総合管理ソリューション」の2分野。共同対外接続サービスはイシュア(カード発行企業)が「Visa Net」など外部ネットワークと接続する際に必要なシステムを共同化したもの。同サービスの利用により、カード加盟店はリアルタイムな与信照会が可能となる。一方、クレジットカード総合管理ソリューションは10月から発売を開始する、クレジットカードの基幹システム『DEIGO+(デイゴプラス)』を中核とするソリューションサービスである。

金融情報サービス事業部 第二システム本部 本部長 高瀬 啓司氏

「当社は以前からクレジットカードに関連したシステムを提供しており、本当の意味でのサードパーティプロセッサーを目指しています。ビザ・ワールドワイドが推進するAISのバリデーションの遵守期限が9月末までだったこともあり、自主的にPCI DSSの取得を決意しました」(日立情報システムズ 金融情報サービス事業部 第二システム本部 副技師長 礒川昌弘氏)

同社では昨年の2月からPCI DSSについての調査を開始。同7月から本格的な準備を開始した。クレジットカード総合管理ソリューションのシステム自体も09年8月から、PCI DSSの基準に合わせる形で構築している。なお、認定セキュリティ評価機関(QSA)、コンサルティングは同一の会社に依頼した。

パッチの適用の対応に苦慮

自社で対応できていた部分も多かった

遵守に当たり、同社が最も苦労した部分は要件6のセキュリティ・パッチの適用だった。要件6.1では重要なセキュリティ・パッチはリリース後1カ月、それ以外の重要度の低いパッチは3カ月以内に適用しなければならないが、「運用面の負荷が非常に大きく苦労しました」と礒川氏は説明する。また、システムパスワードの定期的な変更ついても、「月に1回のメンテナンスで対応しているが、変更箇所が多く影響範囲も多いことからトラブルになる危険性がありました」と礒川氏は打ち明ける。

金融情報サービス事業部 第二システム本部 副技師長 礒川昌弘氏

逆に、数多くの遵守企業が苦労した暗号化の部分は自社でシステム運用を行っており、大きな問題もなく対応できたそうだ。

「対外データベースはPAN(カード番号)を持たないように新規にシステムをつくりこみました」(礒川氏)

要件6.6項はWAFを採用せず、脆弱性診断を実施。内部・外部のぺネトレーションテストも含めて、外部の業者に依頼している。

要件10ではすべてのシステムコンポーネントへのアクセスを管理することが求められているが、画面操作を動画で保管できるログ収集サーバを導入した。また、変更ができないように、監査証跡をセキュリティで保護する要件に関してもログ収集サーバの運用を別の専任担当が行うことで対処を図った。

最終的にカード発行企業向け共同利用型対外接続サービスは2010年6月に、クレジットカード総合管理ソリューションは8月に認定を取得した。構築コストに関しては、変更管理システムとぺネトレーションテストの実施はそれなりに費用がかさんだが、自社で構築した部分が多かったため、当初の想定よりは安価に抑えることに成功したという。

「要件1や2の安全なネットワーク環境の保護は以前から実施しており、PCI DSSの準備の時点で対応できていた部分も多かったです」(礒川氏)

更新審査はエビデンスの整備が課題に

取得後は決済事業者からの引き合いも

金融情報サービス事業部 第二システム本部 第三設計部 井上 慎一郎氏

次回の審査に向け礒川氏は、「まだまだ取得が精いっぱいの状況で運用的にエビデンスを残すところが遅れているため、来年に向けて日々の運用で整備していく方針です」と課題を挙げる。

PCI DSS取得のリリース後は決済事業者などからの引き合いもあるという。同社 金融情報サービス事業部 第二システム本部 本部長 高瀬 啓司氏は、「カード会社様から独立した環境でイシュアのシステムを提供している企業はそれほど多くはありません。当社のシステムは対外接続サービスと、クレジットカードの基幹システム『DEIGO+(デイゴプラス)』および周辺サブシステムで構成するトータルなソリューションです。自社でPCI DSSを取得したハイセキュリティなシステムを強みにビジネスを展開してきたい」と自信を見せる。

また、同事業部第三設計部 井上 慎一郎氏も「今後はトータルなソリューションとしてカード会社様のサポートや決済システムのアウトソーシングを行っていきたいと考えています」と語ってくれた。

■PCI DSS準拠企業の事例一覧へ

page toppagetop