2011年7月19日8:00
PCI DSSの基準をベースに決済センターのシステムを構築
カード会社出身者が多くを占める会社として設立当初からセキュリティを意識
クレジットカードなどの決済センターを運営するリンク・プロセシングは、2011年6月、PCI DSS Version 2.0に完全準拠した。同社では、PCI DSS Ver.2.0へ対応し、セキュリティを強化したことで、顧客により一層、「安心・安全・便利」な決済サービスを提供することが可能になったという。
準拠に向け機器の選定に頭を悩ます
多くの企業が苦戦する項目は問題なく対応
2010年4月に設立したリンク・プロセシングは、インフキュリオンと日本カードが設立した決済センター運営会社である。同社では、マルチデバイスをコンセプトに、クレジットカード決済のみならず、プリペイドギフトカードやポイントカードなどに利用できるCAT端末、POSレジシステムなどと接続可能な決済処理接続などを提供している。
カード会社出身のメンバーが中心の同社では、会社を設立した当時からセキュリティを意識しており、PCI DSSの基準をベースに決済センターのシステムを構築したという。現状、PCI DSSにおいてQSA(認定セキュリティ評価機関)の訪問審査が必要となるサービスプロバイダの取引件数には達していないものの、自社のセキュリティのレベルを第三者から客観的に評価してもらうために、会社を設立した時点からPCI DSSの審査を受けることを意識した。また、パートナー企業から、同社決済センターのセキュリティレベルに対しての質問されることもあったという。
PCI DSSの準拠に向けては、「要件とセキュリティ評価手順」に記載されている項目のほぼすべてが対象となった。同社では、外部にコンサルティングを依頼し、アドバイスをもらいながら、対応にあたった。
遵守に向けて一番悩んだのは必要な機器の選定だった。同社では、コンサルティング企業と相談し、IDS(侵入検知システム)、ロードバランサー、ファイアウォールなどを導入している。
同社・取締役 神沢 順氏は、「後から機能を追加したわけではなく、スクラッチの段階からPCI DSSの項目を見ながらシステムを構築したため、各要件への対応は容易にできました。悩んだのは機器の選定で、価格や機能面などの要素を踏まえ、どの製品を導入するのがベストなのかを選別するのが難しかったです」と打ち明ける。
逆に、準拠企業の多くが苦戦する要件3や8の暗号化、要件6のセキュリティパッチの適用、要件10のログの集約、要件11の改ざん検知の仕組みなどは、センターの構築時に意識して作り込んだため、対応はそれほど苦にはならなかったという。
1.2から2.0への変更も苦にならず
投資コストは想定の範囲内に抑える
なお、同社では2010年から準備を進めたが、2011年からはPCI DSS Version2.0が適用となった。結果的に2.0では、1.2に比べ要件自体が明確化されたため、「厳格化された部分もありましたが、要件自体がわかりやすくなり、それほどハードルは上がらなかった」(神沢氏)そうだ。
同社では予備審査を3月に実施したが、その時点で大きな問題はほとんどなかった。
コストに関しては、機器の導入や要件6.6の脆弱性診断や要件11.3のペネトレーションテスト、QSAの審査費用が中心となったが、「想定の範囲内で決して高くはなかった」(神沢氏)という。
同社では来年以降も更新審査を受診する方針だ。PCI DSSの完全準拠企業などでは、日々の運用コストや労力がかかる点も課題として挙げられているが、同社の決済センターの運用は、システムに組み込まれているものがほとんどであり、追加のシステム投資や労力などがかからないように設計されている。
マストだからではなく準拠するのが当たり前
カード会社出身者として加盟店が求めるシステムを提供
神沢氏は自らの経験から、「PCI DSS準拠は、必要以上にコストがかかるようなイメージがありますが、規模のある会社であれば自社で対応できる部分も少なくありません。要件に記載されていることは決して無謀なことではなく、カード会社出身の人間からすると当たり前のことが書かれています」と説明したうえで、「今後もマストだからではなく、準拠するのが当たり前であるという意識で取り組んでいきたい」と述べる。
同社・代表取締役の鎌田大輔氏は、「弊社の決済センターで提供するシステムは、ローコストをコンセプトにしているため、ともすればお客様からセキュリティは大丈夫なのかと言われる可能性があります。今後も、安かろう悪かろうではなく、カード会社出身のメンバーが多く在籍する会社として、PCI DSSなどのセキュリティ基準をクリアしながら、加盟店様のニーズを満たすシステムを提供していきたいと考えています」と意気込みを語った。
