割賦販売法の改正に合わせて開始した本連載。第1回ではクレジットカード情報の非保持化やPCI DSS準拠を行ううえでの課題、第2回ではその課題を解決に導くコンサルティング企業、インフォセックのサポート内容について解説してきた。

第3回の今回は、インフォセックが行ってきたサポート事例の中から、特徴的なものを4つピックアップし、改正法対応のノウハウを紹介する。貴社の課題解決のヒントにしていただければ幸いだ。

事例1 ネットワーク構成の見直しでPCI DSS準拠コストを削減

イシュアー(カード発行会社)であるA社では、長年、業務システムを拡張させながら利用してきた結果、顧客のクレジットカード番号(PAN)が多くのサーバに分散保存された状態になっていた。特にハッキリとした分散理由があるわけではなく、サーバを追加したり、担当者が変わったりしている中で、このような状態になってしまったわけだ。

インフォセックが確認したところ、何らかのカード情報が保存されたサーバは8台。また、多数の外部連携先とネットワークで接続していたため、PCI DSSに準拠するには外部との接点すべてにファイアウォールを導入する必要があった。そのままの状態で準拠のためのソリューションを投入すれば、サーバにもネットワークにも多額のコストがかかることが明白である。

そこでインフォセックは、ホストコンピュータと社内ファイルサーバの2台に情報を集約すると同時に、ネットワークの再構成を図ることを提案。新たなネットワーク構成は、データの出入り口がひとつにまとめられたことで、ファイアウォールをはじめとするセキュリティ対策の費用が抑えられた(図1)。PCI DSSではファイアウォールを導入した場合、6カ月ごとに設定基準(アクセスコントロールリスト)をレビューしなければならないという要件があるが、そのレビュー対象も小さくできて、運用コストの見直しにつながった。

ほかにもサーバが旧式で、PCI DSSで求められているレベルの暗号化ソリューションを導入できない問題も抱えていたが、それらをファイアウォールの内側に置いて他サーバとの通信を制限し、また権限を付与されたスタッフしかアクセスできないようにすることで要件をクリアしている。

  • 図1 外部との接点を最小限にし、セキュリティ対策費用を抑制したA社のネットワーク

    図1 外部との接点を最小限にし、セキュリティ対策費用を抑制したA社のネットワーク

事例2 独自サービスに紐付けていたPANを変換し、非保持化に成功

大手百貨店を運営し、クレジットカードの発行も手がけているB社グループでは、独自のポイントサービスを展開していたが、これがPCI DSS準拠のネックになっていた。ポイント管理のための顧客識別に、クレジットカード番号を利用していたためである。重複することのないIDとしてクレジットカード番号は有用だが、それを利用したポイントサービスに関連するシステム、ネットワーク、スタッフがすべてPCI DSS準拠の対象範囲となってしまう。その範囲はグループ企業のほとんどすべてに及んでいた。

インフォセックでは、顧客に会員IDを持たせ、ポイントサービスでは取得したクレジットカード番号を会員IDに置き換えて利用する「変換システム」の構築を提案した。これには新たに会員IDが登録されたカードの発行が必要となるが、B社グループでは全カードのIC化に伴う再発行のタイミングに合わせてこれを実行に移している(なお、クレジットカード番号をトークン化するシステムを導入することでも同様の結果が得られる)。

この対策により、ポイントサービス関連のシステムで非保持化を実現し、PCI DSSの準拠範囲(クレジットカード番号を保持する場所)は、カードの発行システムと変換システムのみに絞ることができた。すべてに準拠対応を施すより、コストもシステム改変の手間も大幅に抑えられたわけだ。

事例3 自己問診でのPCI DSS準拠に役立つ文書作成サービス

PCI DSSで求められる要件にはシステムやネットワークに関するものが多いが、約1/3は文書化要件となっており、たとえば明文化されたセキュリティポリシーや、運用プロセスのマニュアル、運用開始後の証跡となる管理表の書式などが求められる。大がかりなシステム変更が不要で、自己問診(SAQ)によるPCI DSS準拠を目指す加盟店でも、こうした文書は用意しなければならない。

この文書作成の作業をスピーディかつ低コストで行えるよう、インフォセックではテンプレートを用いたサービスを用意している。まず依頼主の業務を把握したうえで、その企業に必要な文書のテンプレートを記載方法のアドバイスも付けて提供。顧客企業はその助言に沿ってテンプレートを埋めていけば、文書が作成できるというわけだ。

テンプレートをもとに作られた文書は、PCI DSSの認定審査機関(QSA)でもあるインフォセックがレビューして、問題点があれば指摘する。修正とレビューを何度か繰り返すことで、準拠に必要な文書が完成する。これならどのような文書が必要で、どのように書けばいいか悩むこともない。準拠支援を行う中で蓄積された、インフォセックならではの豊富なノウハウが活かされたサービスといえるだろう。

事例4 クラウドサービスを活用し、少人数でPCI DSS準拠を実現

AWSやAzureをはじめ多くのパブリッククラウドサービスが、PCI DSSに準拠した環境を提供している。それを利用すれば人的リソースを割かず、最小限の機材でPCI DSS準拠を実現することができる。インフォセックでは、人的・コスト的にリソースを割けない顧客企業やベンチャー企業にこの手法を提案しているという。

図2が、新たに決済代行業務を始めようというC社のシステム構成だ。カード会員データ環境(CDE)はAWS上に置き、開発などに使用する環境と分離することで、通常時はカード情報に触れずに済むようにしている。準拠に必要なセキュリティソリューション、たとえばログ管理システムや踏み台サーバなどは、AWS上でその種のサービスを提供している企業に頼ればいい(もちろんPCI DSSに準拠したサービスを選ぶ必要がある)。

ログのチェックやログインIDの管理など、PCI DSSで求められる運用については社内で対応しなければならないが、このようにクラウドで提供されているサービスを組み合わせれば、大がかりなシステムを構築しなくても比較的簡単にPCI DSSに準拠した環境を整えられるのだ。

  • 図2 クラウドサービスを活用して構築したPCI DSS準拠環境

    図2 クラウドサービスを活用して構築したPCI DSS準拠環境

以上、4つのケースを見てきたが、どのような手法、どのようなシステム改修が必要となるかは、企業によってさまざまである。割賦販売法の改正への対応やPCI DSS準拠に課題をお持ちなら、豊富な実績を持つインフォセックに相談してみてはいかがだろうか。

高い専門性と豊富な実績を誇る
インフォセックの分析・支援サービス

・PCI DSS準拠やデータ非保持化に必要な法対応をトータルで
 サポート!
・現状分析からアフターフォローまで一気通貫で対応
・PCI DSSの認定機関(QSA)ならではのソリューションを提供
・多方面からセキュリティを支援できるインフォセックの強み

→詳細はこちら

[PR]提供: インフォセック