いまから探るPCI DSS準拠とカード情報取り扱いのベストな道筋

クレジットカード加盟店やアクワイアラ（加盟店契約会社）にとって、現在最大の課題となっているのは改正割賦販売法への対応だろう。本来なら既に対応が終わっていなければならない時期にあるが、これから計画を立てる段階にある企業・店舗も多いのではないだろうか。

本連載では、PCI DSSの認定審査機関（QSA）の資格を持ち、改正法対応を包括的に支援しているインフォセックに、加盟店における課題や今取るべき対策などを聞いている。前回は、クレジット取引セキュリティ対策協議会が策定したガイドライン（以下、実行計画）に沿った対応を加盟店が独自に行う場合の課題や難点について紹介した。第2回では、インフォセックの対応支援サービスについて解説しながら、PCI DSS準拠あるいは非保持化への道筋を追っていく。

綿密なヒアリングで、現状を把握する

「実行計画」では情報漏洩対策の具体的手法として、加盟店におけるカード情報の非保持化を徹底し、情報を自社内で保存・処理・通過させないようにするか、カード情報を保持する場合は業務の委託先も含めてPCI DSSに準拠することが挙げられている。

前回の記事では、店頭のカードリーダーなどで読み取った情報をダイレクトに決済代行会社に投げる「外回り」方式や、高度な暗号化による「内回り」方式を採用した非保持化策はあるものの、現実のビジネスを考えるとカード情報を全く持たないわけにはいかないケースが多いということを紹介した。同時に、加盟店や事業者が使用している現行システムを、そのままの状態でPCI DSSに準拠させるには、コストがかかりすぎることにも触れた。

こうしたジレンマを、インフォセックではどのように解消していくのだろうか。認証ユニット ユニットマネージャー 鈴木庸介氏に聞いた。

• 

  インフォセック 認証ユニット セキュリティコンサルタント 伊賀誠氏（左）、シニアセキュリティコンサルタント 鳥飼勝利氏（中央）、ユニットマネージャー 鈴木庸介氏（右）

「まずはお客様のところに伺ってヒアリングを行い、現状を把握するところから始めます。システムのネットワーク図をベースに、クレジットカード番号がどこを通過して、どのファイル、どのデータベースに保存されるのか、またカード情報を利用して行っている業務・事業にはどのようなものがあって、どの部署でそれを行っているのか…サーバやクライアント、ネットワーク機器の特定まで行います」

データが保存・処理されたり通過していたりする箇所に見落としがないようにするため、こうしたヒアリングはIT関連部署だけでなく、実際に業務を行っている現場担当者にも及ぶことがあるという。

最適化でPCI DSS準拠や、その後のコストを抑える

明確になったデータ・フローと、システム構成、業務内容などを総合的に分析し、インフォセックは「非保持化が可能なのか、可能であればどういうシステム改修が必要となるのか」あるいは「PCI DSS準拠を念頭にすべきなのか」を判断し、対処策を提案する。PCI DSS準拠を目指す場合には、カード情報を管理・保存している「カード会員データ環境（CDE）」周りを中心に、カード情報の流れを見直すのがファーストステップとなる。

たとえば多くの部署が共有するデータを保存したサーバが、不用意にCDEと接続されていると、そのサーバはもちろん、そこにアクセスできるすべてのシステムにPCI DSSを適用しなければならなくなり、準拠にかかる費用も将来的に準拠の状態を維持していく費用もかさんでしまう。こうした事態を避けるために、カード情報を保存・処理あるいは通過する箇所を必要最小限にし、システム全体の最適化を行っていくのだ。

• 

  CDEへのアクセスを必要最小限にし、PIC DSSの適用範囲を最適化する

「当社では業務プロセスへの影響を検討しながら、適用範囲を最小限にできるシステム、ネットワーク構成をお客様（加盟店など）やSIer様にご提案するだけでなく、SIer様が作成された改修設計書がPCI DSSに準拠したものになっているかどうかのレビュー、審査に必要な文書の作成など、全般にわたって支援していきます」（鈴木庸介氏）

システム改修後には、そのままインフォセックがPCI DSSの認定審査機関（QSA）として審査にあたる。専門審査員が訪問して準拠状況を再確認し、問題がなければ認証取得となる。

代替策にも柔軟に対応する、高い専門性と豊富な実績

PCI DSSではシステム設計上、どうしても要件に沿わない部分が出てきてしまった場合、本来の要件と同等かそれ以上のセキュリティを担保できれば、代替コントロールを用いることが認められているが、代替コントロールの考案についても「できる限り対応させていただきます」と、認証ユニット シニアセキュリティコンサルタント 鳥飼勝利氏は語る。QSAとして豊富な知見を備えているからこそ、可能な対応といえるだろう。他のQSAが不合格としたシステムに、インフォセックが代替コントロールを講じて準拠に導いた例もあるとのことで、柔軟な対応が期待できる。

認証取得後には、年1回のペネトレーションテストや四半期ごとの脆弱性スキャンなどが義務づけられ、またPCI DSSがバージョンアップした際には追加対応が必要となるが、こうしたアフターフォローもインフォセックがサポートする。

認証ユニット セキュリティコンサルタントの伊賀誠氏によると「コンサルティングからアフターフォローまで、一気通貫でサポートできるのが当社の強みです」とのことだ。

サイバーセキュリティソリューションをワンストップで提供

ここまで改正法対策という切り口でのみ触れてきたが、インフォセックはそもそもサイバーセキュリティソリューションをワンストップで提供しているグローバル企業だ。その信頼性の高さは、SOC（Security Operation Center）をはじめとする同社のセキュリティ関連サービスを、官民問わず大手組織が採用していることからも伺える。

こうした実績は、杓子定規に「実行計画」やPCI DSSの要件を満たすだけではなく、現実のサイバー攻撃に有効なセキュリティ対策を広い視野から提案できることの裏付けとなるはずだ。今回の法対応のみならず、セキュリティのスペシャリストとして、相談を持ちかける際の有力な候補といえるだろう。

連載3回目となる次回は、モデルケースに基づいて、インフォセックの支援サービスをより具体的に紹介する予定だ。

[PR]提供：インフォセック