日本初の PCI DSS 準拠認定取得 -ヤマトシステム開発にその実際を聞く [後編](PCI DSS対策研究所) | ScanNetSecurity
2024.03.29(金)

日本初の PCI DSS 準拠認定取得 -ヤマトシステム開発にその実際を聞く [後編](PCI DSS対策研究所)

 クレジットカード情報を守るために VISA、JCB、MasterCard などの国際クレジットカードブランドが策定した国際セキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」への日本国内での対応が本格化している。

特集 PCI DSS 対策研究所
ysk02 クレジットカード情報を守るために VISA、JCB、MasterCard などの国際クレジットカードブランドが策定した国際セキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」への日本国内での対応が本格化している。

本稿では、日本初の準拠認定例となった、ヤマトシステム開発株式会社にインタビューを実施、取得までの経緯や問題、取得後の課題について話を聞いた。

後編では、同社のカードソリューションカンパニー、事業クリエイトグループのアシスタントマネージャーである木村文孝氏(写真)に具体的な作業について聞いた。

ヤマトシステム開発株式会社
http://www.nekonet.co.jp/

● パッチの適用など、継続的な作業は大変

─ オンサイトレビューはいかがでしたか?

PCI DSS取得への全社を挙げてのプロジェクトは、オンサイトレビューでの完全準拠を目標に進めました。そのため、オンサイトレビューの前に予備審査と、さらにその1ヶ月前に社内で予行演習を実施しました。具体的には、情報セキュリティ委員会のメンバーやISMS取得時のメンバーなどに参加していただいて演習を行いました。これによって足りないドキュメントが判明したりするなど、完全準拠に向けて大いに役立ちました。

オンサイトレビューに向けては、12の要件と2つの付録という規定を確認しながら、足りない部分がないかなどをチェックして準備を進めていきました。ネットワーク脆弱性スキャンは、「定期的なネットワークの監視およびテスト」に規定される要件11のことで、四半期に一回実施しなければなりません。サイクルに乗せて対応を進めているのですが、昨年はバージョンが1.0から1.1に変わるなど要件も年々変わっていきます。たとえば暗号化は行っていましたが、その鍵管理に関しても明確に規定されるようになっています。また、集中ログサーバの導入や改竄検知なども追加されています。

─ PCI DSS取得に向けての調整事項や苦労した点について教えてください

PCI DSSでは、「安全なネットワークの構築と維持」として、2つの要件(要件1および2)があります。これは、ファイアウォールとルータの安全な設定方法と運用方法、サーバやネットワーク機器においてデフォルト設定値を使用しないことを含む、セキュリティ強化基準の策定が求められるというもので、具体的には「無線ベンダのデフォルトSSIDを使用しないこと」「Webサーバなどを構築する際、デフォルトでインストールされてしまう不必要な設定やコンテンツを削除すること」「サーバにデフォルトでインストールされるサービス、プロトコルを削除もしくは無効化すること」などが定められています。

また、3つの要件がある「強固なアクセス制御手法の導入」の要件9では、建物などに関する物理的な管理が定められています。幣社ではすでにISMSは取得していたので、建物でのセキュリティではベースがあり、比較的容易に対応できました。このほか、ISMSとの差分審査も含めて効率よくいくといいなあとは思っていたのですが、一番最初に完全準拠を目指すという大目標もありましたので、とにかく要件への対応作業を最優先で進めていきました。

対応作業は、PCI DSSという新しい物差しに合わせて足りないものを当てはめていくという作業でした。「脆弱性を管理するプログラムの整備」の「OSやアプリケーションのパッチを迅速に適用するプロセス(要件6)」に対しては、ハードウェアでは以前からWAFを導入していましたので、速やかに対処できました。

ただし、「定期的なネットワークの監視およびテスト」の「カード会員データへのアクセスの追跡と監視、および不正アクセスの早期発見と追跡可能性を満たすためのログ管理(要件10)」に対応するため、ソフトウェアにおいては改竄検知と、証跡を取るためのキーロガーをそれぞれ新たに導入しています。

苦労した点では、特に要件6に関わるアプリケーションのパッチ適用が大変でした。大量のパッチの中から重要なものを判断して選出し、開発の方に適用して問題がなければ全体に適用していくという作業が膨大にありました。しかもこの作業はずっと継続していくものなので、そのためのパワーが必要だと感じています。セキュリティパッチも含めて注意していかなければならないことですので、パッチ管理ができるアプライアンス製品の導入も検討しながら進めています。

また、要件の解釈にも苦労があり、QSA(PCI-DSS認定審査機関)である、NTTデータ , セキュリティ社の担当の方にいろいろと質問しました。たとえば初年度のときでは、PCI DSSの「付録A」に規定されている「ホスティングプロバイダ」の解釈に若干差異がありました。最近ではペネトレーションテストでの解釈においても相談しています。これは第三者に実施してもらうことで完全になるのですが、Web、ネットワーク、社内ネットワークの脆弱性調査を別々に実施しているのを、まとめて実施できないかといったキャッチボールをしています。

─ PCI DSSの取得後、変わった点などはありますか?

やはり営業の反応が一番変わりましたね。PCI DSSが認知されてくるにつれて、その効用も理解され、営業がやりやすくなったと聞きます。また、社内でもPCI DSSへの認知度が上がりました。以前はその都度説明する必要があったのですが、現在では普通に通じるようになりました。社外では、お客様からの評価が変わってきました。意外なところからも商談が上がってきているようです。少しずつですが、営業が期待していた方向に向かっているようで、やってきて良かったと感じています。

PCI DSS取得に関して、最終的に60人月強のスタッフと設備で7千万円の費用がかかりました。費用の内訳は人件費が6千万円、ハードウェアおよびソフトウェアで1千万円となっています。PCI DSSも、今年の10月でバージョンが1.2に変わります。また認証取得3年目となるので、来年はすべての審査を受け直すことになります。QSAとの連携によって、これらにもしっかり対応していきたいと考えています。

─ ありがとうございました

(取材・文:吉澤亨史)
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×