「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社 | ScanNetSecurity
2020.06.05(金)

「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社

本稿では、その受講企業のひとつであるスマート・ツー株式会社 代表取締役社長 宗景 梨香 氏に、その目的や受講成果などについて詳しい話を聞いた。

研修・セミナー・カンファレンス セミナー・イベント
 2018 年 6 月 1 日に施行された「改正割賦販売法」によって、加盟店を含む全てのクレジットカード情報を取り扱う事業者に、カード情報保護対策が義務付けられた。カード会社、決済代行事業者、サービスプロバイダに加えて、クレジットカード情報を自社システムで保持する加盟店は、国際ブランドによる業界セキュリティ基準であるPCI DSSへの準拠が求められる。

 PCI DSS は、準拠とその後の運用フェーズで「脆弱性スキャン」と呼ばれる脆弱性の診断を年 4 回、同じく「ペネトレーションテスト」を年 1回、それぞれ義務として課される。その費用は少なく見積もっても年間 300 ~ 400 万円。さらに一桁上に達することもある。地方金融機関のカード会社など、ごく小規模の事業体も多い中で、そのコストは準拠企業にとって重い負担である。

 加えて、PCI DSS に対応した脆弱性スキャンやペネトレーションテストを実施できるセキュリティ企業が国内にまだ多くないことも、課題のひとつだ。これもまた、価格が下がらない一要因ともなっている。

 必要な診断のうち「外部の脆弱性スキャン」と呼ばれる診断は、PCI DSS を策定した、国際カードブランドが共同で設立した団体 PCI SSC( Payment Card Industry Security Standards Council )が認定した、ASV( Approved Scanning Vendors )と呼ばれる認定スキャニングベンダーが実施する必要があるが、それ以外の診断やペネトレーションテストに実施事業者の定めはない。

 そのため、PCI DSS準拠の運用コスト削減の方法として、脆弱性スキャンとペネトレーションテストの内製化が注目されている。

 PCI DSS に関連するコンサルティングサービスを主軸とするfjコンサルティング株式会社は 2019 年から、PCI DSS の診断を内製化したい企業や、PCI DSS 対応サービス追加を検討する脆弱性診断事業者に向けて、国内で過去実施例のない研修コースの提供を開始した。少人数制の1人1台のハンズオン形式で、過去 3 回でのべ 20 人超の研修コースの卒業生を送り出した。

fjコンサルティング株式会社
PCI DSS 脆弱性スキャン・ペネトレーションテスト トレーニングコース
https://www.fjconsulting.jp/training/pentest_workshop/

 本稿では、その受講企業のひとつであるスマート・ツー株式会社 代表取締役社長 宗景 梨香 氏に、その目的や受講成果などについて詳しい話を聞いた。


--

 スマート・ツー株式会社は、1998 年設立、従業員 24 名。アプリケーション開発から Web 製作、サーバ管理、データセンター運用、社内ネットワークインフラの構築から管理まで、主に B2B 市場向けに一気通貫のサービスを提供する。

 同社はエンジニアだけで構成される技術志向の企業だ。営業担当者はただの一人も存在せず、闇雲な拡大路線は決してとらない。既存顧客からのアップセル及び紹介によって事業成長を成し遂げてきた。顧客の満足が生み出す信頼があって初めてできることである。

 スマート・ツー社が PCI DSS と関わったのは、クレジットカード決済システムを提供してきた、ある既存顧客企業が、2014年に PCI DSS 準拠プロジェクトを立ち上げたことだ。システム提供企業として、スマート・ツー社もプロジェクトに参加、顧客と手を携えた試行錯誤の果てにようやく準拠にこぎつけた。

 準拠 1 年目は PCI DSSに不適合となる事項への対応や報告を夢中でこなしたという。

 「 PCI DSS をちゃんと理解できたと思ったのは 2 年目の監査が終わってからでした(宗景社長)」

 時を同じくして、他にも PCI DSS に準拠する顧客が増えてきた。現在 4 社の顧客が PCI DSS 準拠企業である。

 PCI DSS 準拠とその後の運用で最大の問題のひとつが、脆弱性スキャンとペネトレーションテストだ。金額はもちろんのこと、PCI DSS に準拠した診断をこなせる企業がそもそも少ないのだ。PCI DSS 準拠のための診断経験を豊富に持つ信頼できる事業者は、宗景社長によれば、国内に 10 社あるかないかだという。

 事業者の少なさはデリバリー品質の低さに直結する。必要なときに必要な診断ができない。依頼すると「早くても半年後」という回答がざらだった。

 2019 年春、宗景社長のもとに、診断内製化のための研修コースを受けたいと、ある若手社員が申し出た。

 その時点ですでにスマート・ツー社は、PCI DSS 準拠と運用を 5 年間行ってきた経験があった。2019年3月にサービスプロバイダとして正式に準拠証明書( AOC : Attestation of Compliance )を取得してもいた。宗景代表の中で、PCI DSS の診断とペネトレーションテストの完全内製化が、にわかに現実味を帯びた。

 「『自分たちでもできるのでは』というより『むしろ自分たちでやった方が顧客により付加価値を提供できる』と考えました(宗景社長)」

 付加価値とは、顧客が実施したいときに実施できるという点だけではない。宗景社長にとって腑に落ちなかったのが、診断会社による見積金額の差だ。全く同様の診断内容を依頼しているにも関わらず、診断会社によって 2 ~ 3 倍にもなることがあり、「提示される金額の根拠が分からないことに、技術者として納得がいかなかった(宗景社長)」。内製化すればスマート・ツー品質ですべてのサービスを提供可能になる。

 fjコンサルティングの研修コースを探し出してきたのは、同社最初の PCI DSS 支援案件に関わった、社内の若手エンジニアだった。

 「いま外注している脆弱性スキャンとペネトレーションテストが内製化できるなら、ありえないほど低価格(編集部註 2日間 18 万円)の研修です」エンジニアは語気を強めた。

 結果的に、「PCI DSS 脆弱性スキャン/ネットワークおよびセグメンテーション(境界)ペネトレーションテスト研修」(以下脆弱性スキャン/ネットワークペネトレーションテスト研修)を同社技術者が 2 名受講した。その後、インフラ担当者の受講感想が社内で広まり、開発スタッフも受けたいと言い出したのは自然な流れだった。

セミナー講義風景
セミナー講義風景

 同年秋に開催された「Webアプリケーションペネトレーションテスト研修」では受講人数を 1 名増やし、3 名のエンジニアが参加した。一部のエンジニアをのぞいては OWASP の基準も知らない知識レベルだったという。

【スマート・ツー株式会社 研修受講者内訳】
●脆弱性スキャン/ネットワークペネトレーションテスト研修受講者
・30歳になりたての若手エンジニア。AWS 等クラウドやネットワーク関連に強く、PCI DSS 準拠の最初の案件に携わった
・ネットワークと Windows サーバ、Linux サーバを専門とするエンジニア

●Webアプリケーションペネトレーションテスト研修受講者
・20 年以上決済サービス開発に携わったエンジニア
・開発のマネジメントなど上流工程を指揮するエンジニア
・セキュリティ診断の管理やディレクションに携わるエンジニア

 脆弱性スキャン/ネットワークペネトレーションテスト研修では、まず一日目の前半で関連するPCI DSS の要件と診断の内容が詳しく解説される。その後 一人一台の実機環境でNmap や、Metasploit などのツールを使用した実際の診断やペネトレーションテストの演習を行う。Webアプリケーションペネトレーションテスト研修では、関連するPCI DSSの要件に加え、業界のベストプラクティスとして最新のOWASP TOP 10を参照し、テストすべきセキュリティリスクについて詳細に解説。OWASP ZAPに加えて、ツールだけでは対応できないリスクをカバーする手動ペネトレーションテストについても実機演習を行う。

 以下は、受講したスマート・ツー社のエンジニアの主な感想である。

 「 PCI DSS の視点、それも具体的経験に基づく視点での類似の講義は国内に他にない」

 「 PCI SSC からペネトレーション テストに関するガイダンスは公開されているものの、具体的にどう作成すればいいのかわからない。その筆頭であるレポーティングについても、わかるまで経験者が教えてくれた」

 参加したスマート・ツーのエンジニア達のうち、すでに PCI DSS 準拠やその運用の経験を持つ技術者は、現場で経験した生々しい疑問や質問を、受講前に多数準備していたという。大いに有意義な時間となったそうだ。

 「fjコンサルティングの豊富な経験に基づく、とにかく PCI DSS に準拠するためのノウハウが満載されていることが、研修コースを利用して一番よかったことです(宗景社長)」

 優れた脆弱性診断やペネトレーションテストサービスを提供する企業だからといって、PCI DSS 準拠のための診断ができるという訳では決して「ない」。

 たとえば、ペネトレーションテストは深ければ深いほど良しとされるが、たとえバグバウンティレベルのスーパーハッカーがどれほど芸術的テストを行ったとしても、PCI DSS は、そこまで求めていないという側面がある。また、反対に一般的脆弱性診断では危険度「中」「低」レベルの脆弱性でも、PCI DSS の要件に不適合となるため、修正が必要な場合もある。

 fjコンサルティングの研修コースは「とにかく PCI DSS 準拠のためのスキャンとペネトレーションテストをいかに行い報告するか」という点に特化し研ぎ澄まされていた。

 最後に宗景社長の言葉を紹介する。

 「PCI DSS 関連の支援サービスは、他のサービスと比較すると少なからずリスクがあります。しかし、だからこそ取り組むことで、会社の信頼と価値を上げてくれるサービスだと思います」

 キャッシュレス社会を目指す政府の方針の下、クレジットカード決済のセキュリティ確保は重要な意味を持つ。fjコンサルティングの研修サービスは、PCI DSS準拠企業の内製化によるコスト削減と、PCI DSSに対応した検査が可能な提供会社を増やすことで、キャッシュレス社会の安心に貢献している。

「PCI DSS 脆弱性スキャン・ペネトレーショントレーニングコース」詳細
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

編集長就任10周年記念「宣ベロキャンペーン」中!
編集長就任10周年記念「宣ベロキャンペーン」中!

Scan PREMIUM が半額! こんな時期だからこそセキュリティの未来を考えるオンライン飲み会を開催

×