カード業界ならではの厳格なセキュリティ基準であるPCI DSSへの準拠をスムーズに実現。

企業名

ソフトバンク・ペイメント・サービス株式会社

さらなるセキュリティ向上のために、IDSのインハウス化を検討。


ソフトバンク・ペイメント・
サービス株式会社
サービス本部 本部長
本郷 英幸 氏

ブロードバンド時代、ECビジネスはますます活気を呈しています。ECサイト事業を展開する上で欠かせないのが決済ですが、その方法は、クレジットカー ド、プリペイドカードをはじめ、コンビニ、Pay-easyなど、実に多様化しています。こうしたECサイト事業者に、費用対効果の高い決済サービスを提 供しているのが、ソフトバンク・ペイメント・サービス(株)(以下SBPS)です。ソフトバンクグループの決済サービスの企画・運営・管理を一手に担う技 術を背景に、事業者のニーズに合わせたシステム、ネットワーク、セキュリティ対策をワンパッケージで提供。さらに、金融機関との契約や集金代行など、事業 者の業務負担を解消する多様なサービスも用意しています。

クレジットカード業界では、2004年12月にVISAをはじめとする国際カードブランド5社が共同で、PCI DSS(Payment Card Industry Data Security Standard)と呼ばれる業界の共通基準を策定しました。この基準はクレジットカード情報の保護を目的としており、実装レベルのセキュリティ対策に踏 み込んだ様々な要件を定めています。個々のカードブランドも、自社が整備するリスク管理プログラムにおいて、PCI DSSへの準拠を求めています。また、VISAのリスク管理プログラムであるAIS(Account Information Security)においては、VISAの決済システムを利用してカード情報や取引情報を処理、保管、送信している全ての企業の参加が義務付けられていま す。つまり、加盟店やプロセサなどこのプログラムの対象となる企業はPCI DSSに準拠していく必要があります。

SBPSも、当然、多岐にわたる厳格な要件をクリアし、PCI DSSへの準拠を果たしていました。しかし、サービス本部本部長の本郷英幸氏は「恒常的なセキュリティ対策は、決済サービスを提供しているプロバイダとしては、必須のものです。脆弱性診断やファイアウォール導入など様々なセキュリティ対策を実施し、毎日、個々のサーバをチェックしていました。ですが、どれくらいの脅威や不正アクセスが来ているのかという点になると、なかなか分かりませんでした」と語ります。というのも、SBPSでは、IDS(侵入検知システム)をアウトソースしていたため、必要な情報を必要な時にすぐ確認することが難しかったのです。「毎年、PDCAサイクルでセキュリティ対策をチェックし、見直しを図っています。その過程で、アウトソーシングしているIDSの運用に関しても自社で実施してはどうかという話が上がったのです」(本郷氏)。

また、サービス本部システム部部長の宝本卓氏は次のように語ります。「IDSの運用をアウトソーシングしていても、もちろんPCI DSSの基準はクリアしていました。しかし、お客様から信用情報など重要なデータをお預かりするプロバイダとして、セキュリティ対策は自社内で完結すべきだと考えました」。そこで、アウトソーシングしていたIDS運用のインハウス化が検討されました。

増設機器部分をPCI DSSに準拠させるだけでなく、
システム全体の準拠性を維持することが必要。


ソフトバンク・ペイメント・
サービス株式会社
サービス本部 システム部 部長
宝本 卓 氏

「AISでは、セキュリティ対策を報告する必要があります。これに関しても、自社内でIDSを運用することで積極的に取り組んでいることを強くアピールできます。また同様に、決済サービスを契約している事業者様に対しても、我々がセキュリティ対策を、システムだけでなく運用まで含めてしっかりとやっていることを訴えることができるとも考えました」(宝本氏)。

しかしながらIDSの自社内への導入と運用は、簡単にできるものではありません。これまでは、SBPSの社内システムを外部のベンダーがIDS監視・運用をするという構成でPCI DSSへの準拠性を維持していました。そのため、これをインハウス化すれば、社内システムの構成が変わることとなり、そのままでは準拠できなくなります。IDSを社内システムに取り込んだ新たな構成でPCI DSSの準拠性を維持し続けるには、SBPSの社内システム、IDS、PCI DSS、AISプログラム、これら4つを理解していることが必要となるのです。

「ネットワンシステムズとは、当社の創業時のネットワーク構築から一緒にやってきました。つねに、我々のビジネス、サービスを考えた上での提案をしていただいています。例えば、スイッチを導入したいとお願いすると、そのバックにセキュリティチームがついていて、セキュリティ上、必要なアドバイスまでいただいています。その逆の場合も同様です。我々のシステムに詳しく、ワンストップで幅広い提案がいただけるというところから、今回のIDS導入、そしてシステム全体のPCI DSS準拠の維持は、迷わずネットワンシステムズに依頼することにしました」(宝本氏)。

200項目以上をチェック。
IDS導入、PCI DSS準拠性の維持はスムーズ。

PCI DSSは、12の要件からなり、200以上の項目があります。内容も、法律の条文風に記述されているため、容易に理解することはできまん。また、年々刷新されます。「自社内だけでPCIDSSの内容を咀嚼して準拠しようとするとかなり大変です。しかし、ネットワンシステムズはPCIDSSをはじめとするセ キュリティに精通しており、細かいところまでサポートしてくれて、導入は実にスムーズに行えました」(宝本氏)。

どれだけのアラートが発生しているか確認するために、IDSの導入は段階的に行われました。ファイアウォールの外側に設置した時は、ハイレベルのアラートが5万件/日も発生。内側に設置すると、数値は激減。最終的に想定場所に設置すると、ほとんど不正アクセスは検出さず、検出された不正アクセスも心配のないアラートだったといいます。「アウトソースしていたときには分からなかった状況が確認できたのは、非常に良かったと思います。また、アラートひとつひとつを解析することにより根拠があることが判明し、技術的な観点から有意な情報として吸収できるものもありました」(宝本氏)。

セキュリティ対策の可視化で事業者に健全性・信頼性をアピール。

現在、専用のオペレーションセンターが設けられ、そこではモニターにシステムの状態が表示されています。「セキュアな情報をお預かりしている以上、どれだけのセキュリティ対策を実施しているか、事業者様に対して可視化することは使命だと思っています。モニターには、ネットワーク全体の状態はもちろん、アラートもあえて表示するようにしています」(宝本氏)。

また本郷氏は、事業者のセキュリティに対する関心が高くなっていることを言及されています。「最近では、お客様は、どういうセキュリティ対策を実施しているのかチェックされます。そこで、公的な資格を含めて、我々がどういうアプローチでどんな施策を行っているのか、可視化した状態で説明すると、決済サービスを導入するにあたっての、非常に大きな力になるのです」。セキュリティ対策の可視化が、SBPSの健全性のアピールにつながっているというわけです。

PCIDSS準拠支援サービスの概要

PCIDSS準拠支援サービスの概要
拡大表示

PCI DSSは、クレジットカード業界以外でも
セキュリティ基準の良い物差しになる。

決済オペレーションセンター
決済オペレーションセンター

PCI DSSはクレジットカード業界独自のセキュリティ基準ですが、本郷氏は、他の業界でも非常に有効な基準として活用できるといいます。「ソフトバンクグルー プ全体のセキュリティ対策を目的とした集まりがあるのですが、そこで話を聞くと、内部統制の切り口が、結果的にPCIDSSと合致したということがありま した。つまり、システムの健全性を測る物差しとしての機能を、PCI DSSは備えているのだと思います」。

経済産業省の外郭団体であるIPA(独立行政法人情報処理推進機構)の調査によると、セキュリティ対策を実施する上において最も知りたい情報の第1位が、 セキュリティ基準という結果が出ています。どのようなセキュリティ対策を実施すれば良いのか、どの企業も迷っているのが実情のようです。こうした企業に、 PCI DSSは非常に役立つ物差しとなると言えます。

「PCI DSSに準拠することで、どういう基準で、どういった対策を行えばよいか、論理的に組み立てることができます。つまりセキュリティを可視化することが可能になり、それが企業の健全性を表す指標として役立つのではないでしょうか」(本郷氏)。

Webからのお問い合わせ、ご質問はこちらから
お問い合わせ窓口へ

イベント/レポート

pagetop