株式会社 ISAO 様 セキュリティ基準 PCI DSS 準拠に向けて

株式会社 ISAO 様
セキュリティ基準 PCI DSS 準拠に向けて「CAFIS COUPLER Advance」を導入
1999 年創業の株式会社 ISAO(イサオ)様は、インフラ構築・
運用を始め、WEB サイト・モバイルアプリの構築、決済代行・会
員管理、2 要素認証サービスの"Mamoru"、スマホ動画配信サービ
ス"ムービーフルプラス"など、IT を活かし幅広く事業を展開され
ています。
ISAO 様は、クレジット決済システムのセキュリティをより強固
なものにするため、カード情報セキュリティの国際標準規格であ
る「PCI DSS (Payment Card Industry Data Security Standard)」
株式会社 ISAO
に準拠したシステムの再構築を決断され、2017 年 3 月の稼働に
向けた新システムの開発を推進されています。その中では、CAFIS センターとの接続に「CAFIS COUPLER Advance
(キャフィスカプラーアドバンス)」のソリューションを採用されました。
システムを再構築するに至る背景・経緯や製品採用の目的について、ペイメントソリューションプロジェクトの
寒川様、石井様にお話を伺いました。
(インタビュー日:2016 年 12 月 21 日)
国際セキュリティ基準 PCI DSS とクレジット業界の動向
近年の電子商取引の急増や、2020 年に向けた訪日外国人の需要取込を背景
にして、キャッシュレス決済環境の整備促進、およびセキュリティ環境の強化
が、クレジット関連業界の課題と認識しています。行政側もキャッシュレス化
推進を重要な政策課題としており、2016 年 2 月、
「クレジットカード取引にお
けるセキュリティ対策の強化に向けた実行計画」を発表しました。これは、セ
キュリティ環境を国際水準レベルに引き上げるため、経済産業省とクレジット
取引セキュリティ対策協議会が具体的な目標と今後の取り組みを示唆したも
のです。
ペイメントソリューション
プロジェクト
寒川様
その目標は、国際セキュリティ基準 PCI DSS に、2018 年 3 月末までに準拠
することです。PCI DSS は、カード情報の保護を目的に国際カードブランド
5 社が共同策定した基準で、ファイアーウォールの構築やカード会員データの暗号化、強固なアクセス制御手法の導
入などの観点から「12」の要件を規定しています。株式会社 ISAO は、これまでもセキュリティ対策に注力してきま
したが、この実行計画の発表を受け、早々に PCI DSS に準拠したシステム構築の検討に入りました。
1
Copyright 2017 FUJITSU LIMITED
安全なネットワークとシステムの構築・維持
PCI DSS
順守目的
①
強固なアクセス制御手法の導入
(要件 1)
カード会員データを保護するために、ファイアウォール
をインストールして構成を維持する
PCI DSS
順守目的
④
(要件 2)
システムパスワードおよびその他のセキュリティパラ
メータに、ベンダ提供のデフォルト値を使用しない
カード会員データの保護
PCI DSS
順守目的
②
(要件 7)
カード会員データへのアクセスを、業務上必要な範囲内
に制限する
(要件 8)
システムコンポーネントへのアクセスを確認・許可する
(要件 9)
カード会員データへの物理アクセスを制限する
定期的なネットワークの監視及びテスト
(要件 3)
保存されるカード会員データの保護
PCI DSS
順守目的
⑤
(要件 4)
オープンな公共ネットワーク経由でカード会員データを
伝送する場合、暗号化する
(要件 10)
ネットワークリソースおよびカード会員データへの
すべてのアクセスを追跡および監視する
(要件 11)
セキュリティシステムおよび管理手順を定期的にテス
トする
情報セキュリティポリシーの整備
脆弱性管理プログラムの整備
PCI DSS
順守目的
③
(要件 5)
すべてのシステムをマルウェアから保護し、ウィルス対
策ソフトウェアまたはプログラムを定期的に更新する
(要件 6)
安全性の高いシステムとアプリケーションを開発し、
保守する
PCI DSS
順守目的
⑥
(要件 12)
すべての担当者の情報セキュリティポリシーを整備
する
PCI DSS 順守目的と「12」の要件
クレジット決済システム再構築の経緯
しかし、基幹システム(現行)を PCI DSS に準拠させることは困難であること
が、すぐに判明しました。インターネット接続サービスやオンラインゲームでの
認証、決済を生い立ちにした当社は、サービス利用料やオンラインゲーム・アイ
テム販売における課金処理システムから始まり、そこに様々なサブシステムを追
加・構築してきました。決済代行を事業としてからも、振込やクレジットカード
等、決済方法の追加の度にシステムを増強し拡張してきたため、システムの実体
が、機能単位、業務単位に整理されて分かれておらず、対処すべき箇所が広範囲
にわたっていました。
その対応として当社は、PCI DSS に準拠すべきクレジット決済機能を現行のシ
ステムから分離して、新環境の上に構築することにしました。業務アプリケーショ
ペイメントソリューション
プロジェクト
石井様
ンは、従来のシステムから切り出し改修します。そうすることで、PCI DSS に対
応すべき部分が明確になり、適切なセキュリティ対策を講ずることが可能となります。今後のセキュリティ強化も含
め、システムの拡張性・柔軟性も確保できると判断しました。こうして、2017 年 3 月の稼働を目指して、新クレジッ
ト決済システムの構築に着手しました。
新クレジット決済システム全体イメージ
2
Copyright 2017 FUJITSU LIMITED
「CAFIS COUPLER Advance」の中で着目した 2 つの機能
新クレジット決済システムの構築にあたり、CAFIS センターとの接続部分に富士通さんの製品 CAFIS COUPLER
Advance を全面的に導入しました。当製品は、CAFIS センターとの通信手順を吸収し、業務アプリケーションに簡易
な API を提供しています。現行システムで使用している「CAFIS COUPLER」を機能拡張した後継製品でもあり、安心
して導入を決定しました。
CAFIS COUPLER Advance の導入では、次の 2 つの機能に着目し、その効果に期待しています。
1 つ目は、PCIDSS 準拠に不可欠なカードデータをセキュアに扱う機能です。CAFIS COUPLER には無い新機能で、ク
レジットカード内のセンシティブ情報(クレジット会員名、クレジット番号、有効期限等)のマスク化を図ります。
製品内で処理する場合に加え、出力ログもマスク化し出力します。
2 つ目は CAFIS センター接続をシミュレートする機能です。実際の CAFIS センターと接続せずに、業務アプリケー
ションの開発が可能です。正常系のほか異常系を含め、様々なバリエーションのテストができます。CAFIS センターと
の接続試験は、予約から実施まで数カ月を要し試験期間も短いため、1つの不具合が稼働の遅れに繋がりかねません。
CAFIS COUPLER Advance の導入により当社は、十分なテストを行った高品質なシステムで接続試験に臨むことができ
ます。
マスク化機能は、業務アプリケーションで対応しても、10 人日程度で開発できると見込まれますが、クレジット業
界全体が PCI DSS 準拠に早急に対応していく現状を見ると、業界全体ではその工数削減効果は多大であり、マスク化
機能を先駆けて搭載した CAFIS COUPLER Advance は、業界動向を的確に見据えたソリューションだと思います。
新クレジット決済システムのセキュリティ対策
そのほか、新クレジット決済システムは、次のセキュリティ対策を講じています。
まず、現在のブロードバンド化が進んだインターネットからの攻撃に備え、何重ものファイアーウォールで覆いま
した。そしてその内側に、最新の侵入防止システムを導入しています。これは、外部・内部からの侵入を検知した上
で、その攻撃を防御する機能を備えたものです。
決済処理における CAFIS センターとの接続は、もちろん専用回線を使用し、データの暗号化も施しています。
現在、このようなセキュリティ対策を実施して、PCI DSS 準拠のシステム構築を進めています。今後も当社は、セキュ
リティ強化をさらに進めていきますが、それがお客さまにとって安心して使っていただける利便性のあるサービスの
提供に通じ、ひいては業界全体の発展に繋がるものと考えています。
3
Copyright 2017 FUJITSU LIMITED
担当営業からのひとこと
クレジット決済システム基盤の PCIDSS 準拠対応において、
「CAFIS COUPLER
Advance 」をご採用をいただき、誠にありがとうございます。当社製品が ISAO
様の業務にご活用いただけて、担当営業として本当に嬉しく思っております。
今後も、ISAO 様にてより良いサービスをご提供いただけるように、IT ベン
ダーの立場で、更なるセキュリティ向上や安心安全の基盤づくりに貢献して参
ります。また、当社のご支援が ISAO 様のビジネス拡大の一翼を担えれば幸い
です。
株式会社富士通マーケティング
情報サービス営業部
蔦木
お客様プロフィール
名称
本社所在地
設立
資本金
株式会社 ISAO
東京都台東区浅草橋 5-20-8 CS タワー7 階
1999 年 10 月
150,000,000 円(豊田通商株式会社 100%出資)
・決済代行、会員管理、認証事業"Mamoru"
・サーバ構築/運用事業
事業内容
・WEB サイト/モバイルアプリの構築事業
・カスタマーサポート事業
・スマホ動画配信サービス "ムービーフルプラス"
https://www.isao.co.jp/
ホームページ
(平成 28 年 4 月現在)
・本事例中に記載の肩書きや数値、固有名詞等はインタビュー日現在のものであり、このページの閲覧時には変更
されている可能性があることをご了承ください。
-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-・-
4
Copyright 2017 FUJITSU LIMITED
CO2 削減効果
~CAFIS COUPLER Advance
マスク化機能に対して~
CAFIS COUPLER Advance のマスク化機能の利用によって開発の効率化を実現し、10 人日分の接続試験の工数削減、
CO2 の排出量換算で、43.7kg 削減されました。
項目
導入前
導入後
工数
10 人日
0 人日
CO2
43.7kg
0.0kg
削減量
10 人日削減
(100%削減)
43.7kg 削減
(100%削減)
(富士通ツールを使用し算出)
5
Copyright 2017 FUJITSU LIMITED