Skip to content

導入事例:テレコムクレジット株式会社

強固なセキュリティ体制をPCI DSS認証取得で証明
Trend Micro Deep Security™でカード決済のビジネスを加速


導入の経緯

ビジネスの拡大を目指してPCI DSS取得に乗り出す

テレコムクレジットが、インターネット上での決済代行事業に乗り出したのは2001年のことだ。
「サイト運営者は、クレジットカード各社との間で個別契約を結ばなくても、当社1社と契約するだけで、世界共通ブランドのクレジットカードを幅広く取り扱えるようになります。また、クレジットカード会社の審査には相当な時間がかかりますが、当社は審査を効率よく行うことで、カード決済のスピード導入とスピード決済をお約束しています」と、同社のシステム部で部長を務める武内 準氏は紹介する。また、クレジットカード利用者や信販会社に対する24時間365日サポートの提供も、ベンチャー企業や小規模事業者から高評価を得ている。  
こうしたサイト運営者が、契約する決済サービスを比較検討するときに、共通して重視するのがセキュリティ体制だ。インターネット上でのビジネスを成功させるためには、クレジットカード番号をはじめとする個人情報保護への細心の注意が不可欠だからである。
同社は、世界標準の認証システム「VeriSign」との連携、SSL暗号化通信技術のサポート、決済システムに対する24時間365日のモニタリング、プライバシーマーク取得など、さまざまな角度からセキュリティ強化に取り組んできた。特に、Webサイトの安全性を世界基準で保証するTRUSTeについては、自身が認証を取得したうえで審査機関にもなり、同社加盟店の認証取得支援コンサルティングを行っている。
こうして、次々とセキュリティの強化を図る中で、重要なテーマとして浮上してきたのが、クレジットカード業界のグローバルなセキュリティ基準「PCI DSS」である。


導入プロセス

1製品で大半の準拠項目をカバー負担やコストを大きく低減

PCI DSSの取得に向け、まず同社ではサイトに脆弱性のないことをチェックするため、ASV認定の評価機関による外部スキャンを実施。さらに、審査機関の訪問審査による認証取得を目指すプロジェクトを、2010年4月にスタートした。
ただし、PCI DSSの取得は容易なことではない。「PCI DSSが規定する準拠項目は約250にのぼります。そのすべてを達成したうえで、監査についても250項目すべてに対応できる体制を維持しておかなければなりません」と武内氏は語る。つまり取得した後もその運用を継続していくことが重要なポイントとなるのだ。
そこで、同社では実現するための手段をいろいろな角度から検討。最終的に行き着いたのが、トレンドマイクロの総合サーバセキュリティソリューション「Trend Micro Deep Security」(以下、Deep Security)だった。
「準拠項目を達成するため、個別にハードやソフトを検討し、導入していくのは、大変な負担です。ところがDeep Securityなら、サーバにこのソフトウェア1つをインストールするだけ。PCI DSSのハードルを、最も低くしてくれる選択肢でした」と武内氏は言う。
1製品の導入で済むということは、維持/運用管理の軽減にもつながる。導入コストについても、個別製品の導入よりも1/3~1/5程度の安価で、準拠項目を網羅することができたという。
さらに、きめ細かいセキュリティ設定が行える点も、選定の重要なポイントとなった。
「たとえば、既存のルータにもWAF(Web Application Firewall)の機能がありますが、これをオンにすると、ルータが扱うデータのすべてに負荷がかかってレスポンスが悪くなります。Deep Securityなら、必要なデータの流れに対してだけ、的確にWAFを設定できました」とシステム部 SEチーム 主任の丸山 義和氏は語る。
加えて、サーバを増やしたときの柔軟な拡張性、WindowsとLinuxが混在したマルチプラットフォーム環境への対応でも、Deep Securityは大きなアドバンテージを持っていたという。

システム構成概要


導入効果

PCI DSSに最適なツールだと監査機関の担当者も高評価

テレコムクレジットは、2011年1月、訪問審査によるPCI DSS認証を取得した。実質9カ月という短期間での快挙である。
「ニュースリリースを出したところ、あちこちのサイトで紹介されたり、インタビューの申し込みがあるなど大きな反響がありました」と武内氏はその効果を語る。
もちろん、セキュリティのレベルも一段と向上した。
「従来は定期的にログチェックを行っていましたが、今では、予定外のデータ変更などがあればリアルタイムにアラートが発信されます」と武内氏。サーバごとのリモートログイン/リモートログアウト、インシデント、データ変更の履歴など、さまざまなログもきめ細かく記録される。問題の原因究明に必要なデータ、しかも、法的な証拠性を明らかにできるデータを常に確保できる体制になったのである。
「これまでは、各サーバから同じようなエラーメッセージがたくさん飛んできたため、人間が問題点を洗い出し、判断していました。Deep Securityなら、問題点を絞り込んだうえで、メッセージが1つだけ挙がってきます。そのため、問題を容易に特定でき、迅速に対処が行えるようになりました」と丸山氏は話す。
セキュリティ関連のデータを一元管理できるようになったのも成果の1つだ。あちこちの機器に分散して記録されるログを突き合わせる必要もない。
「たとえば、WAFで問題がチェックされたとき、ちょうどその時間に他のサーバにどのようなログインがあったかを即座にドリルダウンできます。その結果、今まで見えなかったことも見えるようになってきました」と丸山氏は述べる。
さらに、豊富なログを使って、監査の資料作成も容易になった。「訪問審査では、Deep Securityの設定を順番に見ていくだけで監査がスムーズに進むため、監査人も、『まるでPCI DSSのために作られたツール』だと評価していました」と丸山氏は話す。
今後、決済サービスを拡大してマルチペイメントにも対応し、加盟店の利便性をさらに高めていきたいと意気込むテレコムクレジット。Deep Securityは、近い将来のシステムの複雑化、規模拡大にも柔軟に対応しながら、同社のさらなる成功をバックから支援していく。

PCI DSS の要件とテレコムクレジットにおけるDeep Securityでの対応

【導入先プロフィール】

会社名 テレコムクレジット株式会社
所在地 〒106-6134 東京都港区六本木6-10-1 六本木ヒルズ森タワー34階
設立 1993年3月
資本金 5,000万円
従業員数 80名(2009年6月現在)
事業内容 クレジットカード決済代行業務、コンビニ決済代行業務、TRUSTe認証取得審査・支援コンサルティング業務、ショッピングモール運営業務、アフィリエイトサービス(BannerBridge、MoBri)、広告代理店業務
URL http://www.telecomcredit.co.jp/

※ 記載内容は2011年3月現在のものです。内容は予告なく変更される場合があります。