ROBOT PAYMENT Engineers Blog

株式会社ROBOT PAYMENTのテックブログです

サブスクペイのPCI DSS対応

こんにちは、ペイメント事業部システム課マネージャーの戸田です。 今回はサブスクペイのシステム基盤である決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介します。

PCI DSSとは

まずPCI DSSとは何かご存じでしょうか? 簡単にご説明すると、クレジットカード情報を安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準となります。 詳しくはPCI SSCや日本カード情報セキュリティ協議会などのドキュメントをご覧いただけばと思いますが、割賦販売法においてもクレジットカード情報を「伝送」「処理」「保存」している企業やサービスは、このPCI DSSの準拠することが求められます。 もちろん、弊社が提供するサブスクペイもクレジットカード情報を取り扱っているため、PCI DSSに準拠することが求められており、毎年監査を受けながらPCI DSS要件に沿った開発・構築・運用を行っています。

要件ごとのPCI DSS対応状況

要件1、2 安全なネットワークとシステムの構築と維持

要件1、2は「安全なネットワークとシステムの構築と維持」に関する要件となっており、主にファイアウォールの構成・維持やパスワードやセキュリティパラメーターのデフォルト値に関する内容となっています。 決済システムは主にAWS環境を利用していますので、VPCやセキュリティグループなどを適切に設定して対応しています。 また、構築や維持に関するポリシーや手順をドキュメントにまとめ、手順に沿ったタスクチケットを発行してタスク管理を行っています。

要件3、4 カード会員データの保護

要件3、4は「カード会員データの保護」に関する要件となっており、カード会員データの「保存」や「伝送」に関する内容となっています。 なお、「カード会員データ」には「カード番号(PAN)」「カード会員名」「有効期限」「サービスコード」が含まれますが、サブスクペイはオンライン決済サービスなので、「カード番号(PAN)」「カード会員名」「有効期限」を扱っています。 これら「カード会員データ」を安全に保存や伝送するため、ポリシーや手順をドキュメントにまとめつつ、AWSのサービスなどを活用してデータや通信の暗号化を行っています。

要件5、6 脆弱性管理プログラムの維持

要件5、6は「脆弱性管理プログラムの維持」に関する要件となっており、マルウェア対策やアプリケーション開発時の脆弱性対策に関する内容となっています。 マルウェア対策はAWSやマルウェア対策のサービスを利用して対策を行っており、システム基盤チームが頑張って日々チューニングなどを行ってくれてます。 アプリケーションの脆弱性対策については、開発時に機能開発チームがレビューをしたり、定期的にアプリケーション診断を行って脆弱性を検出し対応を行っています。 最近はOWASP ZAPでの診断も行っています。

要件7、8、9 強力なアクセス制御手法の導入

要件7、8、9は「強力なアクセス制御手法の導入」に関する要件となっており、「カード会員データ」や「システムコンポーネント」へのアクセス制御や、施設などの物理的なアクセスに関する内容となっています。 こちらは、AWSのサービスやディレクトリサービスなどを用いてアカウント管理や権限管理によってカード会員データへのアクセスを制限しております。 以前はデータセンターに何台もの機器を置いてオンプレで運用してアクセス制御も大変だったのですが、今はAWSのおかげでオンプレ時代よりもずいぶん運用が楽になったと感じております。

要件10、11 ネットワークの定期的な監視およびテスト

要件10、11は「ネットワークの定期的な監視およびテスト」に関する要件となっており、「ネットワークリソース」や「カード会員データ」へのアクセスの追跡や監視、脆弱性診断やペネトレーションテストに関する内容となっています。 決済システム環境ではいろいろなログや監査証跡があり、これらを日々監視や確認を行っております。 また、ASVスキャンと呼ばれる外部脆弱性診断、内部脆弱性診断、ペネトレーションテストも要件に沿って定期的に実施し、もし脆弱性が検出されればルールに沿ってリスクレベルごとに対策方法を検討し対策を行っています。

要件12 情報セキュリティポリシーの維持

要件12は「情報セキュリティポリシーの維持」に関する要件となっており、リスク評価、担当者の情報セキュリティに対する教育や責任、採用時のチェック、インシデント対応計画などシステムよりも人に対する内容となっています。 「カード会員データ」など重要なデータにアクセスできる担当者はもちろん、情シスが中心となって全社的に情報セキュリティに対する取り組みを行っております。 また、教育やインシデント対応訓練なども定期的に行い、課題があれば見直しを行っています。

今後の課題

現在弊社が準拠しているPCI DSSはバージョン3.2.1ですが、今後4.0へのバージョンアップが必要となります。 今回はメジャーバージョンアップとなるため、新しい要件や変更された要件への対応が必要です。

また、主にレビューなどで対応するメンバーのスキルに依存している部分があるため、もっと自動化や定量評価できるような仕組み作りが必要だと感じています。

まとめ

PCI DSSは毎年監査があるので、脆弱性診断などセキュリティ対策をサボることはできません(笑)。 でも、そのおかげで自然とセキュアな環境を維持できていることは良いことだと思います。

また、PCI DSSへの準拠や運用はとても大変ですが、セキュアな環境構築や運用のスキルを身に付けることができると思います。

PCI DSSのドキュメントは日本語訳されておりますし、SAQという自己問診票もあります。 システムのセキュリティ対策に興味のある方や、システムのセキュリティ対策をすればよいかお悩みの方は、一度ご覧になってみると良いかもしれませんね。