EC事業者向け決済プラットフォームをPCI DSSに完全準拠
「Tripwire Enterprise」を活用し、ファイルの整合性を客観的に立証

会社名株式会社デジタルガレージイーコンテクストカンパニー

製品
会社規模
1~99名
事業内容
収納代行サービス
業種
IT・情報通信
URL
https://www.econtext.jp/company/
  • 不正アクセス対策
  • サイバー攻撃対策
選定ポイント
PCI DSS要件(ファイルの整合性の証明)を低負荷で実現
Tripwire Enterpriseは、ファイル変更箇所を検出する構成監査/統制ソリューションによって、証明の客観性を担保できる。
導入の効果
短期間で稼働開始
45日間の試用期間があり、専任のエンジニアが導入や運用のポイントなどの情報提供を行ったことで、短期間での稼働開始となる。
運用負荷の軽減
オープンソースのツールも考慮したが、サポートが弱く、結局のところ工数が増大してしまうという懸念があった。 Tripwireは、運用実績が豊富であり、サポートも手厚いことが決め手になった。
日本版SOX法対応など内部統制の底上げにも有効活用
J-SOXでチェックすべきファイルの管理や、証跡の記録、レポーティングの自動化などに活用する。 内部統制強化を効率的に実現できるという点で、Tripwireの費用対効果は高くなる。

ECサイトで購入した商品・サービスの決済方法が多様化している。カード決済や代引きをはじめ、キオスク端末での決済、ネットバンキングでの引き落としなど、選択肢の広がりは商取引の拡大に弾みをつける。そうした多彩な決済スキームを舞台裏で実現しているのが、株式会社デジタルガレージ イーコンテクストカンパニーの提供するマルチ決済ソリューション「econtextゲートウェイ」だ。
その決済プロセスが、2009年1月、カード業界の定める国際的なセキュリティ基準PCI DSS* に完全準拠した。大方の要件については、同カンパニーが蓄積する運用上の工夫やノウハウで対応したが、PCI DSS要件11.5(ファイルの整合性の証明)については、「Tripwire Enterprise(以下、トリップワイヤ)」を採用。ファイル変更箇所を検出する構成監査/統制ソリューションによって、証明の客観性を担保している。システムの開発や運用を手がける、同カンパニー システム業務本部のお二人に、情報セキュリティに対する同社の考え方やツール選定のいきさつ、今後の課題とそれに対する取り組みの方向性を伺った。

*PCI DSS:クレジットカードの加盟店・決済代行事業者が取り扱うカード会員のクレジットカード情報や取引情報を保護するために、国際的なカードブランドであるVISA・JCB・MasterCard・American Express・Discoverの5社が共同で策定した、クレジット業界におけるグローバルセキュリティのこと

1. 日本におけるインターネットビジネスの火付け役

システム業務本部長 渡邉 太郎氏

日本で最初にホームページ制作ビジネスを手がけた会社はどこか、ご存じだろうか。

1994年に、「富ヶ谷」という個人ホームページを開設させた、株式会社デジタルガレージ(以下、DG社)である。2000年には合弁事業で、EC事業者向けの決済プラットフォームを提供する株式会社イーコンテクストを設立し、同年12月にはJASDAQ市場に上場。2002年、価格比較サイト最大手のカカクコムを連結子会社として以来、各社とのアライアンスを加速。昨年(2008年)には、ミニブログサービス大手の米Twitter社と資本・業務提携を結び、日本語版の開発に着手した。

「インターネット上に新しい価値を創出する、という起業当初からのベンチャースピリットを、社員一人一人がしっかりと受け継いでいます」と目を輝かせるのは、DG社 イーコンテクストカンパニーのシステム業務本部長 渡邉 太郎氏

システム部 部長 張替 英明氏

DG社が、株式会社イーコンテクストとの合併を発表したのは、2008年10月のこと。

DGグループの一翼(ソリューションセグメント)を担う、イーコンテクストカンパニーを発足させたことで、「IT構築からプロモーション、決済に至るまでお客様のさまざまなニーズにワンストップ、かつ迅速に応えられるサービス体制となりました」と続けるのは、同カンパニー システム業務本部 システム部 部長の張替 英明氏だ。

2. EC事業者と収納機関を橋渡しする「イーコンテクスト決済サービス」

経営統合がもたらすシナジー効果は、同カンパニーの提供する、「イーコンテクスト決済サービス」にも表れている。このサービスの大きな特長は、インターネット上の取り引きに対して課金・決済を行うEC事業者が、同カンパニーとの契約のみで、コンビニ、クレジットカード、Pay-easy(ペイジー)、ネットバンク、電子マネーなど10種類もの決済手段をリーズナブルな価格で、スピーディに、しかも一括で利用開始できる点にある。

EC事業者と各収納機関との個別契約は不要なほか、各機関とのネットワーク接続は「econtextゲートウェイ」を介すことですべて完結する。つまり、契約から接続、運用、清算にまつわる煩雑な手続きやシステム開発を、すべて同カンパニーが代行(アウトソーシング)するビジネススキームが特色。

ECサイトで決済するユーザの選択肢を広げることで、サイトの集客力および入金率のアップにも寄与している。

近年は、インターネット上での物販やコンテンツ課金、オンラインゲームでの決済などでイーコンテクスト決済サービスを利用する大口の法人顧客が増加している。

ただ、こうした新たなビジネスモデルや事業スキームの開発、変更において見過ごせないのはインフラとなるITセキュリティの確保だ。

3. 情報保護は企業の使命 PCI DSS完全準拠を目指す

「インターネットを基軸に先駆的なサービスを提供する当社にとって、個人情報保護などのセキュリティ強化は、お客様の重要なデータをお預かりする企業として当然果たさなければならない責務です。お客様に関する個人情報や取引データなどの保護は、法規制が開始される以前から、いち早く取り組んできました」と渡邉氏は述べる。

「econtextゲートウェイ」における決済プロセスの、PCI DSSへの完全準拠も、単なる業界基準への対応ではなく、サービスを利用する加盟店(EC事業者)や取引先などに向けた説明責任を果たし、対外的な信用力をいっそう高めていくという強い経営判断のもとで進められた。具体的な検討がスタートしたのは、2008年春だった。

4. 運用面の工夫では対応し切れない「PCI DSS要件11.5」に、Tripwire Enterpriseを活用

「PCI DSS 12の要件について原則的には、運用改善で対応してきました」と張替氏。ただ、データの整合性の証明(PCI DSS要件11.5)については、運用面の工夫だけでは対応しきれなかったという。

一般に、サーバへの不正侵入を検知するシステムや、SQLクエリなどをモニタリングできるデータベース監視ツールなどを導入しても、それだけでは仮に侵入を受けた後にデータベースの中身が改ざんされたのか否か、さらに改ざんされたとすれば、その影響範囲や被害の程度はどの程度か、などを正確に立証することは事実上不可能である。それを踏まえて、データに対する統制を行き届かせるようにPCI DSS要件11.5では対応を求めている。

「課題ははっきりしていました。ファイルが改ざんされていないことを第三者に明示するための証跡や、不正なアクセスがあった際の素早い状況把握などが行えるレポーティング機能が必要だということです。とはいえ、当カンパニー自らで何らかの仕組みを構築し、データの整合性を対外的に立証するとなると、非常に複雑なシステムになってしまうことがわかりました」(張替氏)。

そのように検討を重ねる中で、PCI DSS対応をはじめとする、各種セキュリティソリューションを提供するKCCSから紹介されたのが、「Tripwire Enterprise」(以下、トリップワイヤ)だった。

トリップワイヤは、不正侵入やオペレーションミスによるファイルの改ざん、異常を漏れなくトレースし、ファイル変更箇所を検出する構成監査/統制ソリューションである。社外からの不正アクセスや攻撃だけでなく、内部関係者による不正行為を含めて、ファイルの変更履歴はすべてツール側で一元記録保持することで、もし改ざん・変更があった場合でもすぐ元どおりに戻せる。ログ情報をもとにした原因究明や再発防止にも役立つソリューションなのである。

5. 豊富な運用実績と手厚いサポートが決め手に

「変更管理に関して、フリーウェアやオープンソースのツールも考慮しましたが、やはりサポートが弱く、結局のところ工数が増大してしまうという懸念がありました。それに対してトリップワイヤは、運用実績が豊富であり、サポートも手厚いことが決め手になりました」と張替氏。

さらに導入に先立つ45日間の試用期間があり、専任のエンジニアが導入や運用のポイントなどの情報提供を行ったことで、短期間での稼働開始にもつながった。

PCI DSSが認定したセキュリティ評価ベンダである、NTTデータセキュリティ株式会社から、決済プロセスのPCI DSS完全準拠の確認を受けたのが2008年12月。

「トリップワイヤの導入で対応したPCI DSS要件11.5については、特別な指摘もなくスムーズに評価が行われました。もちろん、PCI DSS完全準拠は「目的」ではなく、あくまでも「手段」。今後もトリップワイヤの機能を活用しながら、システムの開発・運用サイクルを的確に回していきます」と張替氏は淡々と述べる。

6. 今後はさらに日本版SOX法(以下 J-SOX)対応など内部統制の底上げに有効活用

さらに、今後は、J-SOX対応など内部統制やコンプライアンス対応においても、トリップワイヤを活用していきたいと考えています」と渡邉氏。ツール選定にあたって、PCI DSS対応だけを念頭に置いていたわけではないことを明らかにした。

実は、トリップワイヤ自体も、もとよりPCI DSS専用のツールではない。1999年に開発された当初は、セキュリティパッチ適用前後における障害箇所の特定や復元、各種設定の変更作業時の動作確認に最適なシステム管理ツールとして発表された。そして、以後10年間における豊富な導入実績を数えるなかで、ユーザニーズを反映したバージョンアップを通じて、コンプライアンス対応に必要な機能を拡張してきた。渡邉氏や張替氏もそこに期待を寄せているという。

「J-SOXでチェックすべきファイルの管理や、証跡の記録、レポーティングの自動化などに活用する考えです。内部統制強化を効率的に実現できるという点で、トリップワイヤの費用対効果は高くなると見ています」(渡邉氏)。今後の活用としては、例えば、PCI DSSでは、ポリシーテンプレートの活用による要件2、6、8への対応、またセキュリティパッチ適用前後の障害復旧などのIT資産管理にも有効利用できそうだ。

7. EC事業者の信頼を獲得する新サービスに注目KCCSもその実現を徹底サポート

イーコンテクストカンパニーは近年、加盟店保護の施策を強化している。カード情報の不正利用防止策(3DセキュアとセキュリティコードCVV2の併用)に加えて、同カンパニーと契約する包括加盟店向けに独自の補償制度「なりすまし保険」を無償で提供開始。さらに2007年からは、同カンパニーの資産と収納代金とを分別管理する信託保全サービスを開始した。併せて、加盟店側がカード情報を保持せず、同カンパニーに預託できる個人情報預かりサービスをASP化するなど、新サービスを相次いで投入し、EC事業者の信頼を獲得している。

「これからもお客様に対して、DG社らしい新サービスを開発していきます。KCCSはセキュリティだけでなく、モバイルやインターネットデータセンターサービスにも強みがあるとのこと。いろいろと提案していただければ」と両氏は口をそろえる。

最先端のインターネット技術(IT)と、マーケティング技術(MT)、ファイナンシャル技術(FM)の3つ柱に、インターネットビジネスをさらに切り開こうとするDG社。そのベンチャースピリットに負けない提案やサポートをKCCSも、総力を挙げて行っていく考えだ。

導入サービス・
ソリューション

詳細はこちら

製品ページを見る