【意外と知らない】簡単準拠！システム更改時にPCI DSS準拠する方法

企業がシステムのリプレースを検討する理由はさまざまですが、開発会社を選定する前にRFPを作成するのが一般的です。リプレースの対象システムが大規模であったり複雑な場合は、1年近く長い期間を費やしてRFPを作成する場合もあります。

RFPには機能要件や運用／保守要件などの内容が盛り込まれますが、昨今ではセキュリティ要件をRFPに含める重要度が増してきています。国内IT投資動向を調べた調査では、予算額に占めるリスク対策費用の割合のうち、情報セキュリティ対策費用が約15％を占め増加傾向にあるといった調査報告もあります。こうした調査からもセキュリティ要件は現在のシステム構築において、最重要課題の一つと言っても過言ではありません。個人情報などの漏えいがあった場合は、企業イメージや損害賠償など深刻なダメージを受けてしまう時代なのです。

一般的には以下の観点でセキュリティ対策を講じていき、要件定義～設計～実装工程にかけて、これが実現できているかをチェックする必要があります。
・外部からのサイバー攻撃などへの対応
・内部対策として注目されるのは内部統制への対応

自社がクレジットカード情報を取り扱うのであれば、上記の観点に「PCI DSS準拠対応」を考慮すべきです。
PCI DSS準拠への対応は、東京オリンピックの開催に伴う海外発行カード利用機会が大幅に広がること、また、それがビジネスチャンスにもなることから、顧客から信頼されるステータスの象徴ともなりうるPCI DSSは、今後さらにその必要性が増していくと考えられています。
そして、PCI DSS準拠に関する大きな問題の一つとして「運用負荷の増大」があります。
PCIDSS準拠後、この問題のために運用の見直しを余儀なくされるケースを多く見てきました、この問題を回避するためには、実際に想定している運用方法が長期に渡って対応可能かどうかの検証もしておかなければなりません。
また、一般的にはシステムリプレース時に同時にPCI DSS準拠対応するのがコストは抑制しやすいですが、必ずしもその時に準拠対応できるとは限りません。従って対応するタイミングによってそれぞれどの程度の必要コストに差が出るのかを調査、認識した上で対応するタイミングを判断した方が良いでしょう。

PCI DSS準拠対応をすべて自社で賄うことは不可能ではありません。
しかし、現状把握から始まりギャップ分析や改善計画策定、そして実際の対策とテストの実施。さらに続けて審査のためのエビデンス類の整理や審査機関との調整など、その作業量もさることながら、経験や専門的なスキルを有していない場合は非常に難易度の高い内容が含まれています。

ネットワーク周りからサーバやデータ管理、アクセス制御や物理セキュリティまで及ぶPCI DSSの12の要求事項（要件）が、広範囲に渡るということも難易度を高めています。さらに実際の準拠審査では、システム周りのさまざまな種類のドキュメントや運用のログなどの多量のエビデンスを、審査の内容に従った形で準備する必要があり、これも大きな負担になっています。もちろん対応時のコスト負担も無視できません。

PCI DSSに準拠することはメリットが大きいのですが、このような準拠対応時の大きな負荷が企業に二の足を踏ませる要因となっているのも事実です。
このような大きな負荷を軽減させ、PCI DSS準拠をもう少し楽に進める方法はないものでしょうか？

PCI DSSへの準拠は、カード会社や取扱店よりも先にそれらの事業者からの依頼によって決済代行やカード会員データの処理や保管、伝送など業務を専門に行ういわゆるサービスプロバイダーの間で進みました。
（カードブランドからの強い要請があったからだとも言われています。）

幸いなことに、これらのサービスプロバイダーを業務で使用する場合、そのサービスプロバイダーがPCI DSSに準拠していれば、その業務範囲は自社の審査対象から外れて、そのサービスプロバイダーがPCI DSSに準拠していることを証明（AOC）を入手するだけで関連するPCI DSS要件の要求事項を満たしていると看做されます。
PCIDSSに準拠している企業・サービス・機器を選択することは、準拠対応に関する負荷を削減する助けとなるはずです。

さらに近年、経産省や日本クレジット協会などがPCI DSS準拠を働きかけにより各事業者の意識も高まり、実際にPCI DSS準拠に向けて対応を進める事業者も増えてきています。そのような状況を受けてPCI DSS準拠対応を進めようとする事業者を支援する業者も増えてきました。これにより支援する業者側の実績も増え経験やナレッジが溜まってきました。そしてギャップ分析から審査までの一連の対応に関しての課題や勘所も明らかになってきました。

こういった支援サービスを利用することで、事前に「何を重点的に行わなければならないか？」などのポイントを知ることができます、また場合によっては全体のプランニングから運用部分までを支援してもらうことで、効果的にPCI DSS準拠対応を進めることができるようになってきました。

近年各社が本格的にPCI DSS準拠に取り組み始めたことで新たに明らかになってきた課題があります。それは、準拠後の運用負荷が思ったより大きいこと。PCI DSS準拠のために緻密な運用規定や運用フローを策定したのは良いのですが、それを遵守した場合、思ったよりも現場の運用負荷が大きいため、規定通りに運用することが継続できない場合も発生しています。

一度認定されても年1回の継続審査を受ける必要がありますので、準拠のためには規定通りに運用し続けなければなりませんが、それが結果的に大きな負担になっている場合が少なくありません。

そのような状況に陥らないためには、準拠対応時からその後の運用負荷について十分に考慮した上で対応することが求められます。前章でも申し上げた通り、すでに準拠しているサービスを十分に活用しながら、準拠後の運用の実態に関しても熟知した業者の支援サービスを受け、運用面の最適化も図るのが最も良い選択です。さらに、支援サービスとすでに準拠済のプラットフォームの両方を提供している業者なら、より効率的に課題を解決できるでしょう。
また、過去の多くのナレッジから学ぶ事も重要です。