暗号鍵を二重分割管理しているか?

 まずは,ヤマトグループの情報システム会社 ヤマトシステム開発。あまり知られていないが,ヤマト運輸などグループ各社のシステム開発・運用を担うと同時に,クレジットカード決済のシステムを開発・運用する会社としても大手である。2006年3月にPCI DSSの認定を取得するためのプロジェクトをキックオフし,同年7月に認定を取得した。PCI DSSに完全準拠したのは,国内では初の事例である。プロジェクトにかけた工数は約40人月という。

 同社では業務担当者や情報システム担当者から20~30人でプロジェクト・チームを作った。中心となってプロジェクトを進めた田近俊治氏(カードソリューションカンパニー システムグループ リーダー)は「PCI DSSには要件が具体的に記述されているが,自社のシステムと照らし合わせてみると,現状のままでよいのか分からないことが意外に多かった」という。

 分からないことは逐一,質問状を作成し,カード会社に問い合わせた。そうすると,要件から見えてこない様々なことが分かってきて,下記の対応が必要になった。

■AES(256ビット)によるカード会員データの暗号化:
 一つの暗号鍵を二つに割って,それぞれを別の担当者が管理する。一人ではカード会員データを復号できない仕組み(二重分割管理)を作った。

■Webアプリケーション・ファイアウオール(WAF)の導入:
 既にWAFを導入しているシステムはあったが,今回対象とするシステムでは導入していなかった。追加導入が必要になった。

■ルート権限者のすべての操作履歴の取得:
 外部からのアクセス・ログを記録する仕組みはあったが,ルート権限を持つ担当者の操作履歴を記録する仕組みはなかった。ルート権限者が悪意を持った場合の対処まで考慮しておく必要がある。

■ログのバックアップ・サーバーの追加導入:
 ログをバックアップするサーバーを二重化した。要件には明示されていないが,問い合わせると「二重化すればなお結構」との回答があったため,導入することにした。

■「Tripwire」の導入:
 Tripwireとは,ファイル改ざんなどを検出するための市販のソフトウエア。ファイルの完全性を監視するために,新規導入した。

 これらを満たすために,バックアップ・サーバーやWAFを購入する必要があり,1000万円近いコストがかかったという。ヤマトシステム開発はISMS(情報セキュリティマネジメントシステム)やプライバシーマークの認定を既に取得している。その同社でも,これだけの対応が必要だった。