デジタルガレージはカカクコムの運営、ソリューション開発、マーケティング、決済事業などさまざまなサービス、製品を提供している。デジタルガレージのなかで決済事業を展開するデジタルガレージ イーコンテクストカンパニーは、カード会社の要請を受け、昨年PCI DSSに準拠した。その過程で導入したのが「Tripwire Enterprise」。京セラコミュニケーションシステム（KCCS）が国内最大の販売実績を誇る変更管理ソリューションだ。

年内めどの準拠に向け準備開始

　インターネット関連事業を手がけるデジタルガレージ。同社はIT（＝技術開発）、MT（＝セールスプロモーションなどマーケティング関連事業）、FT（決済関連）の3事業を軸にビジネス展開をしてきた。お馴染みのカカクコムの運営や、インキュベーション、ソリューション開発など、幅広いサービスや製品を提供している。そのなかの一事業で、デジタルガレージ イーコンテクストカンパニー（イーコンテクスト）は、収納代行業者として、ECサイトなどに対してクレジットカードなどのオンライン決済サービスを手がけ、システム開発や運用、代金精算までをワンストップで提供している。現在、2万以上のサイトに対してサービスを提供中だ。

　イーコンテクストは、クレジットカード業界団体が昨年策定したカード情報や取引情報保護に対する、システム実装も踏まえた具体的対策を盛り込んだ、12要件からなるセキュリティ標準「PCI DSS」に準拠するために、「Tripwire Enterprise」を導入した。これはサーバー、データベースおよびネットワーク機器などITシステムを監視し、あらゆる変更を検知することで、コンプライアンス遵守、セキュリティ強化し、ITシステムの可用性を高めるソリューションである。

　PCI DSSでは、要件11.5で「ファイル完全性監視ソフトウェアを導入し、重要なシステムまたはコンテンツ・ファイルに権限のない修正があった場合、担当者に警告させる。重要ファイルの比較を少なくとも週1回実行させる」と定めている。初期のバージョンPCI DSS1.0版では具体的な製品名として明記されていたほど準拠においてカギとなるソリューションだ。


　同社がPCI DSS準拠に向けて準備を開始したのは昨年2月頃。カード会社から「加盟店の立場」として年内の準拠要請を受けた。「機密データを扱っているのでセキュリティを担保するのは義務。これまでの自社の取り組みとセキュリティ標準に照らし合わせて、認証を取得することで取り組みの根拠を得ることはチャンスと前向きに考えた」とイーコンテクストの渡邉太郎・システム業務本部長は振り返る。

Tripwire導入で開発負担減らす

　開発系部署が果たす役割のウェートが高くなるだろうと踏み、システム部が中心となって進めていった。PCI DSSについては、ある程度の知識を得ていたが、いざ始めようとすると何から着手すべきか分からない状況だったため、まずは情報収集に取り掛かった。「用語や内容の理解は大変だった。何をどのように整備すればいいか、初見ではキャッチアップできずにカード会社から入手した準拠基準を何度も読んだり、QSA（認定審査機関）に話を聞いたりしてタスクに落とし込んでいった」（渡邉業務本部長）と語る。

　夏頃から実際に準拠のために必要な文書類の整理に取り掛かり、秋以降からITシステムへの実装、反映を開始した。「QSAに本番監査前の予備審査をオプション的に依頼し、現行で不備があるものを洗い出した。QSA以外にもぺネトレーション・テストなど第三者機関の外部監査が必要であり、指摘事項に対応したアプリケーションの実装や改修、変更を限られた時間で実行しなければならないことが大変だった」（イーコンテクストの張替英明システム部部長）と苦労した点を語る。

　ペネトレーション・テストを受けるという要件を満たすため、ぜい弱性診断を実施している企業を選定するなかで、実績をもっているKCCSに最初に声をかけた。その流れのなかで相談をしていたところ、Tripwireの紹介を受けた。昨年夏のことだった。KCCS プロダクト営業部プロダクト営業課の原田隆正氏は「製品を紹介した当初は、PCI DSSではなく内部統制をキーワードに提案して、そのなかでPCI DSSにも使えるという話もしたはず」という。

　当初、イーコンテクストはPCI DSS準拠でTripwireのようなツールを使おうとは考えていなかったそうだ。ところが、QSAと話し合うなかで、ファイルの変更管理は重点的に行っていく必要性があることを認識。ツール導入と同等のアプリケーションを手組みで開発した場合を机上計算で比較した。もしTripwireを入れた場合、要件を満たすための開発が不要になるために負担が軽くなる。また「Tripwireにはセキュリティ全般を管理する機能があることから、使いこなすことで運用コストを大幅な抑制が見込める」（張替部長）と判断した。そこで、実際に製品の貸し出しを受けてサーバーに組み込み、運用の現実感をつかんだうえで、最終的に導入を決定した。

　昨年12月にPCI DSS準拠の認定を取得。大半の要件はアプリケーション改修などで対応し、本審査前に導入したツールはTripwire製品のみだった。渡邉システム業務本部長は「導入効果のような定量データはないが、もともとPCI DSSの要件を満たすために導入したという面があり、それに対する開発自体が発生しなかった。運用自体も格段に容易になった」と評価する。

　PCI DSSでは、準拠と最新バージョンへの更新に多大なコストを要するが、「引き替えに、顧客へのアピールポイントや、社内のセキュリティ意識の向上につながっている。

　今年は顧客からPCI DSSにフォーカスした問い合わせを受けるようになったほか、大手企業との取引では細かい項目の記載されたセキュリティ監査表が送られてくるが、PCI DSSに準拠しているということで、一部免除してもらえるようになり、認知が広がってきた」（張替部長）と副次的な効果を実感している。