第4話 PCI DSS、セキュリティ対策にゴールはありません・・・ (涙)

突然ですが、読者の皆様の中に「走るのが好き」という方はいらっしゃいますでしょうか?

昨今の市民マラソンブームで、フルマラソン(42.195km)をはじめ、ハーフマラソン(21.0975km)、5km走、10km走、リレーマラソン、100kmを走破するウルトラマラソン、山道を疾走するトレイルレースといった具合に毎週のように日本全国のどこかでランニングの大会が開催されており、たくさんのランナーが参加しています。

私は学生時代はどちらかと言うと走るのは苦手でしたが、数年前から友人の影響でマラソンの大会に参加するようになりました。

なぜマラソンを走るのか?
一言でいえば【達成感】からです。

ゆっくりではあっても5時間以上走り(歩き)続ける、後半は多少は歯を喰いしばりながら、ただひたすらゴールだけを目指す。そして、苦労を乗り越えてゴールした瞬間の喜びは本当に何物にも代えがたいもので、(どなたかメダリストの言葉にありましたが)「自分で自分を褒めてあげたい」ような気分になれるからです。初マラソンの時はもちろんでしたが、何度挑戦してもこの気持ちは色褪せることはありません。

さて、長い前置きとなりました。

これまで本コラムでは、弊社でのPCI DSS認定取得に向けた取組みを3回にわたってご紹介してきました。そして、弊社は2014年4月に無事PCI DSS認定取得することができました。それは、タイトルにもあります通りにプロジェクト立ち上げから300日にも及ぶ長期の戦いでした。

本来であればプロジェクトに関わったメンバーは歓喜に沸くところでしょうが、今回に関してはそうした雰囲気はあまり感じられませんでした・・・

なぜ達成感を得られなかったか?
それは、ゴールと考えていた認定取得がスタートであったからです。そして、自分達が引き続き担当することがわかっていたからです。

42.195km走ならぬ、300日に及んだプロジェクトの辿り着いたゴールが、実はスタート地点。そしてその後はゴールのない無限のランニング大会が続くと・・・ 心中お察しいただけることかと思います。

1. PCI DSSの運用(認定維持)フェーズ

セキュリティ対策は、当然のことながら仕組みを作り上げていくことがゴールではなく、出来てからがスタートとなります。立上げは「勢い」でやり遂げても、それを維持していくことがいかに大変かは言うまでもありません。PCI DSSも認定取得からが本当の始まりでした。PCI DSSは認定取得にかけるパワーもさることながら、維持していくために相当なパワーが必要となります。

弊社においても、PCI DSSを運用していくための「監視」「記録」「統制」により、運用作業の負荷が3倍になりました。また、プログラム開発に際して、セキュアなプログラミングが必要となるためスキルのある要員の確保が必須となりました。新たに発覚した脆弱性に短期間で対応するために頻繁なセキュリティパッチの適用が必要となり、そのための工数もばかにならないものでした。

そして、PCI DSSは毎年更新審査が必要となります。そのための監査証跡の収集と提示が必要となります。

さらに、PCI DSSは定期的(※1)に基準が見直しとなります。サービスやシステムは、要件のバージョンアップにあわせたGAP分析と対策立案を繰り返し、最新バージョンに対応できている状況にしていかなければなりません。

※1PCI DSSのバージョンアップは、Ver.3.1までは3年サイクルとされていたが現時点でVer.3.2の有効期間や、次のバージョンのリリースタイミングは未定。

2. PCI DSSのバージョンアップ

PCI DSSのバージョンアップは定期的に行われ、直近でのバージョンと適用期間は下記となります。更新審査の際には適用期間内のバージョンでの審査となります。ここでは、PCI DSSのバージョンと弊社の更新審査バージョンを参考までに例示します。

3. 終わりに

本コラムでは、PCI DSS認定取得~維持に関する弊社の取組みをご紹介させていただきました。「大変なんだな・・」という印象だけが残ってしまったかもしれません。

しかしながら、シンプルに利用者の目線に立ってみると良いかと思います。万全なセキュリティ対策を講じていない会社をお客様は信用されるでしょうか?そんな会社と大切なお金の取引をしようと考えますでしょうか?

今や重要な社会インフラの一つとなったクレジットカード決済ですが、キャッシュレス社会がもたらすであろう利便性も、万全のセキュリティ対策の支えによる「安全・安心」があってこそ成り立つものです。

「100-1=0」、帝国ホテルにおけるサービスの教訓だそうです。セキュリティ対策についても同様の認識が必要といわれています。たった一つのマイナスが積み上げてきた信用を土台から崩すことになりかねません。PCI DSSに関わるコストもクレジットビジネスを生業にする以上、必要なエントランス・フィーかもしれません。

私も今後もへこたれることなく、気持ちを引き締めて、いつも新鮮な気持ちで走り続けたい(PCI DSSに関わって行きたい)と考えています。これまでご愛読誠にありがとうございました。今後ともどうぞよろしくお願い致します。

次回、番外編として弊社の関連サービスをご紹介いたします。

TOP