日立情報、PCI DSS認定取得のサポートサービスを開始

　日立情報システムズ（日立情報）は4月6日、クレジットカードを発行する企業向けに、クレジットカードの情報セキュリティに関する国際基準の準拠を支援する「PCI DSSサポートサービス」の提供を開始した。

　「PCI DSS（Payment Card Industry Data Security Standard）」は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visaといったクレジットカード業界の国際大手5社が共同で設立した「PCI SSC（PCI Security Standards Council）」により策定された、カード会員データの保護に関する世界標準のセキュリティ基準。日本においても、VISA等のカードブランドが遵守期限を公表したことから浸透し始めている。しかしPCI DSSは、その取得にあたり、カード情報と取引情報を保護するための具体的な12の要件を掲げているが、実装の進め方によっては、そのコストが膨大になってしまうという。

　日立情報では、2010年9月に、カード発行企業が外部ネットワークと接続する際に必要なシステムを共同化した「カード発行企業向け共同利用型対外接続サービス」、およびクレジットカード共同利用型システムを中核とする「クレジットカード総合管理ソリューション」の2分野で「PCI DSS Ver1.2」の準拠認定を取得している。

　今回、提供を開始するPCI DSSサポートサービスは、日立情報がクレジットカード会社のシステム構築、運用に携わってきた経験と、PCI DSS準拠認定取得の実績を生かして、ユーザーのPCI DSS準拠認定取得をワンストップでサポートするサービス。一時的なコンサルティングやセキュリティ関連製品の導入に終わらず、現状調査からシステムの設計、構築、検査までのトータルなサービスを提供するという。同サービスを利用することで、適切なコストで最適なセキュリティ対策の実施が可能になるとしている。

　サービスは、「診断フェーズ」「実装フェーズ」「運用フェーズ」の各フェーズごとに「PCI DSS診断サービス」「PCI DSS対策設計サービス」「PCI DSS対策構築サービス」「PCI DSS内部脆弱性検査サービス」の4つのサービスが提供される。

　診断フェーズでは、現状調査、フィット＆ギャップ分析を行い、改善策を提示するサービスが提供される。このサービスでは、ユーザーからのシステム対象範囲の提示に対し、PCI SSCにより公開されている「Payment Card Industry（PCI）データセキュリティ基準」に記載されている12の要件について分析を行い、改善策を提案するという。

　設計、構築を行う実装フェーズでは、「PCI DSS対策設計サービス」および「PCI DSS対策構築サービス」が提供される。PCI DSS対策設計サービスは、ユーザーから提示された要件もしくは診断サービスで提供する改善策について具体化、詳細化を行い、「基本設計書」と「詳細設計書」を作成する。PCI DSS対策構築サービスでは、設計サービスで提供する設計書の記載事項に従い、改ざん検知、監査ログ、情報の暗号化、ファイアウォールなどの構築、改修作業を行うという。

　運用フェーズでは、認定取得に必要な検査となる「PCI DSS内部脆弱性検査サービス」が提供される。ユーザーからの診断対象範囲の提示に対し、PCIデータセキュリティ基準の要件に従い、内部脆弱性検査（ネットワーク）を実施し、報告書を作成する。

　日立情報では、PCI DSSサポートサービスをクレジットカード発行企業に向け拡販し、2013年度までに累計20件の販売を目指すとしている。