クレジットカード会社連合が策定した「PCI DSS」の全貌(3)セキュリティ評価ベンダーに認定されるまで

2005年6月、決済データ処理会社の米国カードシステムソリューションズ社から日本のカード利用者を含む約4000万件の顧客情報が流出する事件が発生、国内でも楽天市場に出店する店舗からクレジットカード番号が流出するなど、クレジットカードの安全性をとりまく環境は厳しくなっている。

クレジットカード業界の安全対策はどのように行われているのだろうか。クレジットカードを決済手段として取り扱う店舗や通販サイトにはどのような対策が求められているのだろうか。

このたびSCAN編集部は、VISAの認定セキュリティ評価ベンダー（QSA）に国内で初めて認定されたNTTデータ・セキュリティ株式会社を訪ね、営業本部営業部課長でBS7799スペシャリストの鍋島聡臣さんに、セキュリティ評価ベンダーに認定されるまでの過程などを聞いた。

────

編集部：
QSAに認定されるには何が必要でしょうか。

鍋島：
必要な要件をすべて満たす必要があります。

1点目は、CISAまたはCISSPの認定者あるいは7年以上のセキュリティ実務経験者で、かつ専門の研修を受け試験に合格した専門技術者を置くことです。研修はアジア・パシフィック地域ではシンガポールで、英語で行われます。その意味では英語力も必要となります。弊社では現在2名を置いています。

2点目が企業としての独立性や信頼性です。被災時でも事業が継続できるよう事業継続計画（BCP）の策定も必要です。3点目が自社のセキュリティ対策で、ISMSやBS7799などが必須となります。

ただ要件を満たせば自動的にQSAに認定されるとは限りません。QSA資格は契約時に数千ドル、更新時にも数千ドル程度が必要です。国際ブランド側も、ビジネスとして各QSAベンダーがペイできるようベンダー数は一定にしたいという意向を持っていると思います。

実際に日本でサービスを提供している会社は7社（※6）で、参入企業には新日本アーンストアンドヤング、デロイトトウシュトーマツ、KPMGなど会計監査法人が目立ちます。

国内でQSAとあわせて、脆弱性スキャンが提供できるApproved Scanning Vendor（※7）にも認定されているのは弊社だけです。

＞＞Approved Scanning Vendorに認定されるには

Approved Scanning Vendorに認定されるには、MasterCardの試験に合格する必要があります。

認定試験の内容は…

（※6、7）QSA、Approved Scanning Vendorのいずれも、認定企業の一覧がウェブ上にて公開されている。

QSA一覧（アジア・パシフィック地域）
「List of Visa Qualified Security Assessors (QSAs) for the Asia Pacific region」
http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais_downloads.shtml

Approved Scanning Vendor一覧
「Approved Scanning Vendors」
https://sdp.mastercardintl.com/vendors/vendor_listings.shtml

──
この記事には続きがあります。全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm