金融系にPCI DSSが義務付けられる可能性があるという記事。

40人月！！！！

ヤマト運輸などグループ各社のシステム開発・運用を担うと同時に，クレジットカード決済のシステムを開発・運用する会社としても大手である。2006年3月にPCI DSSの認定を取得するためのプロジェクトをキックオフし，同年7月に認定を取得した。PCI DSSに完全準拠したのは，国内では初の事例である。プロジェクトにかけた工数は約40人月という。

1つの暗号鍵を2つに分けて管理ってのは結構面倒だなぁ。

■AES（256ビット）によるカード会員データの暗号化：
　一つの暗号鍵を二つに割って，それぞれを別の担当者が管理する。一人ではカード会員データを復号できない仕組み（二重分割管理）を作った。

■Webアプリケーション・ファイアウオール（WAF）の導入：
　既にWAFを導入しているシステムはあったが，今回対象とするシステムでは導入していなかった。追加導入が必要になった。

■ルート権限者のすべての操作履歴の取得：
　外部からのアクセス・ログを記録する仕組みはあったが，ルート権限を持つ担当者の操作履歴を記録する仕組みはなかった。ルート権限者が悪意を持った場合の対処まで考慮しておく必要がある。

■ログのバックアップ・サーバーの追加導入：
　ログをバックアップするサーバーを二重化した。要件には明示されていないが，問い合わせると「二重化すればなお結構」との回答があったため，導入することにした。

■「Tripwire」の導入：
　Tripwireとは，ファイル改ざんなどを検出するための市販のソフトウエア。ファイルの完全性を監視するために，新規導入した。

　これらを満たすために，バックアップ・サーバーやWAFを購入する必要があり，1000万円近いコストがかかったという。ヤマトシステム開発はISMS（情報セキュリティマネジメントシステム）やプライバシーマークの認定を既に取得している。その同社でも，これだけの対応が必要だった。

採用内定者の審査だの、カード情報の暗号化だの、結構厳しいなぁ。

田添氏は「いくつかの案件を担当してきた経験からすると，主に，PCI DSSの要件3と要件12が問題になることが多い」と指摘する。要件3はカード会員データの保護に関する項目，要件12はセキュリティ・ポリシーの整備に関する項目である。
■トランザクション・データの消去：
　決済に使ったトランザクション・データをデータベース上に持ち続けているケースがある。このデータが流出すると金銭的な被害に直結する可能性があるため，消去する必要がある。
■カード情報の暗号化：
　カード情報を暗号化せずにデータベースに格納しているケースがある。カード情報は暗号化しておかなければならない。
■セキュリティ・ポリシーの策定：
　大企業だとセキュリティ・ポリシーを持つところが多いが，中堅・中小の加盟店の中には持たないところも多い。セキュリティ・ポリシーの策定と，年1回の見直しが求められる。
■採用内定者の審査：
　悪意を持つ社員の採用を防がなければならない。しかし，採用内定者を審査することは困難。これは極めて難しい。