SBIベリトランス株式会社様
SBlベリトランス株式会社 コーポレートブランディング室 兼 技術部 マネージャー 堀田 康裕氏(写真左)、事業開発部 黄 美香氏
クレジットカード決済、コンビニ決済等の課金手段やSSL証明書の発行など、eコマース事業者の決済インフラを提供するSBlベリトランス株式会社(以下、SBlベリトランス)。同社では、メールによる情報漏えい対策の一環として「HDE Mail Filter」を導入。クレジットカード業界のセキュリティ基準「PCI DSS」の認定審査にも大きく貢献しているという。導入の狙いと効果について詳しく話を聞いた。
今回、SBIベリトランス株式会社様が導入した製品
インターネット上の総合決済プロバイダー「SBIベリトランス」
SBIベリトランスの概要についてご紹介ください。
当社は、「EC事業者様のコアビジネス(本業)への専念をサポート」するという理念のもと、「クレジットカード決済」「コンビニ決済」「電子マネー決済」「銀行決済」「国際間決済」等の課金手段やECに必須となるセキュリティ支援や集客支援サービスなど、eコマース事業者の成長を支えるインフラを提供するインターネット上の総合決済プロバイダーとしてビジネスを展開しています。
1997年に電子決済のパイオニアである米国CyberCash社の法人として設立され、2004年には国内のEC決済事業者として初めての株式を上場しました。現在は、ウェブ上であらゆる金融サービスを提供する集合体「SBIグループ」の一員として活動しており、おかげさまでECの決済取引件数が年間1億件を超えるほどになりました。
クレジットカード番号が記載されているメールは上司が内容を確認
HDE Mail Filterをどのように利用していますか。
HDE Mail Filterは、電子メールのフィルタリングとアーカイブという2つの機能を持っていますが、当社では主にフィルタリングの機能を利用しています。
どのようにメールのフィルタリングをしているのでしょうか。
当社では、セキュリティを強化するため必要とされるセキュリティレベルで区分けされた2種類のメールシステムを構築し、それぞれセグメントを分けて運用しています。
HDE Mail Filterは、社外連絡用のメールに関して、送信メールのメッセージや添付ファイルにクレジットカードの番号らしい情報が記載されていないかどうかをチェックしています。また、CCの宛先に大量の送付先が指定されていないかどうかも検査しています。
外部への送信メールにクレジットカード番号と疑われる情報が記載もしくは添付されている場合はどうなりますか。
メールの送信は保留され、指定の管理者(送信者の上司)のもとに、メールの内容を確認する旨の通知が自動的に送信されます。管理者が、メールに記載されている情報に問題がないと判断した場合は、そのままメールは外部に送信されます。一方、何か問題がある場合はそのままメールを削除することもできます。もちろん、メールの送信にはメールが送信されたのか、削除されたのかという結果が通知されます。
情報漏えいを防ぎ、PCI DSSの要件もクリア
HDE Mail Filterを導入した目的を教えてください。
メールを介してクレジットカード番号が漏えいしないようチェックをすることが、HDE Mail Filterでメールをフィルタリングする第一の目的ですが、関連して「PCI DSS」というクレジットカード業界のセキュリティ基準に求められる要件をクリアするためにも活用しています。
クレジットカード番号に限らず、お客様の情報を漏えいしないというのは当たり前のことなのですが、特に当社の場合、決済システムを運営している関係上、膨大な数のクレジットカード番号を取り扱っています。そのため、万が一の漏えい事故も許されませんので、クレジットカード番号に関しては念には念を入れた漏えい対策を実施しています。
PCI DSSをクリアするために、HDE Mail Filterはどのような役割を果たしているのでしょうか。
PDI DSSでは、定められた要件を満たすようにシステム実装し業務を行うことで、一定の確保すべきセキュリティレベルを達成することが求められます。HDE Mail Filterというフィルタリングシステムを正しく導入・運用していることは、それ自体がクレジットカード番号をメールで漏えいしない対策を講じているという証明になります。
検査可能ファイルの種類をはじめ、稼働実績やサポート体制を評価
HDE Mail Filterを導入した理由を教えてください。
フィルタリング機能と管理者がメールの内容を検査できるという基本機能はもちろんですが、次のような項目が、HDE Mail Filterを導入する際の要件になったと聞いています。
- 既存システムへの影響
HDE Mail Filterを導入するために、メールシステムやネットワークの構成を大幅に変更しなければならないとなると余計なコストと手間がかかります。
また、将来的にメールシステムを変更することもあるかもしれないので、その際、フィルタリングが原因でシステムの選択幅が狭くなってしまっては本末転倒となってしまいます。そのため、既存のメールシステムに大幅な変更が不要だということは重要な選択ポイントになったと思います。 - 検査可能な添付ファイルの種類が多いこと
様々な種類のドキュメントにクレジットカード番号が記載されている可能性があるので、対応しているドキュメントの種類が多いにこしたことはありません。 - 稼働実績
フィルタリングの機能はシンプルなので、細かい機能の比較はもちろんですが、稼働実績が豊富な製品を選択するべきだと考えています。 - サポート体制
サポートを受けられないと困りますので、国内のベンダーが開発し、サポートしてくれる製品というのは安心して使い続けることができます。
情報漏えいを確実に防ぎ、PCI DSS審査の準備簡素化にも貢献
HDE Mail Filterの導入効果を教えてください。
基本的には、管理者のチェックが入ることでクレジットカード番号と疑われる情報が記載されていても送信していいメールなのか否かという検査を、確実かつ簡単にできるようになったことが第一の目的であり、最大の導入効果です。
また、このようなシステムを構築しているということを伝えることが、不正行為の抑止効果となり社員のモラル向上にもつながると考えています。
一方、管理者という立場で考えると、導入当初はフィルタリングの精度を高めるために条件を変更していかなければなりませんでしたが、一度、決めてしまえば、運用管理の負荷がほとんどかからないのでとても助かっています。
また先ほども説明したとおり、PCI DSSの認証審査の際にもHDE Mail Filterの運用状況を説明するだけで、説明や証拠提出をある程度省略できる点も大きな導入効果の1つです。PCI DSSの認証審査には、とても多くの時間とコストがかかりますので、少しでも手間や不確実性なところが削減されるというのはとても助かります。
HDE Mail FilterとHDEへの要望と期待
システムの拡張予定などありますでしょうか。
拡張ではありませんが、当社のお客様でもフィルタリングによる情報漏えい対策を考えている企業も多いと思いますので、当社の取り組みが役に立つようであれば、積極的にご紹介していければと考えています。
HDE Mail FilterやHDEへの要望や期待があればお聞かせください。
機能面に関しては、管理者が外出先にいる場合でも安全に承認ができる機能があると、承認スピードアップするので便利だと考えています。また今後、Google社のGmailのように外部のクラウド環境で運用しているWebメールサービスも活用して行きたいと考えているので、そのような環境でも運用できるようになればと思います。
またHDEに対しては、国内のEC事業者への情報提供ならびにアジアへの進出を支援するコンソーシアム「E Commerce for Asia Alliance」(略称:ECAA)に加盟するベンダーとして、EC事業者が取り組むべきメールセキュリティに関する情報提供などにも期待しています。
承りました。本日は貴重なお話をありがとうございました。
