HOME > 会社案内 > ニュースリリース
会社情報

2014年4月9日
三井住友カードとNRIセキュア、加盟店のセキュリティ対策を促進
~共同で「加盟店ウェブサイト向けセキュリティサービス」を開発~


三井住友カード株式会社
NRIセキュアテクノロジーズ株式会社
三井住友カード株式会社(本社:東京都港区、代表取締役社長:島田 秀男、以下:三井住友カード)と、NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:増谷 洋、以下:NRIセキュア)は、三井住友カード加盟店のセキュリティを促進するサービスを共同で開発し、2014年4月1日からNRIセキュアが提供を開始しました。対象は、EC(電子商取引)サイトなどで非対面取引を行う加盟店で、顧客クレジットカード情報に対するセキュリティ対策を促進します。


近年、クレジットカード情報等の情報漏洩事件は、手口の高度化や大規模化が進むと共に、世界的に増加傾向にあります。特に、インターネット取引におけるクレジットカード決済の普及により、カード情報は常にサイバー攻撃の標的として狙われています。

三井住友カードでは、365日24時間態勢でクレジットカード取引の監視を行うなど、カード情報の不正使用を未然に防ぐ対策を推進しています。しかし、サイバー攻撃は日々進化しており、加盟店とカード利用者をこうした被害から守るためには、それぞれの加盟店による積極的なセキュリティ対策の導入も重要となっています。

そこで、より多くの加盟店が安全なサービスをカード会員に提供していくため、三井住友カードは、情報セキュリティ専門企業であり、クレジットカードセキュリティにも精通したNRIセキュアと共同で、三井住友カード加盟店の優待として、今回のサービスを展開します。

「加盟店ウェブサイト向けセキュリティサービス」の詳細

「加盟店ウェブサイト向けセキュリティサービス」は、主にEC加盟店のウェブシステムを対象に、セキュリティ対策のレベルアップを支援するサービスと、加盟店が、クレジットカード業界のグローバルセキュリティ基準であるPCI DSS(※1)について正しい理解を持つことを促進するサービスの2種類で構成されます。

サイバー攻撃からカード情報を守るためには、加盟店がPCI DSSに準拠していることが理想的です。その中でも、PCI DSSで要求される「ASVスキャン(※2)」を実施することで、インターネットで公開されるシステムに求められるセキュリティ対策の状況が確認できると同時に、PCI DSSの準拠要件の一つを満たすことが出来ます。

●セキュリティ対策のレベルアップを支援するサービス

(1)ウェブサイト ベーシックチェック

「ASVスキャン」の前に、加盟店ウェブサイトの基礎的なセキュリティ状況を確認するサービスです。予備調査として、クレジットカード情報を狙うハッカーからは、サイトがどのように見えているかを、当該加盟店のウェブサイト情報を収集して確認します。その結果は、目標レベルであるASVスキャンを実施できる状況かどうか、の判断にも使うことが出来ます。
今回、三井住友カード加盟店限定で、手軽に且つ安価に受けられる仕様にカスタマイズし、ご提供いたします。

(2)ASVスキャン

「PCI認定スキャニングベンダー(ASV)」であるNRIセキュアが、年4回、本サービスに加入した加盟店のインターネットサイトに対して実施します。全てのスキャンに合格すると、PCI DSSの準拠要件の一つを満たすことになります。(1)と(2)を実施した加盟店には、ASVスキャンの結果報告と共に、PCI DSS自己診断チェックシートにより、PCIに準拠するためのステップについて解説します。当サービスはNRIセキュアの既存サービスですが、今回、三井住友カード加盟店には特別価格を設定し提供いたします。

●PCI DSSについて正しい理解を持つことを促進するサービス

(3)PCI DSS 勉強会

PCI DSSへの準拠を検討中、またはPCI DSSを参考にセキュリティの強化を目指す顧客に対して、NRIセキュアは、PCI DSSに準拠した審査を行う監査人を講師として、詳しい解説とアドバイスを行う勉強会を提供しています。今回のサービスでは、三井住友カード加盟店のみを対象として年2回の勉強会を開催し、さらなるセキュリティの強化をサポートします。

本サービスの提供を通じ、三井住友カードとNRIセキュアは、カード会員に安全なサービスを提供し続けられるよう、これまで以上に加盟店のセキュリティレベル向上をサポートし、安心で安全なカード社会の構築を目指します。

※1 PCI DSS(Payment Card Industry Data Security Standard):国際ペイメントブランドの5社が共同で策定した、クレジット業界における国際的セキュリティ基準。

※2 ASV(Approved Scanning Vendor)スキャン:PCI DSS準拠要件11.2の一部で、認定されたベンダーが、カード情報を扱うインターネット公開システムを四半期ごとにスキャンし、脆弱性がないことを確認すること。


ページの先頭へ