セキュリティ強化に関する今後の取り組みについて
2013 年8 月15 日
報道関係各社 御中
東京都渋谷区東1 丁目26 番20 号
東京建物東渋谷ビル8 階
エクスコムグローバル株式会社
代表取締役社長 西村 誠司
セキュリティ強化に関する今後の取り組みについて
2013 年5 月27 日に開示いたしました「不正アクセスによるお客様情報流出に関するお知らせとお詫び」でご報告いたしました
弊社サーバーへの不正アクセスに係る事案では、お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をお掛けする事態に至りましたことを深くお詫び申し上げます。
この度、弊社システムのセキュリティ対策に関して、下記のとおり最新情報をご報告申し上げます。
記
1.実施済みの対策
個人情報漏洩後、弊社ではシステムとネットワークのセキュリティの信頼回復に向けて、以下の対策を実施しております。
具体的な対策内容は、以下となります。
① 2013 年4 月23 日にクレジットカード情報の全件削除および非保持化を実施
② 2013 年5 月2 日にIPS(不正侵入防止システム)をネットワーク群に設置
③ 2013 年5 月および2013年6 月に第三者機関であるPayment Card Forensics 株式会社によるネットワークおよびWeb アプリケーションの脆弱性診断を実施
④ 2013 年5 月および2013 年6 月にWeb アプリケーションの脆弱性部分に対する改修を実施
⑤ 2013 年5 月に基幹システムへのデータエキスポート実行後に、Web データベース内のお客様個人情報を削除するプログラムを稼動
⑥ 2013 年6 月にWeb データベースへのデータインサート時にお客様の個人情報を暗号化し、エキスポートまでの間に一時的に保存されるデータの保護を実施
2.今後、実施を予定している対策
総合セキュリティサービス大手であり、PCISSC 認定QSA[1]である株式会社ブロードバンドセキュリティ(以下、BBSec)の協力を得て、弊社が今後取り組むセキュリティ対策は、以下となります。
⑦ よりセキュアな環境下でのネットワーク群の再構成、WAF(Web アプリケーションファイアウォール)の設置(2013 年8 月~10 月を予定)
⑧ BBSec によるネットワークの24 時間365 日有人監視を実施(2013 年9 月~10 月)
⑨ カード情報をシステム等で保管、処理、伝送しない加盟店に適用されるPCI SSC 所定のPCIDSS 自己問診A をアクワイアラに提出(2013 年8 月)
⑩ 自動脆弱性診断ツールによるWeb アプリケーション脆弱性診断を日に1 回以上の頻度で実施(2013 年9 月~10 月を予定)
⑪ ネットワーク環境移行後、第三者機関に委託し定期的にネットワーク診断およびWeb アプリケーションのペネトレーションテスト[2]を実施(2013 年9 月以降、定期的に実施予定)
3.オンラインカード決済の再開
*PCI DSS に準拠している決済代行サービス最大手のソフトバンク・ペイメント・サービス株式会社(以下、SBPS[3])にオンラインカード決済業務を委託し、同社のオンライン決済ASP を利用したクレジットカード決済を開始します。
まず、2013 年4 月23 日よりクレジットカード決済を一時留保させていただいておりました弊社サービスご利用済みのお客様に向けて、新方式でのクレジットカード決済を2013 年8 月15 日より再開させていただく旨および決済方法のご案内をメールにてお送りいたします。
また、2013 年4 月23 日から停止していた弊社サービスのWeb 申込み時における「クレジットカード払い」を、グローバルデータ(http://www.globaldata.jp/)サイトにて2013 年8 月21 日以降に再開することを予定しております[4]。
グローバルセルラー(http://www.globalcellular.jp/)、および法人マイページについては、2013 年9 月以降のクレジットカード決済再開を予定しております。
お客様はじめ皆様には、ご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。
今後、個人情報漏洩事故の再発がないよう、セキュリティ強化に努めて参りますので、何卒ご理解賜りたくお願い申し上げます。
今後、さらに公表すべき情報がございましたら、随時プレスリリースと弊社HP にてご報告いたします。
以上
[1] カードブランド5 社が制定するセキュリティ基準であるPCI DSS のQualified Security Assessor:認定セキュリティ評価機関
[2] 実際のアプリケーションに対して侵入を試み、システムに脆弱性がないかを診断する手法
[3] SBPS 社の安全性についてはこちら(http://www.sbpayment.jp/asp/safety/)
[4] 2013 年8 月15 日および2013 年8 月21 日のクレジットカード決済再開時は、Visa カードおよびMaster カードがご利用頂けます。
報道関係者からのお問い合せ
エクスコムグローバル株式会社 http://www.xcomglobal.co.jp/
本社:東京都渋谷区東1 丁目26 番20 号 東京建物東渋谷ビル8 階
TEL: 03-5766-2808
担当: セールス&マーケティング部 藤森 俊吾 Email: marketing@globaldata.jp
添付図参照:【2013 年8 月15 日時点でのセキュリティ対策の概要図】
* PCI DSS(Payment Card Industry Data Security Standard)とは、VISA、 MasterCard、JCB、
American Express、Discover の5 大カードブランドによって 2006 年9 月に設立された米国PCI データ
セキュリティ基準審議会(PCI SSC)がクレジットカード情報や取引情報の保護を目的として制定したク
レジットカード業界における国際基準のことです。
** IPS(Intrusion Prevention System:侵入防止システム)とは、ワームやDoS など不正な通信パケッ
トの特徴を記憶し、パケットの振る舞いや内容を見て、疑わしいアクセスがあれば管理者に通知し、遮
断する機能です。
以上
報道関係各社 御中
東京都渋谷区東1 丁目26 番20 号
東京建物東渋谷ビル8 階
エクスコムグローバル株式会社
代表取締役社長 西村 誠司
セキュリティ強化に関する今後の取り組みについて
2013 年5 月27 日に開示いたしました「不正アクセスによるお客様情報流出に関するお知らせとお詫び」でご報告いたしました
弊社サーバーへの不正アクセスに係る事案では、お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をお掛けする事態に至りましたことを深くお詫び申し上げます。
この度、弊社システムのセキュリティ対策に関して、下記のとおり最新情報をご報告申し上げます。
記
1.実施済みの対策
個人情報漏洩後、弊社ではシステムとネットワークのセキュリティの信頼回復に向けて、以下の対策を実施しております。
具体的な対策内容は、以下となります。
① 2013 年4 月23 日にクレジットカード情報の全件削除および非保持化を実施
② 2013 年5 月2 日にIPS(不正侵入防止システム)をネットワーク群に設置
③ 2013 年5 月および2013年6 月に第三者機関であるPayment Card Forensics 株式会社によるネットワークおよびWeb アプリケーションの脆弱性診断を実施
④ 2013 年5 月および2013 年6 月にWeb アプリケーションの脆弱性部分に対する改修を実施
⑤ 2013 年5 月に基幹システムへのデータエキスポート実行後に、Web データベース内のお客様個人情報を削除するプログラムを稼動
⑥ 2013 年6 月にWeb データベースへのデータインサート時にお客様の個人情報を暗号化し、エキスポートまでの間に一時的に保存されるデータの保護を実施
2.今後、実施を予定している対策
総合セキュリティサービス大手であり、PCISSC 認定QSA[1]である株式会社ブロードバンドセキュリティ(以下、BBSec)の協力を得て、弊社が今後取り組むセキュリティ対策は、以下となります。
⑦ よりセキュアな環境下でのネットワーク群の再構成、WAF(Web アプリケーションファイアウォール)の設置(2013 年8 月~10 月を予定)
⑧ BBSec によるネットワークの24 時間365 日有人監視を実施(2013 年9 月~10 月)
⑨ カード情報をシステム等で保管、処理、伝送しない加盟店に適用されるPCI SSC 所定のPCIDSS 自己問診A をアクワイアラに提出(2013 年8 月)
⑩ 自動脆弱性診断ツールによるWeb アプリケーション脆弱性診断を日に1 回以上の頻度で実施(2013 年9 月~10 月を予定)
⑪ ネットワーク環境移行後、第三者機関に委託し定期的にネットワーク診断およびWeb アプリケーションのペネトレーションテスト[2]を実施(2013 年9 月以降、定期的に実施予定)
3.オンラインカード決済の再開
*PCI DSS に準拠している決済代行サービス最大手のソフトバンク・ペイメント・サービス株式会社(以下、SBPS[3])にオンラインカード決済業務を委託し、同社のオンライン決済ASP を利用したクレジットカード決済を開始します。
まず、2013 年4 月23 日よりクレジットカード決済を一時留保させていただいておりました弊社サービスご利用済みのお客様に向けて、新方式でのクレジットカード決済を2013 年8 月15 日より再開させていただく旨および決済方法のご案内をメールにてお送りいたします。
また、2013 年4 月23 日から停止していた弊社サービスのWeb 申込み時における「クレジットカード払い」を、グローバルデータ(http://www.globaldata.jp/)サイトにて2013 年8 月21 日以降に再開することを予定しております[4]。
グローバルセルラー(http://www.globalcellular.jp/)、および法人マイページについては、2013 年9 月以降のクレジットカード決済再開を予定しております。
お客様はじめ皆様には、ご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。
今後、個人情報漏洩事故の再発がないよう、セキュリティ強化に努めて参りますので、何卒ご理解賜りたくお願い申し上げます。
今後、さらに公表すべき情報がございましたら、随時プレスリリースと弊社HP にてご報告いたします。
以上
[1] カードブランド5 社が制定するセキュリティ基準であるPCI DSS のQualified Security Assessor:認定セキュリティ評価機関
[2] 実際のアプリケーションに対して侵入を試み、システムに脆弱性がないかを診断する手法
[3] SBPS 社の安全性についてはこちら(http://www.sbpayment.jp/asp/safety/)
[4] 2013 年8 月15 日および2013 年8 月21 日のクレジットカード決済再開時は、Visa カードおよびMaster カードがご利用頂けます。
報道関係者からのお問い合せ
エクスコムグローバル株式会社 http://www.xcomglobal.co.jp/
本社:東京都渋谷区東1 丁目26 番20 号 東京建物東渋谷ビル8 階
TEL: 03-5766-2808
担当: セールス&マーケティング部 藤森 俊吾 Email: marketing@globaldata.jp
添付図参照:【2013 年8 月15 日時点でのセキュリティ対策の概要図】
* PCI DSS(Payment Card Industry Data Security Standard)とは、VISA、 MasterCard、JCB、
American Express、Discover の5 大カードブランドによって 2006 年9 月に設立された米国PCI データ
セキュリティ基準審議会(PCI SSC)がクレジットカード情報や取引情報の保護を目的として制定したク
レジットカード業界における国際基準のことです。
** IPS(Intrusion Prevention System:侵入防止システム)とは、ワームやDoS など不正な通信パケッ
トの特徴を記憶し、パケットの振る舞いや内容を見て、疑わしいアクセスがあれば管理者に通知し、遮
断する機能です。
以上
【お問い合わせ先】
エクスコムグローバル株式会社 http://www.xcomglobal.co.jp/本社:東京都渋谷区東1 丁目26 番20 号 東京建物東渋谷ビル8 階
TEL: 03-5766-2808
担当: セールス&マーケティング部 藤森 俊吾
Email: marketing@globaldata.jp
エクスコムグローバル株式会社のプレスリリース
