ベクター、クレジットカードの情報セキュリティ標準「PCIDSS」認定取得を計画

　株式会社ベクターは、3月19日から3月21日にかけて発生した同社サーバーへの不正アクセス事案について、4月25日付で最新状況を報告した。

　同社は3月22日付で事態を公表、そのサーバーには最大で26万1161件の個人情報が保存されており、一部にはクレジットカード情報も含まれていたことなどをすでに明らかにしていた。

　ベクターは事態の発覚後、調査対策委員会を設置。外部調査機関として株式会社ラックおよびベライゾンジャパン合同会社の2社と連携し、原因究明の調査や調査結果に基づく対策を実施するとともに、現在も不正アクセスの経路・手段や実際の被害実態について調査を継続しているという。調査完了は6月中となる見込みで、その結果を受けてベクターから最終報告を発表する予定。

　なお、これまでに実施した各種セキュリティ強化対策により、現時点の調査結果では、個人情報を保持しているサーバーに対して3月23日12時10分以降は不正アクセスおよび不正アクセスの痕跡を検知していないという。「当社としては、個人情報に関する一定の安全性確保ができたと考えている」としている。

　ベクターが2社のアドバイスを受けながらすでに実施した対策は、ファイアウォールの設定強化、業務別ネットワークセグメント間のアクセス制限強化、社内業務用として保持する個人情報の削減、重要情報を保持する際の暗号化、社内外からの通信を専門会社の常時監視体制下に置くモニタリングなど。

　さらに今後の計画として、ネットワーク構成全体の見直しによる堅牢なセキュリティの実現、さらなるアクセス権限の厳格化による社内セキュリティレベルの向上、クレジットカードの情報セキュリティ標準である「PCIDSS（Payment Card Industry Data Security Standard）」の認定取得およびクレジットカード決済サービスの再開を挙げている。