急がれるPCI DSS準拠、ベリトランスはどう対応したのか。確実かつ効率的なソリューションは？：クレジットカード含む全データの暗号化をどう実現したか？

クレジットカード情報を取り扱う全ての事業者を対象にした世界標準のセキュリティ基準である「PCI DSS」。より安全なカード利用を実現すべく、国内企業でも急ピッチで対応が進められている。Oracleは、同基準で定められたセキュリティ要件にデータベース基盤の性能や管理性を損なうことなく効率的に対応するためのソリューションを各種提供している。

[PR／＠IT]

PCI DSSが求めるデータ暗号化でOracle Advanced Securityを活用

ベリトランス 取締役執行役員CTOの赤尾浩平氏

　クレジットカード情報の取り扱いに関するセキュリティ基準として、全世界で普及が進む「PCI DSS（Payment Card Industry Data Security Standard）」。日本でも、より安全なカード社会の実現を目指して同セキュリティ基準への対応が各社で精力的に進められている。それでは、PCI DSSへの対応を効率的に進めるには、どうすればよいのだろうか？

　日本オラクルが2017年12月に開催した「Oracle CloudWorld Tokyo 2017」で実施されたセッションにおいて、クレジットカード決済をはじめとする総合決済サービス「VeriTrans4G」を提供するベリトランスの赤尾浩平氏（取締役執行役員CTO）と日本オラクルの大澤清吾氏（クラウドプラットフォームソリューション統括 Cloud Platformビジネス推進本部）が主なポイントについて解説した。本稿では、その要旨を紹介する。

　PCI DSSは、クレジットカード会員のデータを安全に取り扱うことを目的に、国際ブランドのAmerican Express、Discover Financial Services、ジェーシービー、MasterCard Worldwide、Visaら5社が共同で策定した国際統一のセキュリティ基準だ。カード会社や決済処理代行事業者、加盟店など、クレジットカード情報を扱う全ての組織を対象としており、ネットワークアーキテクチャやソフトウェアデザイン、セキュリティマネジメントなどに関する基準が12の要件としてまとめられている。

　セッションに登壇したベリトランスの赤尾氏は、同社のこれまでの取り組みについて、2005年のPマーク取得から2006年のPCI DSS v1.0、そして最新のPCI DSS v3.2への準拠に至るまでを説明し、その上でPCI DSS対応のポイントを解説した。

　赤尾氏が最初に言及したのは「データの暗号化」だ。PCI DSSではクレジットカード会員の情報と取引情報を保護するために12の要件が定められているが、そのうちの1つである「要件3：保存されるカード会員データを保護する」を満たすには暗号化が不可欠となる。そこで、ベリトランスでは「Oracle Advanced Security」を活用しているのだという。

　「PCI DSSでは、保存されているクレジットカード会員のデータを保護することが求められています。これは簡単に言えば『データを暗号化しなさい』ということです。この要件に対応するために当社が利用しているのがOracle Advanced Securityです。暗号化の対象となるデータが含まれているかどうかにかかわらず、全てのテーブルを暗号化して運用しています。さらに、暗号化の鍵は『Oracle Wallet』で管理し、定期的に交換することで安全性を保っています」（赤尾氏）

　なお、ベリトランスでは機密情報の保管先となるデータベース基盤にOracleのEngineered Systems「Oracle Exadata X6」を利用しており、これにOracle Advanced Securityを組み合わせてデータの暗号化を行っている。Oracle Exadataには暗号化／復号処理をハードウェアレベルで行うことによって高速化する仕組みが備わっており、これによって暗号化に伴うオーバーヘッドを解消しているという。

Oracle Databaseの監査機能を利用してログ監査を実施

　暗号化の対象となるのは、保存されているデータだけではない。PCI DSSの「要件8：システムコンポーネントへのアクセスを識別・認証する」の中では「8.2.1　強力な暗号化を使用して、全てのシステムコンポーネントで、送信と保存中に認証情報（パスワード／パスフレーズなど）を全て読み取り不能とする」との記載がある。そこで、ベリトランスでは各サーバ間の通信をTLSで暗号化し、端末からのアクセスについてもSSHを使うことにより、全ての通信を暗号化している。そして、データベース以外のファイルについては、「Oracle Solarisに実装されたファイルシステムであるZFSの暗号化機能を利用している」と赤尾氏は説明する。

　また、「要件10：ネットワークリソースおよびカード会員データへの全てのアクセスを追跡および監視する」では、監査証跡の適切な取得が求められている。赤尾氏は、「当社では最低1年間のログを保存するようにしている他、監査証跡についてもOracle Databaseの監査機能によって取得したものをログサーバに転送しています。その上でログイン状況を監視する仕組みを整え、ログ監査を実施しています」と話す。

　なお、日本では2018年6月に改正割賦販売法が施行され、クレジットカード情報の漏えい対策が義務化される。具体的には、加盟店に対してクレジットカード番号などの適切な管理を義務付けることが求められており、クレジットカード番号などを一切扱わない“非保持化”か、扱う場合にはPCI DSSへの準拠が求められる。ベリトランスのVeriTrans4Gでは、加盟店側でのカード情報の取り扱いは不要であり、非保持化の要件を満たしているという。

暗号化のオーバーヘッドは極小。強固なデータセキュリティと高性能を両立させたOracle Exadata

日本オラクル クラウドプラットフォームソリューション統括 Cloud Platformビジネス推進本部の大澤清吾氏

　赤尾氏に続いては日本オラクルの大澤氏が登壇し、まずベリトランスも活用しているOracle Exadataのセキュリティ機構について説明した。

　「Oracle Exadataはセキュリティを強く意識して設計されています。例えば、OSのレイヤーでは無駄なパッケージやサービスが機能しないようにコントロールされている他、CVE（Common Vulnerabilities and Exposures）に対するOracle Exadataの対応状況をドキュメントで提示しています。また、さまざまなハードウェアを組み合わせてシステムを構築した場合、セキュリティ上の管理点（コントロールポイント）が増えてしまう問題があります。これに対して、Oracleが事前に構成済みのOracle Exadataはコントロールポイントが最小化されており、これも運用面やセキュリティ面で大きなメリットをもたらします」（大澤氏）

　PCI DSSへの準拠を始め、セキュリティ対策に不可欠な暗号化については、「透過的に暗号化を行うため、アプリケーションの改修は不要」だとOracle Advanced Securityのメリットを説明する。その上で、「実際にあるお客さまが検証されたところ、暗号化によるオーバーヘッドはわずか数％程度でした」とOracle Advanced Securityの実績を紹介し、Oracle Exadataでは暗号化に伴うオーバーヘッドを気にする必要がないことを強調した。

　データを暗号化した場合でも、Oracle Exadataが備える特徴的な機能をそのまま使えることもメリットだ。例えば、性能面でボトルネックとなりやすいI/O処理におけるデータ量を削減するために、Oracle Exadataにはストレージサーバからデータベースサーバに送り返す検索結果データを大幅に削減する機能「Smart Scan」が備わっている。同機能はデータが暗号化されている場合でも使用できる。同様に、データを圧縮してストレージの実効容量を増やし、さらにデータスキャン時の帯域幅を最大で10倍向上させる「Hybrid Columnar Compression」も、暗号化された状態でも有効となる。このように、暗号化した場合でも性能を犠牲にしない点は「Oracle Exadataの大きな強みだ」と大澤氏は話す。

PCI DSS向けのセキュリティ設定を自動適用できる「Oracle MiniCluster」

　最後に、大澤氏は「Oracle MiniCluster」と「Oracle Database セキュリティ・リスク・アセスメント」について解説した。

　Oracle MiniClusterもEngineered Systemsのラインアップの1つであり、統合型のセキュリティ制御をボタン操作1つでアクティブ化し、セキュアなインフラ環境を構成できるアプライアンス製品だ。同製品に備わる機能の1つとして、大澤氏が取り上げたのが「セキュリティ設定の自動化」だ。

　「Oracle MiniClusterをお使いいただくと、PCI DSSなどのセキュリティ基準で求められている最低限実施すべき内容が、Oracle Databaseに対して自動的に適用されます。それによって作業を効率化し、浮いた時間を別の作業に回すことができます。こうした自動化ソリューションをうまく活用すれば、セキュリティ対策にかかる時間や労力を大きく削減できるのです」（大澤氏）

　一方、Oracle Database セキュリティ・リスク・アセスメントは、企業が直面するセキュリティ面のリスクを最小化することを目的に、リスク要因の特定やセキュリティ戦略の策定を支援するサービスだ。同サービスを利用することで、企業はデータベース設定に関する現状の問題点やセキュリティリスクに関する助言をOracleから受け、それを基にしてセキュリティ対策の改善を図ることができる。データベースのセキュリティに不安を感じている企業はぜひ積極的に利用したいサービスである。

　以上、Oracle CloudWorld Tokyo 2017における赤尾氏、大澤氏によるセッションの内容を基に、PCI DSSへの準拠におけるポイントと、それを支援するOracleのソリューションを紹介した。企業の情報資産を狙ったサイバー攻撃が後を絶たない昨今、データベースのセキュリティ強化はクレジットカード業界のみならず、全ての企業にとって経営課題の1つでもある。重要な情報資産をOracle Databaseで管理している企業は、必要なセキュリティ対策を確実かつ効率的に実施できるOracleのセキュリティソリューションをぜひご活用いただきたい。

オラクル データベース インサイダー記事一覧