Tweet

クレジットカード番号を無意味な情報に変換

RSAセキュリティ、「対象範囲を狭める」PCI DSS準拠支援サービス

2010/01/19

　RSAセキュリティは1月19日、「PCI DSS準拠支援サービス」の提供を開始した。同社が2009年11月より開始している、RSA プロフェッショナルサービスの1メニューとして提供し、料金は個別見積もりとなる。

　PCI DSSはPayment Card Industry Data Security Standardの略で、会員情報の保護を目的にクレジットカード業界がまとめたセキュリティ対策基準だ。オンライン犯罪などからクレジットカード情報を守り、安全に決済を行えるようにするため、ファイアウォールやウイルス対策ソフトの導入、アクセス制御手法の導入、ネットワークの監視などさまざまな側面から対策を行うよう、具体的な手順を定めている。

　RSAセキュリティのPCI DSS準拠支援サービスは、現状分析とセキュリティ改善計画の提示、ソリューションの設計と実装、実装後の定期的なスキャンといったセキュリティコンサルティングサービスを通じて、オンラインショッピングなどを運営する企業のPCI DSS対応を支援する。一連のサービスに加え、企業が保持するクレジットカード情報を最小限に抑える手段を提供し、監査対象となるシステムの範囲を縮小することが、類似サービスにはない特徴だという。

RSAセキュリティ プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏

　同サービスでは、クレジットカード番号のデータ形式はそのままに、数字をランダムに置き換えて意味を持たない情報である「トークン」に変換するサーバを提供する。決済機関とやり取りするためクレジットカード番号が必要な部分はそのままだが、それ以外の部分、具体的にはWebアプリケーションやデータベース、業務アプリケーションにおけるやり取りには、クレジットカード番号に代えてトークンを用いる仕組みだ。

　このトークンは、鍵を用いれば復号して元のデータに戻すことができる暗号化とは異なり、一方向のみの変換となる。一方向変換という意味ではハッシュ値に似ているが、ハッシュを取るとデータ表現形式が大きく変わるのに対し、トークン化ではデータの桁数や形式は同じため、データベースをはじめとする既存システムに加える変更は最小限で済むという。また、作成／保存されたトークン情報は、RSA Key Managerによって保護される仕組みだ。

　PCI DSSの審査対象範囲となるシステムは、クレジットカード番号そのものを保有したり、転送する部分。加えて、クレジットカード番号に対し暗号化やハッシュ化、トークン化といった処理を加えたり、暗号化されたデータを元のクレジットカード番号に戻したりする部分もスコープ内と判断できる。従って、トークン情報のみを受け渡すそれ以外のシステムは、PCI DSS監査の対象外になると解釈できる。

　同社プロフェッショナルサービス本部本部長のラスカウスキー・テルミ氏は、トークン化を活用することで、PCI DSS監査の範囲を縮小でき、ひいては対応に必要なコストと手間を削減できると述べた。「企業によっては数百台に上るWebアプリケーションサーバが散在している場合があるが、それら1台1台について、要塞化しているか、適切なアクセス制御を行っているかといった項目を審査するとなると作業量は膨大になる。かといって、新規に作り直すのも困難だ」（同氏）。トークン化によって対象範囲を絞り込むことで、セキュリティ対策をより強固にするとともに、2年目以降の対策コストを抑えることができるという。

　また、万一不正アクセスを受けて情報が流出するような事態があっても、トークン情報は決済には利用できないため、実害につながらないこともメリットという。

　ただ、トークン化された情報は本当に審査対象範囲から除外されるのか、今後のアップデートの中で変動する可能性もある。そこで審査対象範囲の縮小作業は、インフォセックをはじめとするQSA（審査認定機関）のパートナー各社と確認を取りながら進めるという。