2012年2月24日8:08
PCI SSC PO Japan連絡会は、2012年2月22日、東京・港区のSBIグループセミナールームで、トークナイゼーション・ガイドライン解説、情報セキュリティ最新動向、ペイメントカード情報流出事件発生時の対応などについての勉強会を開催した。
勉強会ではまず、EMCジャパン(旧RSAセキュリティ)の関真氏が、PCI DSSの運営組織であるPCI SSCから米国時間の2011年8月12日に発表されたトークン化技術のガイドラインとなる「PCI DSS Tokenization Guidelines」について解説した。
トークナイゼーションは、機密データを別の文字列に置き換えて保存・利用することにより、審査範囲の縮小が可能で、PAN(Primary Account Number:カード会員番号)の散財を防ぎ、セキュリティを向上させることが可能な技術である。また、既存データベースやアプリケーションなど、システムへの影響が最小限で済むこともメリットとして挙げられる。さらに、PAN以外のさまざまな機密データにも対応可能だ。
関氏は、ガイドラインやトークナイゼーションの概要、機能コンポーネントと処理オペレーション、スコープの考え方や注意事項、PCI DSSの審査範囲の縮小方法などについて解説した。EMCジャパンでは、トークナイゼーションを2009年11月にサービス化、2010年10月に製品化し、次期バージョンを今年上半期にリリースする予定だ。すでに、実導入や商談中の案件を含め3社の実績があるという。
続いてPO Japan連絡会会長を務めるネットワンシステムズの山崎文明氏が登壇。インターネット上に公開された複合機を検索できる「SHODAN Hacking」をはじめ、blackhat/DEFCONのような海外のイベントで公表された情報セキュリティにまつわる課題について紹介した。
次いで、カード情報の漏えい事件が起きた際のフォレンジック調査について国内企業として初めて認定された「Payment Card Forensics社(PCF)」をUBICと共同で設立した国際マネジメントシステム認証機構の瀬田陽介氏が、カード情報流出事件発生時の対応について説明した。同氏は、情報漏えいの傾向として、中小零細企業がSQLインジェクションの被害に遭うことが多いことを挙げた。また、カード会員情報を決済代行事業者に預けても、リンク型ではなくモジュール型を採用している場合は、カード情報の漏えいのリスクがある点や、ホスティング環境では満足なフォレンジック調査が行えない可能性があることなどについても解説した。現状、PCI SSC認定のフォレンジック調査が行えるのは国内で2社だが、国際ペイメントブランドからは、PCF設立により加盟店に提案できる選択肢が増えたこと、英語に加え日本語のレポートを提出できることなどが評価されているという。
最後に、2011年9月に米国のアリゾナ、10月に英国のロンドンで開催されたPCI SSCの年次総会についての報告を事務局長を務めるネットワンシステムズの佐藤徹次氏が行った。
勉強会の後には懇親会も行われ、会員相互の親睦交流を深めた。
