2016年6月30日8:43
■日本ヒューレット・パッカード株式会社
導入・運用コストを抑え、PCI DSSのスコープリダクション効果を発揮
「トークナイゼーション(Tokenization)」は、決済セキュリティやPCI DSSのスコープリダクションで有効にも関わらず、今まではとても普及しているとはいえない状況でした。モバイル決済やオンライン取引、クラウド連携が増える中、何故多くの企業がヒューレット・パッカード・エンタープライズ(以下、HPE)のトークナイゼーション技術の採用に踏み切ったのか、事例を交えて紹介します。
「Atalla HSM」などデータ保護をリードするソリューションを提供
グローバルで攻撃傾向の変化に合わせた対策が必要に
HPEは、「デジタル・エンタープライズの保護」としてセキュリティを4つの戦略の一つとして展開しています。HPEのセキュリティ製品群は、SIEM(Security Information Management)の業界№1製品「ArcSight(アークサイト)」、脆弱性診断を行うツールとして№1の「Fortify(フォーティファイ)」、Data Securityの「Atalla(アタラ)(旧名: Atalla NSP)」、「Voltage(ボルテージ)」という製品を展開しています。
AtallaはペイメントHSM(ハードウェア・セキュリティ・モジュール:Hardware Security Module)として、グローバルで多くのシェアを獲得しています。また、2015年にHPが買収したVoltageは、トークナイゼーションとしてさまざまな企業が利用しています。
現在、グローバルでEMVの適用範囲が拡大していますが、米国では加盟店へインフラ更改を要求しており、決済業者の準備を促しています。また、EMVに加え、ポイントごとに暗号化するP2PE(Point to Point Encryption)、トークン化を加えた防御策が昨今の高度な攻撃に対して有効となっており、特に米国やヨーロッパでは主流になってきました。
その背景として、カード情報を含め、顧客情報をもとにした多くのビジネスの横展開が加速しています。従来は単純に1つの加盟店でカード決済をして終わっていたところが、モバイル決済への活用、デジタル情報による予測分析、eWalletやECサイトでの電子決済などから新しいビジネスが生まれています。これが増えていくと、例えばPCI DSSには既存のサービスで準拠したとしても、急激な変化についていけず、インフラの歪みにより情報漏えいが発生するリスクも高まります。
イギリスでは、EMV化により、2002年にあった偽造カードの被害が2012年はほとんどなくなりました。代わりに非対面取引、カードを提示しないCNP(Card Not Present)の不正が増加。世の中の加速度的な変化の中、不正対策も進化していかなくてはなりません。
Ponemon社のセキュリティ投資の調査によると、大企業1社あたり、日本を含め年間8~9億円はセキュリティに投資しています。その内訳として、日本ではマルウェア対策やインサイダー取引が多いものの、Malicious Code(悪意あるコード)、Webを含めた脆弱性攻撃は少ないです。
グローバルでのここ数年を見ると、ハッキングによる攻撃が圧倒的に増えており、従来の暗号化や単純なインフラレベルの対策では守り抜けない状況です。ディスク、ファイル暗号化は、オフラインに関しては非常に有効な策ですが、オンライン状態で暗号化をされていなければ、脆弱性を突かれて攻撃されたり、マルウェアに感染して端末のメモリを見られてしまったりすると、情報が流出してしまう危険性があります。そのため、データ単位で保護することが、これからのセキュリティの基本になります。
今後は、安全性の強化のため、クレジットカード情報等の機密情報を保持しないことがセキュリティ対策上、重要となります。ただ、カード情報を保持しなければビジネスが成り立たない企業もありますので、トークナイゼーションの利用により、企業が番号を使える形で持たないことが、新たな対策として有効なものとなります。
技術の制約がトークナイゼーション普及の課題に
決済業界に必要なトークナイゼーション技術とは?
PCI DSS準拠は、企業にとっての負担が大きく、日本でも完全準拠できている企業は20%程度と言われています。PCI DSS準拠で先行している米国でも上手く適合できずに監査に失敗している企業も多く、多くのコストもかかります。また、毎年の維持コストも負担となり、準拠の具合により賠償額が変わるため、率先して取得する方向に向かっています。さらに、国内でもグローバル展開している企業は訴訟の対象になるため、PCI DSSの準拠はより求められるようになってきました。
トークナイゼーションでは、PCI DSS「スコープリダクション」によるコスト削減に加えて、ビジネスの急激な変化に即応できるデータ保護インフラを手に入れることができます。PANを自社で保持している場合、仮にカード番号を暗号化していても、すべてのシステムが監査の対象になりますが、入出力時にTokenization、De-Tokenizationすれば、内部利用時にカード番号が存在しないため、一部のPCI DSS要件の対象外となります。また、監査コストを削減可能です。
ただ、これまでトークナイゼーションが広がらなかったのは、既存のTokenization技術の制約により、コスト削減効果がうまく発揮できなかったためです。トークナイゼーションは、カード番号をまったく別の数値に置き変えますので、基本的には「Token Vault」とよばれるデータベースで、元のカード番号と変換後のトークンを対比表で持っている形となります。そのため、規模が大きくなればなるほど、巨大なデータベースが必要となります。また、データベース・セキュリティやパフォーマンスを保ちながら管理するため、コスト的な負担が大きいです。さらに、ビジネス拡張にToken Vault性能が追随できない部分もありました。
そのほか、非常に膨大なデータベースとなるため、サイトが複数存在したり、国をまたいでトークン化する場合、膨大なデータベース情報を常に同期させる困難な課題がありました。また、同期がすぐにできないケースもあり、例えば億単位のカード情報を扱うようになってくると、技術的な制約を受けます。
さらに、特定のOSやアプリケーションのみに対応している製品が多かったため、限定的な範囲でしかトークナイゼーション技術を導入できないケースもありました。そのほか、一部しか対応できなかったり、データベースとは別の場所でトークン化しなければならないなど、実際に運用すると思ったほどコスト削減効果が得られない企業もありました。
トークナイゼーションの技術を生かし、現在のビジネス環境に合わせて適用するためには、しっかりとしたコスト削減効果があり、かつプラットフォームの拡大・変化による影響を最小化でき、ビジネスの拡大に即時対応できる柔軟性の高いソリューションが求められます。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」の日本ヒューレット・パッカード エンタープライズ・セキュリティ・プロダクツ事業部 セキュリティ ソリューション コンサルタント 水野 令一氏の講演をベースに加筆を加え、紹介しています。
■お問い合わせ先
日本ヒューレット・パッカード株式会社
エンタープライズ・セキュリティ・プロダクツ統括本部
問い合わせ:0120-961-673
Email: HPEnterpriseSecurity-jpinfo@hp.com