2018年5月23日8:00
■ジェムアルト株式会社
PCI DSS準拠において、加盟店にはクレジットカード情報の非保持化が推奨されておりますが、必ずしも非保持化ができない加盟店やそもそも対象外のカード会社やPSP(決済代行事業者)にとって、強固なセキュリティ対策は最重要課題です。その対策の中で、ジェムアルト(Gemalto)の「暗号化」によるカード情報の秘匿化、「トークナイゼーション」によるPCI DSS監査範囲の極小化について、参考とすべきガイドラインや実効計画でのポイントおよび検討すべき注意点を、連携先のTISによる事例を交えつつご紹介します。
ジェムアルト株式会社 アイデンティティ&データプロテクション事業本部 チャネルセールスマネージャ 前田 俊一氏
TIS株式会社 プラットフォームサービス本部 プラットフォームサービス事業部 プラットフォームサービス営業部 副部長 中村 敬氏
増え続ける世界の情報漏えい
PCI DSS準拠対応でカバーされる他の法令やガイドライン
ジェムアルト(Gemalto)は、米セーフネット(Safenet)社を2年程前に買収し、現在はジェムアルトの企業向けセキュリティ事業部として旧セーフネットを母体としたアイデンティティ&データプロテクション事業本部があります。ジェムアルト社には4つの事業セグメントがあり、企業セキュリティのほか、政府系プロジェクト、バンキング&ペイメント、モバイルサービス&IoTといった事業を展開しています。ソリューションとして、暗号化や暗号鍵の管理、トークナイゼーション、多要素認証などを持っています。キーワードでいうと「顧客データ保護」「クラウド」「IoT」「PCI DSS」「トークナイゼーション」などが対象となるマーケットです。
ジェムアルトの「Breach level index」では、全世界で日々報告されている情報漏えいの動向をまとめています。2014年~2017年上半期まで結果が出ていますが、特に2017年は上半期だけでも過去実績を超えるレコード件数が漏えいしています。少し長いスパンで見てもレコード数は増えています。各社が新しいセキュリティ対策を導入したり、運用を強化しても、決して減っていません。もう1つポイントとして、暗号化については、漏えいデータの約9割以上は暗号化されておらず、例えデータが洩れても機密を保護されているケースは1割以下の現状です。また、漏えい事故件数を産業別で見た場合、ヘルスケア、金融サービス、教育、小売、政府系などが上位業種に入っており、特に金融サービス、小売は、過去4年間とも常に上位5業種に含まれています。傾向を総括すると、情報漏えいについては金融や小売が世界的に見ても絶えず狙われています。暗号化はデータ漏えいしても機密情報を安全に保つ対策です。特に日本人は100%守り切るというのが好きですが、100%守り切るのはやはり難しい。もちろん壁がなくてもいいというわけではありませんが、プラスアルファで暗号化をして対策をする。非保持化を選ばないなら、暗号化やトークン化といった仕組みを取る必要があります。
「暗号化はいいけど、PCI DSSのためだけと考えると、投資が大きすぎる」という意見もありますが、暗号化はPCI DSSのためだけに使うものではありません。例えば、GDPR(General Data Protection Regulation)はEUの個人情報保護法ですが、こちらにも暗号化要件があります。この法律では若干でも個人情報が洩れると高額な制裁金を科せられる可能性があります。日本企業であっても、欧州在住の個人情報を持つグローバル企業などはGDPR適用の対象となります。
アメリカにもEU-US Privacy Shieldという法的枠組みがありますが、これはスノーデン事件を契機にEUから従来のものでは不十分と言われ、新たに作ったもので、EUとUSでの個人情報の行き交いを安全なものにしようというものになります。
日本では改正個人情報保護法における対策の例示の中に暗号化が入っています。PCI DSSでクレジットカード番号を守る、非保持化ではなく暗号化で対応したいという場合、合わせて注意しておかなければならないポイントは暗号鍵の安全な管理です。HSM ハードウェアセキュリティモジュール(暗号鍵管理アプライアンス)では暗号化したカード番号と他の暗号化情報を集約して管理できるので、PCIDSSのみに限らず、1つの対策で個人情報保護のための暗号化にも適用することができます。
米国では、暗号化要件を含むガイドラインが2つあります。1つはNISTで、国防総省とのサプライチェーンに入っている企業が対象となります。電気・ガスなどの共通インフラをはじめ、対象の産業が直接の取り引き企業だけではなくなるところがポイントです。もう1つはFedRAMPという連邦政府共通のクラウドサービス調達のためのセキュリティ基準で、近年、認証を取る企業が増えています。こちらについては、オンプレミスとクラウドを併用している企業は、オンプレミス側も同じようにきちんと対応すべきことが解釈として入ってきます。
NIS DirectiveはEUで義務付けられているもので、対象の産業がエネルギー・交通・銀行・金融・ヘルスケア・水道・デジタルの7分野となります。そのメッセージの1つは、「守れないから暗号化という選択肢をきちんと考えてください」というもので、徐々に認知されています。
PCI DSSの要件3、7、8に対応
トークン化で漏えい時にも安全な対策を
ここからはジェムアルトのソリューションの紹介をします。ソリューションの開発コンセプトは基本的には情報漏えい対策なので、データを暗号化して、侵入防御以外に漏えいしても安全な対策となっています。したがって、鍵が洩れたら元も子もないので暗号鍵の安全な管理が求められます。データの安全性を担保するには認証が必要です。PCI DSSの中では、3、7、8といったように、多要素認証および暗号化+HSM(Hardware Security Module)の要件がソリューションのいくつかに入っています。
PCI DSS準拠対象の中で弊社のソリューションが特に有効なのは、非対面加盟店(カード情報通過型)、MO/TO加盟店(電話、紙等カード情報あり)、対面加盟店(決済内回り方式)などで、それぞれでカード番号の暗号化要件、カード情報にアクセスする際の多要素認証要件などがポイントになります。
その際の課題として、トークン化で非保持化したい時に、誰がやるのか、どのように行うのかと言ったポイントがあると思います。加盟店側から見て、非保持化するけれど、ポイントカードを持っているので、トークン化で違う番号を使いたい場合、選択肢は4つあります。1つはポイントカードを止めること。2つめはPSP(決済処理事業者)に発行サービスを委託することですが、すべてに対応できるかはわかりません。1つ注意が必要なのは、PSPが対応できるといっても加盟店が希望する桁数をトークン化してくれるサービスなのかがわからないことです。特殊なケースで、上8桁を残して下5桁をトークン化するような仕組みを取りたいという希望があった場合、対応できるPSPとできないPSPがあり、それに合わせる必要があります。その場合は、すでに提供されている外部サービスを利用する以外の方法として自前でつくる、もしくはSIerなどに依頼するというかたちもあります。自前でポイントカードを使いながらトークン化を行うケースが最近多いですが、PSPと加盟店の間に中間の仕組みを作って、そちらに送ったデータをトークン化して返すというかたちを作ることも1つあります。
PCI DSS準拠に向け、暗号化とHSM による安全強固な鍵管理を実現
KeySecure Connectorの1つトークン化ソリューション
ソリューションとしては、認証サービスも色々とあります。海外のPCI監査を通っているワンタイムパスワードベースのクラウド認証サービスの概要として、まず、弊社が持っているデータセンターにアクセスします。パスコードと書いてあるところにPINとOTP(ワンタイムパスワード)を同時に入れてOKを押すかたちなので、2段階にはなりません。
HSMの種類としては2つ用意しています。LUNAシリーズは鍵の金庫、一方、KeySecure は暗号ソフトウェアと接続するタイプで、ファイルやフォルダの暗号の仕組みを作ったり、トークナイゼーションの仕組みを作ったりするものです。
HSMを中心とした暗号ソフトウェアについては、あまり環境に縛られることなくできるような仕組みを取っています。
ProtectAppはアプリケーションサーバに暗号化の仕組みを取りいれるAPIを提供しています。ProtectDBはカラム単位での暗号化、Tokenizationはトークン化、ProtectFile はファイルやフォルダベースの暗号化、ProtectVは仮想環境全体の暗号化を実現。KMIP連携はKMIPという業界標準プロトコルを用いて、例えばストレージメーカーのストレージ暗号化と連携できる鍵管理を用意しています。
トークン化に関してですが、暗号化とトークン化は少し異なる点があります。暗号化では全く見えないような文字列に変えたりしますが、論理的な観点でいうと復号できる仕組み、鍵があります。一方、トークン化は、ある桁数のところだけ乱数化して発行するので、トークンデータをもらったからといって元データに戻せるものではなく、そういった意味で今回の監査範囲の対象から外れるということで、非保持化を支援するソリューションになります。逆に暗号化すると監査対象に入ってくるので、極小化を目指したければトークン化、PSPの中でもカード情報をきちんと保持したいなら暗号化ということになります。
トークン化のメリットですが、漏えい時にペナルティがありません。ポイントとして、PCIの監査対象から外れることが挙げられます。
※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のジェムアルト、TISの講演をベースに加筆を加え、紹介しています。
■お問い合わせ先
ジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
https://safenet.gemalto.jp/
