2021年2月25日8:30
基準への対応は約7割を占める鍵管理が重要に
安全なクレジットカード取引を行うためにPCI SSCが定めた国際的なセキュリティ基準「PCI P2PE」の仕組みや考え方について、国内で最も同基準の認定を取得しているルミーズの開発部 部長 大池絢輔氏に解説してもらった。大池氏は2012年にルミーズのPCI DSS準拠対応チームに参加し、2014年からリーダーを務めた。2017年にPCI P2PEソリューション認定対応チームリーダー、2018年にPCI P2PEコンポーネント認定対応チームリーダーとして同基準の実務を担当している。
※「キャッシュレス・セキュリティガイド」より
ルミーズはPCI P2PE認定数が国内トップ
「非保持化」同等相当に
2020年10月現在、ルミーズはPCI P2PEソリューション認定が4サービス、PCI P2PEコンポーネント認定が2サービスとなっており、国内における認定数№1となっている。PCI P2PEは、暗号化する決済端末と、復号化するHSMの拠点間を安全に保護するためのセキュリティ要件だ。そこで使われている暗号化方式は「DUKPT(Delivered Unique Key Per Transaction)」と呼ばれ、トランザクションごとに異なる暗号鍵を用いて、暗号化/復号化を行う方式となる。
改正割賦販売法の施行により、加盟店は「カード情報の非保持化」もしくは「PCI DSS準拠」が求められる。PCI P2PEソリューションの導入により、どちらの方法でも加盟店の負担が軽減する。
非保持化実現のための接続方式には、「外回り方式」「内回り方式」がある。まず、外回り方式は、加盟店のシステムと連動しない独立した端末で決済をする方式だ。特徴として、カード情報が加盟店システムを通過しない代わりに、既存業務フローやシステムフローに大きな変更が必要な場合もある。内回り方式は、暗号化したカード情報が加盟店システムを通過する方式だ。既存業務フローをほぼそのまま維持でき、システムフローも小幅な変更で済むため、多くのニーズがある。ただし、11項目のセキュリティ要件を満たすか、PCI P2PE認定ソリューションの導入が必要だ。PCI P2PEソリューション導入により、11項目のセキュリティ要件を満たす必要がなくなるため、非常に対応がしやすくなる。PCI DSS準拠の場合、約400の監査項目数が「SAQ P2PE」適用でわずか33項目となり、大幅に監査項目を減らすことができる。
PCI P2PEソリューション導入のメリットとして、①「非保持化」相当となるため、情報漏洩リスクが軽減される、②内回り方式の場合、実行計画のセキュリティ要件(11項目)の対応が不要となる、③PCI DSSを取得する場合、監査項目を10分の1程度に縮小することができる、④端末のセキュリティに関する運用負担を軽減することができる、という4つの特徴がある。
ソリューションの事例として、ルミーズが最初に取得したのがMO・TO(メールオーダー・テレフォンオーダー)向けソリューションだ。対応機種は、マニュアル入力に特化した「SREDKey2」、およびEMVコンタクトIC、NFC、磁気カード読み取りとマニュアル入力をサポートした「VP3600」となる。
また、自動販売機・自動精算機向けマルチ決済端末でもPCI P2PEソリューションに準拠しており、クレジットカード(接触・非接触IC・磁気)、電子マネー、QRコードのすべてのキャッシュレス決済を搭載した「salo-01」、クレジットカード(接触IC・磁気)、QRコードに対応した「VP6800」、オートローダー式接触IC決済端末で、非接触ICにも対応可能な「VP5300M」が準拠している。
各ドメインの概要は?
鍵を徹底して管理することが主眼に
PCI P2PEソリューションの取得側として、各ドメイン概要は以下の通りだ。
ドメイン1 暗号化端末(POIデバイス)と端末内アプリケーション管理についての要件
ドメイン2 暗号化端末(POIデバイス)内で平文PANへのアクセスを行うアプリケーションについての要件
ドメイン3 P2PEの管理全般についての要件
ドメイン4 加盟店管理ソリューションについての要件(加盟店自身がソリューションプロバイダとなる場合のみの要件)
ドメイン5 複合環境のセキュリティについいての要件
ドメイン6 POIデバイスとHSM、および暗号鍵の管理についての要件
ドメイン6 リモート鍵配布の鍵や証明書管理についての要件
(Annex A)
ドメイン6 暗号鍵の注入施設(KIF:Key Injection Facilities )
(Annex B)
例えば、ドメイン1、3、6はN/Aになることは少ないと思われるが、ドメイン2は端末内アプリケーションが平文PANを扱わない場合は省くことができる。ドメイン4は加盟店自身がソリューションプロバイダとなる特殊な環境で適用されるため、N/Aになることが多い。ソリューションに合わせて取得の形態が変わる。大池氏は「暗号環境、復号環境は外せないため、そこを自身で用意するのか、外部に委託するのかがポイントとなります」と話す。
P2PE認定取得のハードルとして、まず設備投資がかさむことが挙げられる。暗号環境では、端末に対して暗号鍵を注入する環境(KIF)が必要となる。ルミーズでは、KIFを取得した際、3,700万円の費用が掛かったが、その6割ほどが設備投資費となった。なお、ルミーズが初めてP2PEソリューションに準拠したMO・TO向けソリューションの際はアイディテックと連携していたが、自動販売機・自動精算機向けマルチ決済端末では、自身でP2PEコンポーネントを取得した。そのKIF取得時でHSMが1,500万円、セキュリティ関連装置(監視カメラ、入退室管理装置等)が200万円、キーインジェクション専用ルーム工事等で500万円の費用がかかった。
さらに、取得に向けて、「とにかく鍵管理が大変」(大池氏)であり、データを管理する鍵を徹底して管理することに主眼が置かれている。PCI P2PEのドメイン別項目数の割合をみると、43%がドメイン6に関する項目だ。また、鍵を保管する端末やHSMの管理関係のドメイン1、5も含めると、全体の約7割が鍵管理関係の要件となる。鍵管理自体は運用に加え、ポリシー策定などの負担も大きい。
