2021年2月25日8:30

基準への対応は約7割を占める鍵管理が重要に

安全なクレジットカード取引を行うためにPCI SSCが定めた国際的なセキュリティ基準「PCI P2PE」の仕組みや考え方について、国内で最も同基準の認定を取得しているルミーズの開発部 部長 大池絢輔氏に解説してもらった。大池氏は2012年にルミーズのPCI DSS準拠対応チームに参加し、2014年からリーダーを務めた。2017年にPCI P2PEソリューション認定対応チームリーダー、2018年にPCI P2PEコンポーネント認定対応チームリーダーとして同基準の実務を担当している。

ルミーズ 開発部 部長 大池絢輔氏

※「キャッシュレス・セキュリティガイド」より

ルミーズはPCI P2PE認定数が国内トップ
「非保持化」同等相当に

2020年10月現在、ルミーズはPCI P2PEソリューション認定が4サービス、PCI P2PEコンポーネント認定が2サービスとなっており、国内における認定数№1となっている。PCI P2PEは、暗号化する決済端末と、復号化するHSMの拠点間を安全に保護するためのセキュリティ要件だ。そこで使われている暗号化方式は「DUKPT(Delivered Unique Key Per Transaction)」と呼ばれ、トランザクションごとに異なる暗号鍵を用いて、暗号化/復号化を行う方式となる。

改正割賦販売法の施行により、加盟店は「カード情報の非保持化」もしくは「PCI DSS準拠」が求められる。PCI P2PEソリューションの導入により、どちらの方法でも加盟店の負担が軽減する。

非保持化実現のための接続方式には、「外回り方式」「内回り方式」がある。まず、外回り方式は、加盟店のシステムと連動しない独立した端末で決済をする方式だ。特徴として、カード情報が加盟店システムを通過しない代わりに、既存業務フローやシステムフローに大きな変更が必要な場合もある。内回り方式は、暗号化したカード情報が加盟店システムを通過する方式だ。既存業務フローをほぼそのまま維持でき、システムフローも小幅な変更で済むため、多くのニーズがある。ただし、11項目のセキュリティ要件を満たすか、PCI P2PE認定ソリューションの導入が必要だ。PCI P2PEソリューション導入により、11項目のセキュリティ要件を満たす必要がなくなるため、非常に対応がしやすくなる。PCI DSS準拠の場合、約400の監査項目数が「SAQ P2PE」適用でわずか33項目となり、大幅に監査項目を減らすことができる。

PCI P2PEソリューション導入のメリットとして、①「非保持化」相当となるため、情報漏洩リスクが軽減される、②内回り方式の場合、実行計画のセキュリティ要件(11項目)の対応が不要となる、③PCI DSSを取得する場合、監査項目を10分の1程度に縮小することができる、④端末のセキュリティに関する運用負担を軽減することができる、という4つの特徴がある。

ソリューションの事例として、ルミーズが最初に取得したのがMO・TO(メールオーダー・テレフォンオーダー)向けソリューションだ。対応機種は、マニュアル入力に特化した「SREDKey2」、およびEMVコンタクトIC、NFC、磁気カード読み取りとマニュアル入力をサポートした「VP3600」となる。

また、自動販売機・自動精算機向けマルチ決済端末でもPCI P2PEソリューションに準拠しており、クレジットカード(接触・非接触IC・磁気)、電子マネー、QRコードのすべてのキャッシュレス決済を搭載した「salo-01」、クレジットカード(接触IC・磁気)、QRコードに対応した「VP6800」、オートローダー式接触IC決済端末で、非接触ICにも対応可能な「VP5300M」が準拠している。

各ドメインの概要は?
鍵を徹底して管理することが主眼に

PCI P2PEソリューションの取得側として、各ドメイン概要は以下の通りだ。

ドメイン1 暗号化端末(POIデバイス)と端末内アプリケーション管理についての要件
ドメイン2 暗号化端末(POIデバイス)内で平文PANへのアクセスを行うアプリケーションについての要件
ドメイン3 P2PEの管理全般についての要件
ドメイン4 加盟店管理ソリューションについての要件(加盟店自身がソリューションプロバイダとなる場合のみの要件)
ドメイン5 複合環境のセキュリティについいての要件
ドメイン6 POIデバイスとHSM、および暗号鍵の管理についての要件
ドメイン6 リモート鍵配布の鍵や証明書管理についての要件
(Annex A)
ドメイン6 暗号鍵の注入施設(KIF:Key Injection Facilities )
(Annex B)

例えば、ドメイン1、3、6はN/Aになることは少ないと思われるが、ドメイン2は端末内アプリケーションが平文PANを扱わない場合は省くことができる。ドメイン4は加盟店自身がソリューションプロバイダとなる特殊な環境で適用されるため、N/Aになることが多い。ソリューションに合わせて取得の形態が変わる。大池氏は「暗号環境、復号環境は外せないため、そこを自身で用意するのか、外部に委託するのかがポイントとなります」と話す。

P2PE認定取得のハードルとして、まず設備投資がかさむことが挙げられる。暗号環境では、端末に対して暗号鍵を注入する環境(KIF)が必要となる。ルミーズでは、KIFを取得した際、3,700万円の費用が掛かったが、その6割ほどが設備投資費となった。なお、ルミーズが初めてP2PEソリューションに準拠したMO・TO向けソリューションの際はアイディテックと連携していたが、自動販売機・自動精算機向けマルチ決済端末では、自身でP2PEコンポーネントを取得した。そのKIF取得時でHSMが1,500万円、セキュリティ関連装置(監視カメラ、入退室管理装置等)が200万円、キーインジェクション専用ルーム工事等で500万円の費用がかかった。

さらに、取得に向けて、「とにかく鍵管理が大変」(大池氏)であり、データを管理する鍵を徹底して管理することに主眼が置かれている。PCI P2PEのドメイン別項目数の割合をみると、43%がドメイン6に関する項目だ。また、鍵を保管する端末やHSMの管理関係のドメイン1、5も含めると、全体の約7割が鍵管理関係の要件となる。鍵管理自体は運用に加え、ポリシー策定などの負担も大きい。

PCI P2PE認定取得のハードル

必要な機能の一部を切り出したPCI P2PEコンポーネント
キーインジェクションとクラウドHSMで負担軽減

関連記事

ペイメントニュース最新情報

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

指紋認証付クレジットカードやログイン時の本人確認など生体認証技術を使用するコンポーネントの機能、パフォーマンス、セキュリティー試験をお引き受けします。(FIME JAPAN)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP