2025年4月21日8:00
PCI DSS 4.0のベストプラクティス対応は出発点に過ぎません。ビジネス成長と安定運用には「運用の継続性」「監査対応の効率化」「規制や技術変化への柔軟な対応」が不可欠です。本セッションでは、CipherTrust Data Security PlatformのUI操作や動作デモを通じて、暗号・鍵管理・トークン化の多様な要件への対応方法を解説します。また、Impervaとの統合により、WAF、DDoS、APIセキュリティなど決済サービスに必要なセキュリティをより包括的にワンストップで提供可能となったタレスのプロダクトマップもご紹介します。(2025年2月27日開催「ペイメント・セキュリティフォーラム2025」の講演より)
タレスDISジャパン株式会社
リージョナルセールスマネージャー 小原 祐樹氏
セールスエンジニア 豊田 健杜氏
グローバルで定評のある暗号化技術を保有
PCI DSS準拠の支援も
小原:本日はPCI DSS準拠における暗号化データセキュリティの現状と課題、将来についてお話しさせていただきたいと思います。まず、タレスの会社概要を簡単にご紹介いたします。会社名の由来は、かの有名な哲学者のタレスです。フランスの会社で、全従業員数は8万人以上です。航空、宇宙、防衛、そしてサイバーセキュリティなど多くの事業を展開しています。
タレスのサイバーセキュリティは優れた暗号技術を持っておりまして、世界の多くの政府や金融取引のデータを保護してきた実績があります。
タレスは2023年にWAF(Web Application Firewall)で有名なImpervaを買収しました。これを含めサイバーセキュリティのチームは6,000人以上の従業員規模になっており、グローバル市場でトップ5を目指すという野心的な目標を掲げて事業に取り組んでいます。Impervaの統合によって、多くのアプリケーション、WAFの部分から、データの保護、可視化まで一気通貫でソリューションを提供できるようになりました。
PCI DSS要件への非常に多くの関与を、ワンストップで提供できることも、われわれの強みです。プロジェクトのマッピング情報をご覧になって、われわれに皆様の課題解決ができそうでしたら、ぜひお声がけいただければと思います。
情報漏洩のインシデントにより
多大な直接的・間接的損害が発生
小原:続いてペイメントの現状についてお話しいたします。カードの不正利用総額はグローバル、国内のいずれも増加傾向にあります。ただ、ペイメントの市場自体が伸びていますので、不正が増えるのはある程度はしかたのない部分があるかもしれません。市場の伸びに照らして、不正はそれほど大きく増えていないという説もございますので、これはひとえに皆様がPCI DSS準拠に努力されている結果として、これぐらいに抑えられているというほうが正解なのではないかと思います。
カード不正利用被害の主な原因は、カード情報が漏洩し、その情報が不正に利用されることです。それに対して私どもは暗号というソリューションを提供しております。
カード情報漏洩のインシデントが起きると、賠償金支払い、不正アクセス対策、原因調査・フォレンジック調査費用といった直接的な損害のほかに、評判リスク低下、インシデント対応による機会損失などの間接的な損害が発生します。皆様ご認識の通りだと思いますが、隠れた損害がかなり多く発生するということです。ですからカード情報漏洩のインシデントを起こさない、起こしたとしてもきちんとレジリエンスできる体制を整えておくことが非常に重要です。
暗号化と鍵管理の重要度が高まる
求められるクリプトアジリティ
PCI DSSについてわれわれが強調したいのは、PCI DSS準拠はゴールではなく、セキュリティ対策およびサービスのスタートラインにすぎないということです。PCI DSSへの遵守だけでは不十分で、お客様のユーザー体験、収益の向上とともに、日々進化する脅威に対する継続的なセキュリティ向上の取り組みが必要だと考えております。特にマルチクラウド時代を迎えた今日においては、データがオンプレミスから複数のクラウド環境にまたがって保管・処理されるようになっています。このような環境下においては、一貫した暗号化と鍵管理によって、すべての場所にあるデータを守ることが重要になっています。クラウドごとに異なるセキュリティ対策をとると、管理が煩雑になりますし、ミスやポリシーの不整合が生じる恐れがあります。そこで、マルチ環境全体を見渡した統合的な暗号化戦略、そして鍵の管理の戦略の重要性が増しています。
PCI DSS4.0へのベストプラクティス対応がこの3月末までとなっておりますが、このPCI DSS4.0における暗号化要件を少し見ていきたいと思います。ひとつには、カード会員データ保護のための強力な暗号化アルゴリズムの使用と適切な鍵管理が求められています。たとえば要件3では、保存されたカード会員データを不可読化することや、暗号鍵の保護と分散管理、そして要件4では、公開ネットワーク上でのカード会員データ送信を強力な暗号で保護することなどが規定されています。具体的には、保存データはDESなど少なくとも128ビット以上の強度を持つ暗号方式で暗号化し、暗号鍵の厳格な管理、アクセス制御や定期的な鍵のローテーションを実行することが強く推奨されています。さらに要件3.6では、これらの暗号鍵のライフサイクル管理手順を文書化して実施することが求められています。このようにPCI DSS4.0では、暗号化と鍵管理がこれまで以上に重視され、細かな実施方法、文書化まで含めた包括的な対策が要求されるようになっています。
しかし、繰り返しになりますが、この4.0への対応はゴールではありません。サイバー攻撃は日々進化しており、それにともなって暗号技術も進化し、規制も変化していきます。
本日ご紹介したいのは、クリプトアジリティ(暗号の俊敏性)という概念です。システムが使用する暗号のアルゴリズムやプロトコルに、万一脆弱性が見つかったときにも、大きな影響なく迅速に切り替えることができる体制のことを言います。現状、特に量子コンピュータの台頭により、現在の暗号が将来的に破られる可能性がすでに指摘されています。そのためクリプトアジリティの重要性がいっそう高まっており、PCI DSSにおいても、将来的には暗号アルゴリズムの更新や耐量子計算機暗号への対応が求められることが想定されます。
マルチクラウド環境下における
データの一元的な保護・管理が重要
小原:今後5年間の、暗号化を含むPCI DSSの決済部門のトレンド予測としては、まず、マルチクラウド環境における暗号化の標準化が進むと考えられます。企業はオンプレミスやクラウド各所に散在するデータを、統一したポリシーで暗号化して、どの環境に置かれていても一貫してデータが保護される仕組みを整える必要があります。そのためには、クラウド横断的に動作する暗号化のプラットフォームや各クラウドの鍵管理サービスを一元的に扱うソリューションを検討する必要があると考えます。
次に、鍵管理自体の強化です。鍵は、暗号化の命といえる存在です。鍵自体の漏洩、不適切な管理は、即、データ漏洩につながります。欧米では、すでにデータ保護規制で、機微なデータは暗号化や仮名化すべきという原則が掲げられています。逆に、適切な鍵管理を行っていれば、仮に漏洩しても罰則が軽減されるという運用が行われています。そのため今後はより厳格な鍵管理要件、たとえばHSMの利用や鍵分割による内部不正対策の強化などが、国際的にも要求される方向に進むと考えられます。米国では連邦政府主導でゼロトラストアーキテクチャやポスト量子暗号への移行計画が進められています。EUではENISAガイドラインやNIS2指令などで、企業の暗号化対策強化がうたわれています。こうした欧米の動向を踏まえると、規制当局や業界標準が暗号化をますます重視するのは確実と見られます。
GDPRなどでは、暗号化されていないデータが漏洩すれば巨額の制裁金が課されます。これはそのまま、企業の存続にかかわる問題になってきます。米国の州ごとのデータ漏洩通知法などには、暗号化されていれば通知義務が免除されるセーフハーバー条項があります。適切に暗号で保護されているデータか、そうでないかによって、万一漏洩が起きた場合の受け止められ方は大きく異なってきます。将来のPCI DSS要件も、こうした世界的なプライバシー保護やサイバー規制の潮流に合わせ、厳格、高度な暗号化、鍵管理の方向に進むと考えられます。
後編は22日紹介
■お問い合わせ先
タレスDISジャパン株式会社
クラウドプロテクション&ライセンシング
データプロテクション事業本部
URL: https://cpl.thalesgroup.com/ja
Mail: cpl.jpsales@thalesgroup.com
