2011年10月11日8:00

日本最大級のゴルフポータルサイトがトークナイゼーションを導入
クレジットカード番号を乱数に置き換え、暗号化以上の強固なセキュリティを実現

日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内で初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を導入した。ペイメントカードの国際セキュリティ基準であるPCI DSS対策としても注目を集める同技術採用の経緯について話を聞いた。

ゴルフダイジェスト・オンライン

決済代行事業者へのデータ委託では

セキュリティ強化の抜本的解決にはならない

ゴルフダイジェスト・オンライン(GDO)では、ゴルフ用品の販売などを行う「リテールビジネス」、ゴルフ場の予約やASPなどの「ゴルフ場ビジネス」、ゴルフ関連情報やモバイルコンテンツを提供する「メディアビジネス」の3事業を中心にビジネスを展開する、国内最大級のゴルフポータルサイトである。

ゴルフ場予約、ゴルフショップ、ゴルフニュースなどゴルフに関わるサービスを総合的に展開する日本最大級のゴルフポータルサイト「ゴルフダイジェスト・オンライン」

184万人の会員が登録しているGDOのWebサイトは、ゴルフ用品の販売、ゴルフ場の予約などを行うことが可能であり、それぞれ決済処理が行われている。ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏は、「30代、40代のユーザーを中心に、ほかのeコマースサイトなどと比較してもクレジットカード決済の利用者は圧倒的に多いのが特徴です」と説明する。

GDOでは過去に「SQLインジェクション」による不正アクセスの被害にあっている。クレジットカード情報などは漏えいしなかったが、それを機にセキュリティに対する意識を徹底。数多くのセキュリティ対策を講じてきた。GDOでは2011年7月から新システムが稼働しているが、クレジットカード情報の保護などを目的としてEMCジャパン RSA事業本部のトークナイゼーション製品である「RSA Data Protection Manager」を導入した。国内企業として、初のトークナイゼーション導入となる。

GDOでは、一部のサービスで当初はクレジットカード情報を決済代行事業者に預けることも検討したが、「カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、データ自体の保管はしてもらえるがセキュリティを担保してくれない点もあり、外部企業に預けてもセキュリティ強化の抜本的な解決にはならないと考え、トークナイゼーションの導入を決意しました」と渡邉氏は説明する。また、トークナイゼーションの導入で成功している米国の事例なども参考にしたという。

SQLインジェクションなどの攻撃に対応

暗号化よりもセキュリティ対策が強固に

稼働から2か月が経過したが、トークナイゼーション導入の成果としては、「SQLインジェクションなど、外部からの攻撃に圧倒的に強い点」を渡邊氏は挙げる。

ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏

「仮に決済代行事業者にデータを委託しても、通信する番号の管理を行う必要がありますが、トークナイゼーションならばその心配はありません」(渡邉氏)

トークナイゼーション機能により、機密データの範囲極小化や集中管理が可能になり、セキュリティレベルを高めることができたという。またソフトウェアで提供するため、既存システムへの影響が最小限で済むという。

PCI DSSの要件3などで求められている暗号化に関しても「復号されるリスクが全くないとは言い切れない」と渡邉氏は話す。その点、トークナイゼーションでは、暗号化/復号化という概念ではなく、GDOのセキュリティへの要求を満たすことが可能だ。PCI DSSの基準についてもウォッチしているが、「仮にPCI DSSへの準拠を行った場合は、ほとんど何もしなくても対応できる状態となっています」と渡邉氏は自信を見せる。

なお、GDOでは、クレジットカード番号のデータは一カ所のサーバで集中的に管理している。トークナイゼーションサーバは外部から遮蔽された場所に設置されており、第三者による不正アクセスは困難な状況になっている。

今後は会員の個人情報の

トークナイゼーション管理も視野に

国内でもクレジットカード情報の保護技術として注目を集めるトークナイゼーションだが、採用企業はまだ少ない。渡邉氏も「弊社のように数万という単位でクレジットカード決済の処理を行う企業であれば導入メリットがあると思いますが、一定以上のビジネス規模がないとコストも含めて効果を出すのは難しいでしょう」と話す。

同社では今後、クレジットカードだけではなく、会員の個人情報などもトークナイゼーションで管理することを検討しているという。

⇒⇒特集トップへ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP