2011年10月11日8:00

日本最大級のゴルフポータルサイトがトークナイゼーションを導入
クレジットカード番号を乱数に置き換え、暗号化以上の強固なセキュリティを実現

日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内で初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を導入した。ペイメントカードの国際セキュリティ基準であるPCI DSS対策としても注目を集める同技術採用の経緯について話を聞いた。

ゴルフダイジェスト・オンライン

決済代行事業者へのデータ委託では

セキュリティ強化の抜本的解決にはならない

ゴルフダイジェスト・オンライン(GDO)では、ゴルフ用品の販売などを行う「リテールビジネス」、ゴルフ場の予約やASPなどの「ゴルフ場ビジネス」、ゴルフ関連情報やモバイルコンテンツを提供する「メディアビジネス」の3事業を中心にビジネスを展開する、国内最大級のゴルフポータルサイトである。

ゴルフ場予約、ゴルフショップ、ゴルフニュースなどゴルフに関わるサービスを総合的に展開する日本最大級のゴルフポータルサイト「ゴルフダイジェスト・オンライン」

184万人の会員が登録しているGDOのWebサイトは、ゴルフ用品の販売、ゴルフ場の予約などを行うことが可能であり、それぞれ決済処理が行われている。ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏は、「30代、40代のユーザーを中心に、ほかのeコマースサイトなどと比較してもクレジットカード決済の利用者は圧倒的に多いのが特徴です」と説明する。

GDOでは過去に「SQLインジェクション」による不正アクセスの被害にあっている。クレジットカード情報などは漏えいしなかったが、それを機にセキュリティに対する意識を徹底。数多くのセキュリティ対策を講じてきた。GDOでは2011年7月から新システムが稼働しているが、クレジットカード情報の保護などを目的としてEMCジャパン RSA事業本部のトークナイゼーション製品である「RSA Data Protection Manager」を導入した。国内企業として、初のトークナイゼーション導入となる。

GDOでは、一部のサービスで当初はクレジットカード情報を決済代行事業者に預けることも検討したが、「カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、データ自体の保管はしてもらえるがセキュリティを担保してくれない点もあり、外部企業に預けてもセキュリティ強化の抜本的な解決にはならないと考え、トークナイゼーションの導入を決意しました」と渡邉氏は説明する。また、トークナイゼーションの導入で成功している米国の事例なども参考にしたという。

SQLインジェクションなどの攻撃に対応

暗号化よりもセキュリティ対策が強固に

稼働から2か月が経過したが、トークナイゼーション導入の成果としては、「SQLインジェクションなど、外部からの攻撃に圧倒的に強い点」を渡邊氏は挙げる。

ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏

「仮に決済代行事業者にデータを委託しても、通信する番号の管理を行う必要がありますが、トークナイゼーションならばその心配はありません」(渡邉氏)

トークナイゼーション機能により、機密データの範囲極小化や集中管理が可能になり、セキュリティレベルを高めることができたという。またソフトウェアで提供するため、既存システムへの影響が最小限で済むという。

PCI DSSの要件3などで求められている暗号化に関しても「復号されるリスクが全くないとは言い切れない」と渡邉氏は話す。その点、トークナイゼーションでは、暗号化/復号化という概念ではなく、GDOのセキュリティへの要求を満たすことが可能だ。PCI DSSの基準についてもウォッチしているが、「仮にPCI DSSへの準拠を行った場合は、ほとんど何もしなくても対応できる状態となっています」と渡邉氏は自信を見せる。

なお、GDOでは、クレジットカード番号のデータは一カ所のサーバで集中的に管理している。トークナイゼーションサーバは外部から遮蔽された場所に設置されており、第三者による不正アクセスは困難な状況になっている。

今後は会員の個人情報の

トークナイゼーション管理も視野に

国内でもクレジットカード情報の保護技術として注目を集めるトークナイゼーションだが、採用企業はまだ少ない。渡邉氏も「弊社のように数万という単位でクレジットカード決済の処理を行う企業であれば導入メリットがあると思いますが、一定以上のビジネス規模がないとコストも含めて効果を出すのは難しいでしょう」と話す。

同社では今後、クレジットカードだけではなく、会員の個人情報などもトークナイゼーションで管理することを検討しているという。

⇒⇒特集トップへ

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP