2011年10月11日8:00

日本最大級のゴルフポータルサイトがトークナイゼーションを導入
クレジットカード番号を乱数に置き換え、暗号化以上の強固なセキュリティを実現

日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内で初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を導入した。ペイメントカードの国際セキュリティ基準であるPCI DSS対策としても注目を集める同技術採用の経緯について話を聞いた。

ゴルフダイジェスト・オンライン

決済代行事業者へのデータ委託では

セキュリティ強化の抜本的解決にはならない

ゴルフダイジェスト・オンライン(GDO)では、ゴルフ用品の販売などを行う「リテールビジネス」、ゴルフ場の予約やASPなどの「ゴルフ場ビジネス」、ゴルフ関連情報やモバイルコンテンツを提供する「メディアビジネス」の3事業を中心にビジネスを展開する、国内最大級のゴルフポータルサイトである。

ゴルフ場予約、ゴルフショップ、ゴルフニュースなどゴルフに関わるサービスを総合的に展開する日本最大級のゴルフポータルサイト「ゴルフダイジェスト・オンライン」

184万人の会員が登録しているGDOのWebサイトは、ゴルフ用品の販売、ゴルフ場の予約などを行うことが可能であり、それぞれ決済処理が行われている。ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏は、「30代、40代のユーザーを中心に、ほかのeコマースサイトなどと比較してもクレジットカード決済の利用者は圧倒的に多いのが特徴です」と説明する。

GDOでは過去に「SQLインジェクション」による不正アクセスの被害にあっている。クレジットカード情報などは漏えいしなかったが、それを機にセキュリティに対する意識を徹底。数多くのセキュリティ対策を講じてきた。GDOでは2011年7月から新システムが稼働しているが、クレジットカード情報の保護などを目的としてEMCジャパン RSA事業本部のトークナイゼーション製品である「RSA Data Protection Manager」を導入した。国内企業として、初のトークナイゼーション導入となる。

GDOでは、一部のサービスで当初はクレジットカード情報を決済代行事業者に預けることも検討したが、「カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、データ自体の保管はしてもらえるがセキュリティを担保してくれない点もあり、外部企業に預けてもセキュリティ強化の抜本的な解決にはならないと考え、トークナイゼーションの導入を決意しました」と渡邉氏は説明する。また、トークナイゼーションの導入で成功している米国の事例なども参考にしたという。

SQLインジェクションなどの攻撃に対応

暗号化よりもセキュリティ対策が強固に

稼働から2か月が経過したが、トークナイゼーション導入の成果としては、「SQLインジェクションなど、外部からの攻撃に圧倒的に強い点」を渡邊氏は挙げる。

ゴルフダイジェスト・オンライン ビジネス基盤グループシステム部 部長 渡邉信之氏

「仮に決済代行事業者にデータを委託しても、通信する番号の管理を行う必要がありますが、トークナイゼーションならばその心配はありません」(渡邉氏)

トークナイゼーション機能により、機密データの範囲極小化や集中管理が可能になり、セキュリティレベルを高めることができたという。またソフトウェアで提供するため、既存システムへの影響が最小限で済むという。

PCI DSSの要件3などで求められている暗号化に関しても「復号されるリスクが全くないとは言い切れない」と渡邉氏は話す。その点、トークナイゼーションでは、暗号化/復号化という概念ではなく、GDOのセキュリティへの要求を満たすことが可能だ。PCI DSSの基準についてもウォッチしているが、「仮にPCI DSSへの準拠を行った場合は、ほとんど何もしなくても対応できる状態となっています」と渡邉氏は自信を見せる。

なお、GDOでは、クレジットカード番号のデータは一カ所のサーバで集中的に管理している。トークナイゼーションサーバは外部から遮蔽された場所に設置されており、第三者による不正アクセスは困難な状況になっている。

今後は会員の個人情報の

トークナイゼーション管理も視野に

国内でもクレジットカード情報の保護技術として注目を集めるトークナイゼーションだが、採用企業はまだ少ない。渡邉氏も「弊社のように数万という単位でクレジットカード決済の処理を行う企業であれば導入メリットがあると思いますが、一定以上のビジネス規模がないとコストも含めて効果を出すのは難しいでしょう」と話す。

同社では今後、クレジットカードだけではなく、会員の個人情報などもトークナイゼーションで管理することを検討しているという。

⇒⇒特集トップへ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

加盟店でのレジ係トレーニング用のテストクレジットカード発売開始。 ターミナルの設定確認にもご利用いただけます。(FIME JAPAN)
【7/8(水)無料開催】セキュリティ対策Webセミナー「ニューノーマルにおけるサービス・業務の非対面化 ~顧客を守る・会社を守るセキュリティの要点~」(セイコーソリューションズ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP