2011年11月16日8:00
全世界の約8割の決済を保護するハードウェアセキュリティモジュールとは?
暗号鍵の管理などPCI DSS準拠にも有効で「PCI HSM」にも準拠
タレス(THALES)は、世界約50か国で航空宇宙、防衛、セキュリティなどにかかわる製品を提供している。約7万人の従業員のうち2万5,000人の技術者を抱えており、セキュリティ機器、システム、サービスの開発などを行っている。同社は、2008年にエンサイファー(nCipher)を買収。決済用ハードウェアセキュリティモジュール(HSM)である「payShield 9000」は、暗号化および顧客のPINを生成、保護、および保存するために利用されており、全世界のペイメントカードのトランザクションの約8割の処理を保護しているという。ペイメントカードのセキュリティ基準である「PCI DSS」対策やNFC技術を利用したモバイル決済にも有効なHSMの役割について仏・タレス セキュリティソリューション&サービスディビジョン トランザクションセキュリティディレクター ポール・メドクラフト(Paul Meadowcroft)氏に話を聞いた。
主要国際ブランドのスイッチングで実績
EMVなど各種セキュリティ要件に対応
――御社はカードの発行や決済処理に関する包括的なセキュリティを提供されています。まずはペイメントとのかかわりについてお答えください。
ポール・メドクラフト:弊社は、ハードウェアセキュリティモジュール(HSM)を25年間提供しており、VisaやMasterCardをはじめ、主要なペイメントカードブランドのスイッチングで利用されています。当時は磁気ストライプの暗証番号などの保護からスタートしました。その後、EMVなど、金融業界の標準も進化してきましたので、それに随時対応してきました。イシュアやアクワイアラがデビットカードやクレジットカードなどを使用する取引を保護するために必要な機能を担保しています。
ペイメントカードの世界では、EMVのチップカードへの移行、非接触などのモバイル決済が登場していますが、EMVCoやGlobal Platformが新たな標準を策定する中で、イシュアが準拠したカードを発行したり、アクワイアラが適切なトランザクション処理を行えるように必要な機能を搭載しています。
――現状、御社のHSM技術は世界でどの程度利用されていますか?
ポール・メドクラフト:世界の8割のペイメントのトランザクションは弊社のHSMを経由しています。ATMやPOSで行われる決済処理は、1つのスイッチ環境に集約されることが多く、心臓部の暗号技術はタレスであることが多いです。現状、150カ国以上でディストリビューションやサポートネットワークを構築しており、例えば、英国やオーストラリアはほぼ100%、弊社の製品でインフラが整っています。北米地域ではATALAが強いですが、それ以外の地域では弊社のマーケットシェアが大きいと考えています。弊社の競合は、EMVが発展する中で、十分な対応ができていません。
製品面では、暗号処理を行う能力が他社製品よりも高いスペックを持っていると考えています。また、冗長性を持っていて、電源やファンの部分を二重化させてハードウェアの故障がないようにしています。加えて、FIPSやコモンクライテリアに準拠しています。また、PCI DSSなどを運営する団体であるPCI SSCではHSMの遵守基準として、「PCI HSM(Payment Card Industry Hardware Security Module)」を策定していますが、それに準拠しています。現状、PCI HSMに準拠しているのは世界で2社のみとなります。
81%のQSAがPCI DSS準拠にHSMが有効、もしくは推奨と回答
トークナイゼーションの補完機能も果たす
――御社の製品はPCI DSSの準拠にも有効だそうですね。
ポール・メドクラフト:PCI DSSの準拠において鍵管理は難しい課題となっています。弊社では、PCI DSSのQSAにインタビューを行いましたが、63%のQSAがHSMを使用することにより、PCI DSSの準拠に費やす時間は減ると回答しています。また、35%のQSAはHSMが必要であると考え、46%のQSAはHSMを推奨したと回答しています(QSA調査レポート)。
PCI DSSにおいて、暗号鍵の管理は課題の1つとなっています。北米では、PCI DSSの準拠が進んでいますが、HSMを鍵管理に使うことが認知されています。代替コントロールを適用してセキュリティが担保されるのかというとクエスチョンです。
また、PCI DSSの新技術として注目されているトークナイゼーションのシステムにもHSMは採用されています。弊社のHSMはボルテージのトークナイゼーションシステムで利用されていますが、補完的な機能を発揮します。すでに、米国では、大規模なペイメントカードの流出事件を起こしたハートランド・ペイメント社で採用されています。
――現状、PCI DSSへの対応としての採用実績はいかがでしょうか?
ポール・メドクラフト:PCI DSSの準拠に向けたHSMの採用は、世界中で取り組んでいます。現状、PCI HSMに準拠している企業は2社だけですので、よりスムーズに準拠できるようにお手伝いをさせていただいています。すでに複数の企業で採用実績はありますが、PCI DSS準拠に向けたHSMの実装としては初期の段階だと考えています。また、PCI DSSに準拠するのはもちろん、セキュリティレベルを維持、継続してもらうためにHSMの採用を勧めています。
NFCなどモバイルペイメントにも注目
国内ではソニーのFeliCa技術でも採用
――最後に今後普及が予想されるモバイルペイメントへの取り組みについてお聞かせ下さい。
ポール・メドクラフト:モバイルペイメントやモバイルバンキング、NFCは複雑な決済環境になることが予想されますので、EMVCoやGlobal Platformなどの標準化団体と一緒になってこの環境をいかにシンプルなものするかを考えて策定に関わっていきたいです。これにはまず、イシュアがペイメントアプリケーションをモバイルに搭載するプロセスが重要となります。特に無線OTAを使ってパーソナライゼーションを行っている企業はセキュリティの確保が大変になると思います。2つめは、決済のプロセスで、セキュアなアプリケーションが搭載され、そのあとにデバイス側とアクワイアラ側のやり取りが発生しますが、そのセキュリティが必要になるでしょう。ここは従来の決済環境で対応できるのではないかと考えています。
タレスは、防衛や軍需などにおいてセキュリティ技術を提供しており、情報セキュリティについての経験値や技術も高い。海外では、PCI DSSに準拠するため、免税ショッピングサービスを提供するGlobal RefundがpayShield 9000を採用し、カード番号を暗号化してセキュアに保護し、キーローテーションにかかる時間の短縮を実現。国内でもイシュアや決済代行事業者などを中心にPCI DSS準拠に向けた引き合いが増えているそうだ。また、非接触ICカードやモバイルペイメント関連でもソニーのFeliCa技術などで採用されている。今後もペイメントカード情報保護の新たな技術としてHSMの重要性が高まることが予想される。
