メールマガジン登録
Rss X-twitter Facebook-f

カード決済システムセキュリティの最新トレンド(下)

2014年6月5日8:30

カード決済システムセキュリティの最新トレンド(下)
3-Dセキュアのワンタイムパスワード化、P2PE処理

日本セーフネット

PCI DSSを準拠した企業でも不正利用が発生
P2PEにより、一気通貫の暗号化が実現

続いて、「P2PE(Point to Point Encryption)」について説明します。パソコンのセキュリティで「エンドポイントセキュリティ」がありますが、情報の末端からセキュリティを施すことです。「P2PE」は、POSやECサイトのシステム全体にクレジットカード番号が入ってきた瞬間にデータベースに保存するまで、一気通貫で暗号化する技術です。PCI DSSで重要なデータベースの暗号化は、PAN(カード会員番号)などをデータベースに保存するときに求めています。オンメモリの状態で、フロントのWebサーバがハッキングされた場合、PCI DSSに準拠しても情報漏洩してしまいます。

米国・ハートランドペイメントシステム社の事例では、PCI DSSに準拠していながらも情報漏えいが発生してしまいました。通常のECサイトの場合、ユーザーがWebサーバにアクセスして決済を行います。その際の通信はSSL通信になりますが、一度Webサーバ側で暗号が解かれます。データベースでは別の手法で暗号化していますが、PCI DSSを取得している一般的なECサイトでは、Webサイト自体がマルウェアに感染し、暗号化通信が終わった後のカード番号が読み取られる危険性があります。

PCI DSSの運営団体であるPCI SSCでも“PCI DSSは万能ではない”と認めており、P2PEのガイドラインを出しています。ここで定義しているのは、データを暗号化した領域(データベースやストレージ)で、保存前にカード番号が入ってきた時点で暗号化してしまって、そのままデータベースに漬け込みます。これができているのであれば、データベースを暗号化する必要もないかもしれません。当然、一気通貫でデータが暗号化されているので、通信の傍受やマルウェアも防ぐことが可能です。

POSシステムの暗号化の例として、POS端末に暗号化ソフトを導入いただいて、スワイプした時点で暗号化してしまうケースをご紹介します。ここでは、OSのメモリに展開する前にカードを暗号化してサーバに送ります。Webサーバ上は予めクレジットカード情報を読めないことを前提にアプリケーションをつくる必要があります。クレジットカード番号そのものをWebサーバに渡さない仕組みが重要で、トークナイゼーションと同様に、先頭、後半の4桁、有効期限など、処理に必要な番号だけ渡します。

PCI DSS準拠の最難関
データベースの暗号化は必要か?

P2PEでクレジットカード番号を暗号化できるのであれば、データベースの暗号化は必要か?といった疑問が出てきます。なぜなら、データベースの暗号化はPCI DSSに準拠する上で最も困難だからです。

POSシステムの暗号化例
POSシステムの暗号化例

弊社ではデータベース暗号化アプライアンス「DataSecure」を販売しています。クレジットカード番号が暗号化されている時にデータベースの暗号化が必要かということについては、回答が難しい部分もあります。端的に言うと、PCI DSSや個人情報で暗号化されている側からというと必要ですが、整理を試みてみました。

データベースの暗号化を実装する際、情報を暗号化しているだけではなく、DLP(DataLossPrevension)機能が中心で、テーブルにカラムを追加してリアルタイムに処理しています。また、暗号化しただけでは、数学的にはその情報を元に戻すことが可能です。例えば、顧客情報が入ったPCのハードディスクを暗号化していた場合でも、なくした場合は公表しなければなりません。ただ単純にP2PEを実装しただけだと、暗号化されたカード情報が手に入る可能性があります。そのため、データベースの暗号化が必要となります。ただ、PCI DSSの基準では、仮にデータベースを暗号化していなくても代替コントロールが許可されています。

大切なのはどのような分析で暗号化を行った、もしくはこの分析でデータベースの暗号は必要なかったというトークスクリプトを用意することです。カード業界の流れとして、データベースの暗号化というよりもPANの暗号化は必須になっていくと考えます。

なお、Safenetでは、P2PEを実装しているWiMAX用のEMV ICカード対応の決済端末を提供する企業に暗号化ソリューションを提供しています。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」の日本セーフネット サービスプロバイダ営業部 部長 亀田治伸氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
safenet日本セーフネット株式会社
〒105-0004
東京都港区新橋6丁目17番17号
御成門センタービル 8F
URL: http://www.safenet-inc.jp/
jp-info@safenet-inc.com
TEL:03-5776-2751(代表)
FAX:03-3436-2236

maepage
tokysyu

カード決済&リテールサービスの強化書

関連記事

こちらもおすすめ
  1. カード決済システムセキュリティの最新トレンド(上)
  2. クラウドベース暗号化および暗号鍵管理ソリューションをAWSで提供(Safenet)
  3. 金融機関のオンライン取引を保護する「SafeNet eToken 3500」を発表(日本セーフネット)
  4. iPhoneやiPadなどモバイル端末の管理を認証プラットフォームで実現(SafeNet)
  5. Amazon Web Serviceの顧客にクラウドベースの暗号化を提供(SafeNet,Inc.)
  6. 4月25日に「SafeNet データ・セキュリティ・フォーラム 2013」を開催

ペイメントニュース最新情報

1205dnpseminar
kyokasho2025

MAILMAGAZINE

無料メルマガ登録

PAYMENTNAVI LOVE

無料会員登録

feitian
ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
itnavi

国内最大級のクレジットカード情報データベース(アイティーナビ)

netstarslogo
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
gmopg

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

remise
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
tmn
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
infcurion3
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
scudetto_logo
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
zeus2
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
toppan
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
dgft
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
exa
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
akuru
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
rogo3

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

3inc
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
netmove1_logo

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

dnp

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

TAG
3-Dセキュア BtoB CLO EMV FeliCa HSM IC乗車券 ID決済 NCB NFC P2PE PCI DSS PCI DSS準拠事例 Pro2021 Pro2022 Pro2023 Pro2024 インバウンド キャッシュカード キャリア決済 ギフトカード クレジットカード クレジットカード会社 デビットカード トークナイゼーション プリペイドカード ポイントカード マイナンバー マーケティング モバイル モバイルペイメント 不正検知(フラウド) 個品割賦 公金決済 共通ポイント 地域通貨 外貨決済 後払い 決済端末 法人カード 海外情報 無料会員コンテンツ 越境EC 送金 電子マネー
paymentnavi-shiro

© Copyright payment navi. All Rights Reserved.

本サイトの掲載記事、写真・画像の無断転載・複製を固く禁じます。記載されているロゴや製品・システム名は各社および商標権者の登録商標・商標です。

PAGE TOP