2014年6月5日8:30

カード決済システムセキュリティの最新トレンド(下)
3-Dセキュアのワンタイムパスワード化、P2PE処理

日本セーフネット

PCI DSSを準拠した企業でも不正利用が発生
P2PEにより、一気通貫の暗号化が実現

続いて、「P2PE(Point to Point Encryption)」について説明します。パソコンのセキュリティで「エンドポイントセキュリティ」がありますが、情報の末端からセキュリティを施すことです。「P2PE」は、POSやECサイトのシステム全体にクレジットカード番号が入ってきた瞬間にデータベースに保存するまで、一気通貫で暗号化する技術です。PCI DSSで重要なデータベースの暗号化は、PAN(カード会員番号)などをデータベースに保存するときに求めています。オンメモリの状態で、フロントのWebサーバがハッキングされた場合、PCI DSSに準拠しても情報漏洩してしまいます。

米国・ハートランドペイメントシステム社の事例では、PCI DSSに準拠していながらも情報漏えいが発生してしまいました。通常のECサイトの場合、ユーザーがWebサーバにアクセスして決済を行います。その際の通信はSSL通信になりますが、一度Webサーバ側で暗号が解かれます。データベースでは別の手法で暗号化していますが、PCI DSSを取得している一般的なECサイトでは、Webサイト自体がマルウェアに感染し、暗号化通信が終わった後のカード番号が読み取られる危険性があります。

PCI DSSの運営団体であるPCI SSCでも“PCI DSSは万能ではない”と認めており、P2PEのガイドラインを出しています。ここで定義しているのは、データを暗号化した領域(データベースやストレージ)で、保存前にカード番号が入ってきた時点で暗号化してしまって、そのままデータベースに漬け込みます。これができているのであれば、データベースを暗号化する必要もないかもしれません。当然、一気通貫でデータが暗号化されているので、通信の傍受やマルウェアも防ぐことが可能です。

POSシステムの暗号化の例として、POS端末に暗号化ソフトを導入いただいて、スワイプした時点で暗号化してしまうケースをご紹介します。ここでは、OSのメモリに展開する前にカードを暗号化してサーバに送ります。Webサーバ上は予めクレジットカード情報を読めないことを前提にアプリケーションをつくる必要があります。クレジットカード番号そのものをWebサーバに渡さない仕組みが重要で、トークナイゼーションと同様に、先頭、後半の4桁、有効期限など、処理に必要な番号だけ渡します。

PCI DSS準拠の最難関
データベースの暗号化は必要か?

P2PEでクレジットカード番号を暗号化できるのであれば、データベースの暗号化は必要か?といった疑問が出てきます。なぜなら、データベースの暗号化はPCI DSSに準拠する上で最も困難だからです。

POSシステムの暗号化例
POSシステムの暗号化例

弊社ではデータベース暗号化アプライアンス「DataSecure」を販売しています。クレジットカード番号が暗号化されている時にデータベースの暗号化が必要かということについては、回答が難しい部分もあります。端的に言うと、PCI DSSや個人情報で暗号化されている側からというと必要ですが、整理を試みてみました。

データベースの暗号化を実装する際、情報を暗号化しているだけではなく、DLP(DataLossPrevension)機能が中心で、テーブルにカラムを追加してリアルタイムに処理しています。また、暗号化しただけでは、数学的にはその情報を元に戻すことが可能です。例えば、顧客情報が入ったPCのハードディスクを暗号化していた場合でも、なくした場合は公表しなければなりません。ただ単純にP2PEを実装しただけだと、暗号化されたカード情報が手に入る可能性があります。そのため、データベースの暗号化が必要となります。ただ、PCI DSSの基準では、仮にデータベースを暗号化していなくても代替コントロールが許可されています。

大切なのはどのような分析で暗号化を行った、もしくはこの分析でデータベースの暗号は必要なかったというトークスクリプトを用意することです。カード業界の流れとして、データベースの暗号化というよりもPANの暗号化は必須になっていくと考えます。

なお、Safenetでは、P2PEを実装しているWiMAX用のEMV ICカード対応の決済端末を提供する企業に暗号化ソリューションを提供しています。

※本記事は2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム2014」の日本セーフネット サービスプロバイダ営業部 部長 亀田治伸氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
safenet日本セーフネット株式会社
〒105-0004
東京都港区新橋6丁目17番17号
御成門センタービル 8F
URL: http://www.safenet-inc.jp/
jp-info@safenet-inc.com
TEL:03-5776-2751(代表)
FAX:03-3436-2236

maepage
tokysyu

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP