2015年3月3日5:30 マクニカネットワークス株式会社 世界中の決済を保護するHSMで高セキュリティな暗号鍵管理を実現 金融ビジネスを支援する万全のサポート体制も強みに
「PAYGATE®」提供のロイヤルゲートを支援 暗号鍵のセキュアな格納は情報流出防止の最後の砦に
HSMは、決済手段の多様化にも有効に対応可能だ。昨今では、モバイルを活用した決済手段が世界的な広がりを見せている。日本においても“いつでも、どこでも決済ができる”環境の整備に向け、スマートフォン決済サービス(mPOS:モバイルPOS)が広がると思われる。その普及と同時にセキュリティ面が課題となっているが、PCI PTSの関連規格である「DUKPT(Derive Unique Key Per Transaction)」が、決済処理における暗号通信のセキュリティレベルを高めるプロトコルとして注目されている。DUKPTはANSI X9.24-1で標準化されており、決済のトランザクションごとにユニークな鍵を派生することで、万が一、鍵が盗聴、解読されても以降のトランザクションには影響を与えない仕組みとなっている。トランザクションが発生するたびにカードリーダと決済センター双方で新しい鍵(トランザクションキー)を作り出す。このDUKPTの仕組みの実装、そしてトランザクションキーを派生する「マスターキー」の安全な保護に、HSMが有効となる。 例えば、スマートフォン決済サービス「PAYGATE®」を提供するロイヤルゲートは、HSMを使ったモバイル決済において、DUKPTを完全実装した事例でタレスとしても国内初となっており、マクニカネットワークスでは同社の運用をサポートしている。 このように、ATM、PCI DSS、DUKPTの実装に効果的なソリューションとして、HSMの重要性が高まっている。HSMは何故それほどまでに重要なのか? その理由について千堂氏はこう説明する。 「暗号化のみでは、アプリケーション経由の攻撃や不正アクセスを防止するのには不十分であり、情報漏洩を100%防げないため、暗号鍵管理は重要な情報を守る最後の砦であると考えています。データを暗号化し、その鍵を安全な“金庫”の中に格納する。暗号化のアルゴリズムの強度を確保でき、暗号鍵を格納する耐タンパ性のあるセキュアなハードウェアによる実装が重要です」
決済HSM、汎用HSMの双方を国内で唯一提供 金融機関の要求に応えられるサポート体制を整備
タレスの決済用HSMである「payShield 9000」では、カード決済処理と発行処理に特化しており、決済処理をコマンドセットで搭載している。1から構築する必要がないため、システムを提供するSIerからも好評を得ている。また、コマンドの追加や、企業独自のファームウェアを開発するといった点にも柔軟に対応可能だ。
「タレスのHSMは、世界中で行われるペイメント決済処理に関わる80%以上を保護しており、FIPS140-2、Common Criteria EAL4+、PCI HSMといった規格への準拠により、信頼性も高く評価されています」(千堂氏) マクニカネットワークスでは、決済用のHSMに加え、汎用HSM (General Purpose HSM)の販売も行う国内唯一の企業となっている。汎用HSMにおいても、ボトルネックとなっていた楕円曲線暗号も処理速度をアップするなど、機能追加は随時、進められているそうだ。 なお、HSMについては、タレスに加え、SafeNet(セーフネット)の製品も提供しているため、お客様は多様な選択肢の中から自社に適した製品が選択可能だ。10年にわたる取り扱いの歴史があり、大手金融機関、官公庁での運用もサポートした実績がある。また、タレスのHSMと連携可能なロードバランサー/WAF製品である「Citrix NetScaler」をはじめとした幅広いセキュリティ・ネットワーク製品の取扱によるソリューション提供を行っていることも特徴である。 HSMの導入について、マクニカネットワークスが選ばれる理由として千堂氏は、「金融機関においてシステムの停止はクリティカルな問題ですので、万全のサポート体制が整った弊社の強みが生かされると思います。国内でもHSMへの関心が高まる中で、鍵管理の大切さを啓蒙することにより、海外同様にセキュリティレベルを高めていくことが目標です」と意気込みを見せた。 ⇒⇒前篇へ戻る