2015年3月3日5:00タレスジャパン株式会社EMV、HCE等のモバイルペイメント、mPOSを保護するタレスのHSM最新の決済トレンドにも対応できる強固なセキュリティを実装

タレスは、決済に関わるセキュリティについて40年以上の歴史があり、世界の80%の決済トランザクション処理に絡んでいる。EMV、HCE等のモバイル決済、mPOSといった最新のテクノロジにおいてもデータ保護を進めており、決済用HSM(ハードウェア・セキュリティ・モジュール:Hardware Security Module)「payShield 9000」の役割は年々高まっているという。

決済用HSMとして、「payShield 9000」を提供
「FIPS140-2」、「Common Criteria」、「PCI HSM」に準拠

▲タレスの決済用HSMが有効な範囲
▲タレスの決済用HSMが有効な範囲

タレスは、決済用HSMとして、「payShield 9000」という決済に特化した製品を提供している。同社では、90年代からクレジットカードのIC化に向けたテクノロジを提供しており、国内でも2000年初頭にVisaやMasterCardと協力し、発行の支援を最初に行った。通常の決済トランザクションやカード発行に加え、モバイル決済の環境など、新たなテクノロジにも追従して機能を追加している。また、暗号モジュールのセキュリティ要件を定義する米国連邦情報規格「FIPS140-2」、情報システムのセキュリティ評価基準を定めた国際標準「Common Criteria」、ペイメントカードの国際セキュリティ基準「PCI DSS」を運営するPCI SSCが定義したHSMのセキュリティ基準「PCI HSM」に準拠している。

グローバルな決済のスキームはすでに確立されていて、従来のカードからモバイルにシフトしても基本的に同じ形態が用いられている。日本はユニークな決済環境が立ち上がっており、現状は海外で発行されたカードが利用できない場合もあるが、2020年の東京五輪に向け改善される可能性が高く、よりタレスの役割が高まると予想される。

カード情報を如何に守るのかというのは、「PCI DSS」の中で特に優先順位が高い項目となっているのは、最新のVersion 3.0では、会員情報を保護する要件3.6で、HSMが初めて文言として登場した。タレスジャパン e-セキュリティ事業部 シニア・プロダクトマネージャー シンドウ ジロウ氏は、「これまで、暗号鍵の管理でHSMが利用され、有効であるという事例が認められた結果でもあると思います」と口にする。

一気通貫で暗号化するP2PEの実装にHSMは有効
トークナイゼーションを提供するBell IDが採用

2013年の暮れ、米国の流通大手のターゲットがPOSにマルウェアを仕込まれてカード会員情報が漏えいする大規模な事件が発生した。米国において、ターゲットなどの大手流通加盟店が犯罪者のターゲットとなっているのは、センター側の環境はプロテクトされているが、加盟店の環境としてPOSのシステムは守られていないからだという。その対策としてPCI SSCでは、POSやECサイトのシステム全体にクレジットカード番号が入ってきた瞬間にデータベースに保存するまで、一気通貫で暗号化する技術「PCI Point-to-Point Encryption(P2PE)」を推奨している。

タレスジャパン e-セキュリティ事業部 シニア・プロダクトマネージャー シンドウ ジロウ氏
タレスジャパン e-セキュリティ事業部 シニア・プロダクトマネージャー シンドウ ジロウ氏

「PCI DSSにおいて、暗号化されているデータはスコープ外だが条件があり、暗号化された会員情報が複合化されない、すなわち暗号を複合するためのマスターキーを保有していないことが求められます。加盟店にとってP2PEは実装が難しいですが、PCI DSSでスコープ外にするのは、会員データが暗号化されており、それを解かれることがないということをQSAに証明することが重要ですが、その対策にHSMは有効です」(シンドウ氏)

また、Apple Payで採用されているトークナイゼーション技術にも注目が集まっている。カード番号がトークンという形で別のデータ置き換わっていれば、PCI DSSのスコープから外すことが可能だ。トークナイゼーションは、モバイルを活用した決済には特に有効であり、EMVチップをサポートするプロセスとして活用できる。すでにトークンマネージャーを提供するオランダのBell IDでは、カードやモバイルのEMVチップの発行プロセスにおいて、タレスのHSMが利用されている。

「決済環境の中でトークナイゼーションの意味合いが2つあり、EMVチップに対するトークン化した情報をEMVに入れ込むことと、PCI DSSのスコープの範囲を軽減するメリットがあります」(シンドウ氏)

タレスでは将来的にトークナイゼーションもPCI DSSのように標準化されると予想しており、「スタンダード化されるトークンの機能をタレスのHSMに盛り込んでいきたい」としている。

⇒⇒後編へ続く

お問い合わせ先
thales6タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP