2015年3月3日5:00

タレスジャパン株式会社
EMV、HCE等のモバイルペイメント、mPOSを保護するタレスのHSM
最新の決済トレンドにも対応できる強固なセキュリティを実装

タレスは、決済に関わるセキュリティについて40年以上の歴史があり、世界の80%の決済トランザクション処理に絡んでいる。EMV、HCE等のモバイル決済、mPOSといった最新のテクノロジにおいてもデータ保護を進めており、決済用HSM(ハードウェア・セキュリティ・モジュール:Hardware Security Module)「payShield 9000」の役割は年々高まっているという。

決済用HSMとして、「payShield 9000」を提供
「FIPS140-2」、「Common Criteria」、「PCI HSM」に準拠

▲タレスの決済用HSMが有効な範囲
▲タレスの決済用HSMが有効な範囲

タレスは、決済用HSMとして、「payShield 9000」という決済に特化した製品を提供している。同社では、90年代からクレジットカードのIC化に向けたテクノロジを提供しており、国内でも2000年初頭にVisaやMasterCardと協力し、発行の支援を最初に行った。通常の決済トランザクションやカード発行に加え、モバイル決済の環境など、新たなテクノロジにも追従して機能を追加している。また、暗号モジュールのセキュリティ要件を定義する米国連邦情報規格「FIPS140-2」、情報システムのセキュリティ評価基準を定めた国際標準「Common Criteria」、ペイメントカードの国際セキュリティ基準「PCI DSS」を運営するPCI SSCが定義したHSMのセキュリティ基準「PCI HSM」に準拠している。

グローバルな決済のスキームはすでに確立されていて、従来のカードからモバイルにシフトしても基本的に同じ形態が用いられている。日本はユニークな決済環境が立ち上がっており、現状は海外で発行されたカードが利用できない場合もあるが、2020年の東京五輪に向け改善される可能性が高く、よりタレスの役割が高まると予想される。

カード情報を如何に守るのかというのは、「PCI DSS」の中で特に優先順位が高い項目となっているのは、最新のVersion 3.0では、会員情報を保護する要件3.6で、HSMが初めて文言として登場した。タレスジャパン e-セキュリティ事業部 シニア・プロダクトマネージャー シンドウ ジロウ氏は、「これまで、暗号鍵の管理でHSMが利用され、有効であるという事例が認められた結果でもあると思います」と口にする。

一気通貫で暗号化するP2PEの実装にHSMは有効
トークナイゼーションを提供するBell IDが採用

2013年の暮れ、米国の流通大手のターゲットがPOSにマルウェアを仕込まれてカード会員情報が漏えいする大規模な事件が発生した。米国において、ターゲットなどの大手流通加盟店が犯罪者のターゲットとなっているのは、センター側の環境はプロテクトされているが、加盟店の環境としてPOSのシステムは守られていないからだという。その対策としてPCI SSCでは、POSやECサイトのシステム全体にクレジットカード番号が入ってきた瞬間にデータベースに保存するまで、一気通貫で暗号化する技術「PCI Point-to-Point Encryption(P2PE)」を推奨している。

タレスジャパン e-セキュリティ事業部 シニア・プロダクトマネージャー シンドウ ジロウ氏
タレスジャパン e-セキュリティ事業部 シニア・プロダクトマネージャー シンドウ ジロウ氏

「PCI DSSにおいて、暗号化されているデータはスコープ外だが条件があり、暗号化された会員情報が複合化されない、すなわち暗号を複合するためのマスターキーを保有していないことが求められます。加盟店にとってP2PEは実装が難しいですが、PCI DSSでスコープ外にするのは、会員データが暗号化されており、それを解かれることがないということをQSAに証明することが重要ですが、その対策にHSMは有効です」(シンドウ氏)

また、Apple Payで採用されているトークナイゼーション技術にも注目が集まっている。カード番号がトークンという形で別のデータ置き換わっていれば、PCI DSSのスコープから外すことが可能だ。トークナイゼーションは、モバイルを活用した決済には特に有効であり、EMVチップをサポートするプロセスとして活用できる。すでにトークンマネージャーを提供するオランダのBell IDでは、カードやモバイルのEMVチップの発行プロセスにおいて、タレスのHSMが利用されている。

「決済環境の中でトークナイゼーションの意味合いが2つあり、EMVチップに対するトークン化した情報をEMVに入れ込むことと、PCI DSSのスコープの範囲を軽減するメリットがあります」(シンドウ氏)

タレスでは将来的にトークナイゼーションもPCI DSSのように標準化されると予想しており、「スタンダード化されるトークンの機能をタレスのHSMに盛り込んでいきたい」としている。

⇒⇒後編へ続く

お問い合わせ先
thales6タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com

関連記事

ペイメントニュース最新情報

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP