Vormetricトークナイゼーションによるカード情報のトークン化 データベースを廃した状態で導入可能に(下)

2017年5月23日8:00

■タレスジャパン株式会社

容易な設定が可能で、PCI DSS暗号化トークン(RC)/非暗号化トークン(RN)に対応

実際のVTSの設定ですが、GUIでさまざまな設定をしていくかたちとなります。ただし、設定内容は非常にシンプルで、変換パターンも決まっていますし、このユーザーにはどのような形式でデータを戻す、カスタマーサポートのグループに対しては右4桁のみのマスキングで返す、といった内容が中心になってきます。

Vormetricトークナイゼーション(VTS)の特徴

次にセキュリティガイドラインのアルゴリズムとして、PCI DSS暗号化トークン(RC)/非暗号化トークン(RN)に対応。暗号鍵を使って変換するのが暗号化の方式で、非暗号化の場合は暗号鍵を使いません。また、それぞれのアルゴリズムは併用可能となっています。

最後にDSMによる鍵管理では、FIPS-140-2レベル2、レベル3のいずれにおいてもフロントは同じで、HSM搭載の場合は後ろにカードキーが入るようになっています。カードキーを使って鍵を運用管理していく、物理的なカードキーがないとマスター鍵がオペレーションできないようにしています。鍵の変更はDSMの中で行いますが、マスター鍵の変更によるサービスへの影響は出ないようになっており、そのまま継続運用が可能です。また、冗長機能ですが、鍵をロストしたり、鍵通信ができなくなったりすると問題が出てきます。鍵は必ず必要で、VTSトークンサーバとDSM通信が維持しないといけない中で、DSMもVTSと同じようにクラスターを組めるようになっています。

システム構成はシンプルで、クラスター前提になるので最小構成で鍵を管理するDSMが2台、VTSも2台の構成となります。別途用意いただくのはロードバランサーのみで、他のサーバを立てて、ソフトをインストールする必要はなく、DSMとVTSで完結する仕組みになっています。

カード情報の保護だけにとどまらないトークナイゼーションのメリット

実際に情報漏えいが起きるのはカード番号だけではなく、カード番号以外にも個人情報、生年月日からメールアドレスまでさまざまです。トークナイゼーションは別にカード番号に限ったものではありません。生年月日も、電話番号も、マイナンバーも変換できます。こういったものを短時間でトークン化できるので、カード番号だけではなく、個人情報も含めてトークン化しておくということは、PCI DSSだけではなく、セキュリティ、情報漏えい対策として非常に重要なソリューションになっており、その意味で非常に注目が集まっています。トークナイゼーションを行っていれば、社員が見るパソコン画面にマスキングで表示できるので、例えばカメラで撮るとか、メモ書きで情報を盗むといったことができません。このようなことができるのがトークナイゼーションの強みです。

拡張性 :カード情報の保護だけでは終わらせない

まとめとして、カード情報だけでなく個人情報、さらにデータベースそのものも暗号化することができ、パフォーマンスはほとんど落ちません。データベースを暗号化することで、データベース管理者がデータベースの情報をエクスポートして盗難するといった内部犯行の対策として、大きなメリットを見出すことができます。

さらにファイルサーバですが、顧客データや設計データ、人事情報、場合によってはCSVでエクスポートしたカード情報が存在しているかもしれません。

ファイルサーバに暗号化エージェントを導入することで、こういったデータを暗号化することができます。また、オラクルやストレージ製品で暗号化を導入済みの場合は、その暗号鍵をDSMで集中管理することもできます。

VTSは、シンプルで容易な設定がゆえに、短時間で導入でき、パフォーマンスも落ちません。さらに、鍵管理も簡単である特徴が強みとなっています。

▶▶前編へ戻る

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のタレスジャパン シニアセキュリティアーキテクト 迎 博氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■タレスジャパン株式会社
thalese-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com

 

関連記事

ペイメントニュース最新情報

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP