Vormetricトークナイゼーションによるカード情報のトークン化 データベースを廃した状態で導入可能に(上)

2017年5月22日8:00

■タレスジャパン株式会社

カード情報非保持化の対策としてカード情報をトークン化しておくことが有効ですが、従来のトークン化製品ではプログラムの改修や高額なライセンス体系などが導入に際しての大きな障壁となっていました。タレスジャパン株式会社が提供する「VTS(Vormetric Tokenization Server:ボーメトリック・トークンサーバー)」では、REST APIによる容易な導入やボルトレスによる高速化、安価なライセンス体系によって、従来のトークナイゼーション製品導入において課題となっていた問題を解消させることができます。

PCI DSSのガイドライン解釈に加え、トークナイゼーション製品の精査が必要に

THALESグループは創業1893年で非常に歴史ある会社です。ITセキュリティだけではなく、航空産業、防衛産業、交通システム、中でも国内の鉄道産業の部品関係など、さまざまな事業を展開しています。2年前に2001年から暗号化、トークナイゼーションの製品をワールドワイドで提供していたVormetricという米国の会社をTHALESグループが買収・統合し、元々THALESが持っていた暗号化で使う鍵を管理するハードウェア製品であるHSM(Hardware Security Module)の部隊とVormetricが一緒になって、2017年1月からThales e-Securityという名称でワールドワイドに展開しています。

トークナイゼーションの仕組みとして、カード番号をトークナイゼーションのシステムを使って変換する場合は、カード番号を実際に変換してトークンデータと呼ばれる無作為な文字列に変換していくのがトークナイズです。一方、デトークナイズは変換されたデータから元のカード番号に戻すものですが、トークナイゼーションでは、マスキング番号を付与して戻すことができることが一つの特徴になります。暗号化の場合は複合時は原本へ戻されることになりますが、トークナイゼーションでは戻す際に原本だけではなくてマスキングして戻すことも可能です。トークナイゼーションにより匿名化された箇所はPCI DSSの監査対象から除外されますが、「Tokenization Product Security Guidelines」では、トークナイゼーション導入時のシステム設計や評価手順など、細かい手順が記載されていますが、鍵の管理やライフサイクルとともに、トークナイゼーション製品への精査が必要となります。

Vormetricトークナイゼーション(VTS)は1秒間に100万カード番号を変換処理

Vormetricは暗号化、トークナイゼーション、鍵の管理、この3つを提供しています。暗号化の対象となるものはファイルサーバ、データベースサーバ、クラウドであり、クライアントやスマートデバイスなど、エンドポイントの暗号化は提供していません。さらに、Vormetricの場合はHSMではなくDSM(Vormetric Data Security Manager)が鍵を管理しています。他社暗号化製品の鍵管理では、オラクルなどで暗号化した鍵を、DSMで管理することでセキュア度を上げることができます。最近はデータベースだけではなくKMIPのような、ストレージ製品も暗号化の商品も提供していますが、その暗号化の鍵を外で管理することでよりセキュアな暗号化を運用することができることになります。

次にトークナイゼーションとDSMですが、Vormetricのトークナイゼーションはボルトレスになります。つまりデータベースは不要となり、非常にシンプルです。鍵管理のためのDSMと、実際に変換処理を行うためのVTSは、変換処理サーバです。鍵を管理するアプライアンスは3種類用意しており、仮想で動くアプライアンス1種類と、ハードウェアの物理的なアプライアンスが2種類あります。その中で一番高価なHSM搭載モデルは、物理的なセキュリティを使って鍵の管理ができるモジュールが搭載されています。

実際に変換を行うトークンサーバですが、こちらは仮想版のみになります。VMWare とAWSのインスタンスとして提供でき、実際にサービス提供しているお客様でも、DSMもAWSで提供しており、トークンサーバもAWSで提供しているので、そのままAWSの中でトークナイゼーションが完結するユニットとなっています。

Vormetricトークナイゼーション(VTS)のコンポーネント

もう一つ原本データ、カード番号はどこにも保存していません。すべてリアルタイムで、変換したり、元に戻したり、マスキングで戻したりできる製品になっています。Vormetricの性能は理論値で秒間100万トークン、1秒間に100万カード番号を変換処理できます。

もう一つ、データベースを廃したことで、可用性もしくはスケールアップが非常に容易になったというメリットがあります。VTSは単純なアプライアンス仮想サーバですが、複数台、ここでは4台を並べて一つのクラスターにすることで設定情報がすべて同期され、理論値で100万トークン×4=400万トークンのクラスターになります。ラウンドロビンで、それぞれのVTSに対してカード番号をトークナイズ、もしくは元に戻すデトークの領域をあげることで、どれかが応答してパフォーマンスを維持しながら、もしくは可用性を維持しながら進んでいけるメリットがあります。

導入についてはアプリケーションサーバでREST-APIを用いてトークナイズ・デトークナイズを行います。REST-API(https)を用いて変換に必要な情報と共にカード番号をPOSTすることでトークナイズができる仕組みで、非常にシンプルなため短期導入が可能です。

▶▶後編へ続く

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のタレスジャパン シニアセキュリティアーキテクト 迎 博氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■タレスジャパン株式会社
thalese-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com

 

関連記事

ペイメントニュース最新情報

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP