暗号化、トークン化の進展に伴う暗号鍵の統合管理 HSM「KeySecure」で煩雑な鍵運用をワンストップで実現(下)

2017年6月15日8:00

■ジェムアルト株式会社

鍵管理と暗号化の統合管理のソリューション「Key secure
鍵運用を容易にするGUI搭載

Key secure はHSMとProtect FileやTokenization(トークナイゼーション)などの弊社ソフトウェア(コネクタ)が連動して動作するソリューションです。Key secure は、これら多様なコネクタも1台で統合管理でき、さらにはお客様が暗号化された鍵もカスタマイズして管理できるものになっています。

ジェムアルト株式会社 IDP事業本部 曽和知己氏

Keysecureの特徴のひとつとしてPCI DSSで定義された鍵運用を容易にするGUIが搭載されていることがあげられます。このGUIにしたがって運用すれば、基本的にPCIDSSに準拠した鍵管理の運用を行うことができます。また、Key secure の中でも暗号化処理を実行することができ、データベースの暗号処理の負荷を軽減させるためにKey secure内で暗号化処理をしてデータを返すこともできます。またシステム全体の可用性を高めるためにKey secureを並列に構成し冗長化し、スケールアップしていくことも可能です。弊社製品は米国や欧州のセキュリティ製品のスタンダードに準拠しており、グローバルな第三者機関の承認を得ていることになりますので、政府、自治体の調達要件にも対応できます。

コネクタについては、実際、何をどこに入れればいいのかという質問がありますが、基本的に暗号化をどこで行うかで製品が分かれています。大きくはデータベースの中にあるのか、ファイル、フォルダの中に入っているのかで分かれ、データベースの中のデータを暗号化する際にも、処理が重くなることを避け、特定のカラムだけを暗号化する場合と、データベース全体を暗号化する場合に分かれます。また、特定のカラムを暗号化する場合にも、データベースのカラムレベルで行うのか、アプリケーションをサーバに組み込んでその中で暗号化して、社内のLANには生データを絶対に流さないのか、といった設計が可能となります。

ファイル、フォルダですが、これはイントラ環境にあるのかクラウドであるのかで分かれます。イントラであればファイルサーバの中のフォルダ単位やディレクトリ単位で暗号化していくコネクタなどがあります。各アプリケーション、ソフトウェアは各場所にインストールしていただき、その鍵をKey secureで保護・管理することで提供しています。

ProtectApp はいわゆるSDKです。プログラムに組み込んで暗号化を行う製品で、その中でもトークナイゼーションは数字に置き換えるのですが、全桁を対象にしたり、特定の桁だけを対象としたりするなど、さまざまな設定ができるようになっています。

また、ProtectDBは、カラム単位で暗号化を行うもので、たとえば、クレジットカード番号に対応させ、権限ユーザ以外には非表示にするといった対応ができます。

ProtectVは、クラウド上の仮想環境上で作動するソフトウェアとなり、インスタンスなどのレベルで暗号化を行います。

トークン化システムの事例
PCI DSS対応としても導入が進む

国内のHSMの活用事例として、大手クレジットカード会社様を始め、PCI DSSの監査対応が非常に煩雑になってきたため、顧客データベースを更新する際にトークン化して保存するケースがあります。弊社では先ほどのKey secureというHSMとトークン化のソフトウェアをアプリケーションサーバに実装する形で実現しております。新規データは入力の際にトークン化するのですが、既存のデータについてもバッチ処理で一括してトークン化できるようになっています。

弊社はこれまで金融業界に長い実績があり、手厚いサポートで、お客様の計画段階から保守まで、一貫したサービスを提供可能です。

続いて海外の事例ですが、海外ではHSMによる管理がある意味当たり前になっており、日本よりも3年~5年ほど進んでいる状況にあります。その中で、社内のさまざまな場所にHSMが導入されており、それぞれが鍵管理をしていると煩雑になってくるという課題があります。その課題に対して弊社では、Key secureを置くだけですべてのシステムの鍵を管理する目的として、導入させていただきました。この会社は非常にデータ数が多く、1億1,000万以上あり、高いパフォーマンスが必要という課題もありました。また、鍵の数が非常に多いため、Key secureを並列に置いて、スケールアップしてパフォーマンスをキープできました。将来的は、GCMやFPEといった新たなアルゴリズムにも対応できるメリットもあるため、採用いただいております。

導入サポート体制と実際の対応
特約店・提携パートナーに加え、直接導入も可能

導入後のサポート体制としては、24時間365日、駆けつけ4時間以内の対応が可能です。これは弊社単独ではなく、パートナーとの協業によって提供が可能になっています。コスト重視のお客様には、弊社グローバルサポートの窓口(英語)をご利用いただくことで、24時間お問い合わせいただけます。導入は、短いもので3日、長いものでは1年のサイクルになりますが、最初の計画の段階で、弊社からヒヤリング、コンサルティングをさせていただきます。その後、実機をお貸し出しし検証を行っていただくのですが、その期間中、弊社日本オフィスのSEが無償で対応させていただきます。

ご発注にあたっては基本的にはパートナーからの提供になります。構築作業は基本的にお客様に行っていただきますが弊社技術パートナーによる構築も可能でございます。さらに製品のカスタマイズについても対応可能ですし、グローバル展開時のサポートも万全です。

具体的な体制ですが、先ほどのKey secureでは、基本的に販売代理店様経由で、お客様、SIer様と共に導入作業を進める形となります。また、HSMのノウハウの豊富な構築支援パートナー様にお任せいただき、SIerには全体のプロジェクト管理を担っていただくことも可能です。さらに、導入にあたって、一体どのシステムから手をつけていいかわからない、というお客様へは提携コンサルティング会社様をご紹介し、システム全体のフィジビリティスタディ、具体的な導入計画の策定のお手伝いをさせていただくことも可能です。

▶▶前編へ戻る

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のジェムアルト株式会社 IDP事業本部 曽和知己氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
gemaltoジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
ソフトウェアマネタイゼーション事業本部:03-6744-0222
http://www.safenet-inc.jp/

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP