PCIコンプライアンス準拠の費用削減とデータ無害化を実現 サイバー攻撃対策における米国上位企業での「HPE DataSecurity」活用事例(下)

2017年6月2日8:20

■日本ヒューレット・パッカード株式会社

電子商取引におけるエンドトゥエンドの暗号化(P2PE)
SecureData Webによるページ統合型暗号化で加盟店のリスクを軽減

次に電子商取引、モバイル決済の課題の1つとしてあるのが、加盟店がクレジットカード情報をブラウザや買い物カゴの情報から取ってくる中で、負荷分散機、ウェブアプリケーション、ファイアウォール、さらにはウェブの階層、アプリケーションの階層、そしてバックエンドのシステムへと決済情報が流れ、使われていることです。これらのシステムすべてがPCI DSSの審査範囲に入ります。これはSSL/TLSを使っても、その通信トンネルは審査範囲から外せません。

電子商取引においてPCI DSSの審査範囲を大幅に削減したいということで、最初に使われた方法はリダイレクションとなり、他社が提供する決済ページへ飛ばすという方法です。しかし、加盟店にとって大きな問題になるのが、この方法では最も重要なトランザクションをサードパーティーのベンダーに任せることです。これにより、ウェブサイト上でお客様へ最高のユーザーエクスペリエンスを提供しても、決済部分でお客様に不信感を与え、ユーザーエクスペリエンスは最悪になってしまう可能性あります。この制約を克服し、しかもPCI DSSの審査範囲を削減していくために開発されたテクノロジがSecureData Web「Page Integrated Encryption」(ページ統合型暗号化テクノロジ)です。このテクノロジでは、消費者の携帯電話のアプリケーションやブラウザから、エンドトゥエンドで最終的にデータが届くシステムまでの間決済データを暗号化できます。また、コンプライアンス遵守に必要なコストの削減に加え、消費者データが漏えいするリスクを下がることにもつながります。

「HPE SecureData」は、IoT、モノのインターネットのアプリケーション、またはAWS、AZUREのようなクラウドで使うお客様など、あらゆるデータをデータ中心型のアプローチで守ることができます。

HPE SecureData ウェブ/モバイル – “PIE”によるエンドツーエンドでの保護
HPE SecureData – データセキュリティプラットフォーム
データ中心型セキュリティによるクレジットカード決済の保護

データ無害化によるサイバー攻撃対策事例
ハートランド・ペイメント・システムズは情報漏えい対策により他社との差別化を実現

ここで実際の利用例として、まず2009年に大きな情報漏えいが発生した大手の決済プロセッサーのハートランド・ペイメント・システムズでは、25万から26万の加盟店をサポートしています。ハートランド・ペイメント・システムズは、PCI DSSに準拠するためにディスク暗号化テクノロジやデータベース暗号化テクノロジを使っていましたが、それでも攻撃者はこの企業システムへの攻撃を行い、決済処理システムまで侵入し、1億3,000万枚のカード情報が盗まれました。その社会的なインパクトやビジネスへのインパクトは大変大きく、ビジネス全体を失ってしまいました。そこでビジネスを回復するための戦略と迅速な回復が求められたのです。HPEでは、密接な協力関係をもち、パートナーとしてSecureData Paymentsのソリューションを開発しました。ポイントトゥポイントの暗号化ソリューションを彼らのデバイスに対して提供したのです。台湾のハードウェアの会社と一緒に大手加盟店が使用しているハードウェアからバックエンドのシステムまでをエンドトゥエンドで保護することが可能である安全なソリューションを開発しました。

これは決済用途のみならず、バックエンドでのプロセッシングシステムや他のデータ保護においても利用されています。そのエコシステムの中では1日あたり110億~150億件を越えるトランザクションを処理し、この規模に対応することができたため大変成功したプロジェクトとなりました。そして、ハートランド・ペイメント・システムズは世界のプロセッサーの中でも大手として復帰し、グローバルペイメントプロセッサーと呼ばれるようになりました。この事例の大変興味深い点では、決済プロセッサー間で価格競合が起きている中、ハートランド・ペイメント・システムズ社は新しいセキュリティを実装することで、加盟店にとっての情報漏えいのリスクを下げ、お客様に対して新しい補償を提供するという競合他社とは異なるアプローチを取ることができた点です。これは、ハートランド・ペイメント・システムズを使っているにもかかわらず、攻撃を受けて漏えいが発生した場合にその漏えいから実際に発生したインパクトを補償するもので、他社との大きな差別化要因となりました。

次の事例では、この組織は以前、Visaが所有していたVisa Netと呼ばれるヨーロッパのプロセッサーです。このシステムの中にはプロセシング・プラットホームとして、DECのVAXシステムが入っていましたが、古いシステムなので、それを改修してPCI DSSの審査範囲を狭めていくのは難しいことでした。しかしながら、HPE FPEの技術により、このレガシーな複雑である環境の中でセキュリティを実現することができました。

もう1つの事例は世界で最も大きな小売店とも言われているところです。この電子商取引の環境はかなり大規模でした。1つのデータセンターで通常の電子商取引の通信トラフィックを制御するために、600台のサーバーがデータセンターに置かれています。そこでは毎年、およそ1億の決済トランザクションがあり、通常のブラウジングなどではさらにトラフィックが増えてしまい、当然PCI DSSの準拠範囲は大きくなってしまいます。この会社では旧式のボルトタイプで提供されるトークナイゼーションのソリューションを利用していましたが、あまりにも複雑で管理が高価なため、それを置き換えるだけでなく、データセキュリティを実装することでコンプライアンスの費用を節約したいと考えました。このため、この企業では「HPE Secure Data Web」と「HPE Secure Stateless Tokenization」を実装しました。これらより、600台のWEBサーバーのほとんどを、PCI DSSの審査範囲から外し、年間あたり1億円以上を節約しました。

大手ホームセンターはEMV対応でHPEのシステムを採用
8万5千台のPOS端末への導入を9日間で実現

最後に米国の非常に大きな小売チェーンのホームセンター事業の事例です。この会社はアメリカに2,000店舗、メキシコに1,000店舗、そしてカナダに1,000店舗を展開しています。この会社ではエンドトゥエンドあるいはポイントトゥポイントの暗号化を店舗で実装を希望し、またEMVにアップグレードを行いたいと考えており、現在、アメリカではEMVへの移行を行っている最中です。この大きなプロジェクトでは、1つの店舗でパイロットプログラムを実施しました。HPEのテクノロジをテストするということです。その最中に、その小売チェーンのPOSシステムに攻撃が仕掛けられ、マルウェアが他のアメリカの2,000以上の店舗に広まり、多くのクレジットカード情報が盗まれる事件があったのですが、その中で、HPEがパイロットプログラムを行っていた店舗では、攻撃があったにもかかわらず、全くデータ漏えいは発生せず、インパクトはありませんでした。その結果、この企業は2,000以上の店舗、そして8万5,000のPOS端末にHPEのシステムを導入することを決定しました。しかもこれを9日間でやり遂げたのです。通常はHPEのテクノロジをそれだけ速く導入することは推奨していませんが、大規模な情報漏えいがあり、何百万というカード情報が流出する大きな事件があったので、これを防止するためにすぐに高度なテクノロジを使って非常に難しい漏えい問題に対処したいと考えたわけです。それ以来、このアーキテクチャーを拡大し、個人情報をテラデータレベルで構成されるデータウェアハウスのプラットホームで処理するようになりました。また、電子商取引でもこのテクノロジを使用するようになりました。このアーキテクチャーの価値を他のデータを保護するために再利用したことで、非常に成功した事例と言えます。

アメリカの中でも特に先進企業では攻撃による情報漏えいのリスクを下げたいと考えています。攻撃を無害化し、たとえシステムが侵害されたとしてもリスクを緩和することができれば、たとえばPCI DSSのようなフレームワークを使って、コンプライアンスの費用を大幅に節約することができるのです。

▶▶前編へ戻る

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のHewlett Packard Enterprise – DataSecurity部門 グローバルディレクター兼プロダクトマネジメント マーク・バウアー氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
日本ヒューレット・パッカード株式会社
エンタープライズ・セキュリティ・プロダクツ統括本部
問い合わせ:0120-961-673
https://saas.hpe.com/ja-jp/software/enterprise-security
https://saas.hpe.com/en-us/software/data-security-encryption
Email: HPEnterpriseSecurity-jpinfo@hp.com

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP