2017年11月22日8:00
「PCI P2PE ソリューション」「PCI P2PE コンポーネント」のプロバイダ認定を取得
ネットムーブは、国内で初めてペイメントカード業界のセキュリティ標準化協議団体である「PCI SSC」が定める「PCI P2PE ソリューション」および「PCI P2PE コンポーネント」のプロバイダ認定を同時に取得した。
P2PEソリューションは6つのドメインに分かれる
ミウラシステムズの端末を利用して認定を取得
ネットムーブの「SaAT ポケレジ」は、EMV接触および非接触、磁気対応のカードリーダ(Miura Systems:ミウラシステムズ)で、スマートフォンにクレジットカード番号が残らないセキュアな決済ソリューションを提供している。すでに接触は、Visa、Mastercard、JCB、American Express、Dinersの国際5ブランド、非接触はVisa、Mastercardの認定を取得している。
同社では、国内でもいち早く、PCI P2PE(Point To Point Encryption)のPCI P2PE ソリューションプロバイダ、およびコンポーネントプロバイダの認定を取得した。具体的には、フルマネージド型のEMV決済ソリューションである「SaAT ポケレジ」がPCI P2PE ソリューションプロバイダ認定、リモートキーインジェクションを含めた決済端末の管理ソリューション「SaAT マネージドターミナルサービス」がPCI P2PE コンポーネントプロバイダ認定を取得している。
P2PEソリューションは、加盟店とPCI DSS認定の決済センター間においてポイント・ツー・ポイントでカード情報を暗号化するソリューションだ。ネットムーブ シニアプロダクトマネージャ 高田 理己氏は、「鍵で暗号化するのが規格の趣旨となり、単に平文を固定鍵で暗号化するのではなく、定められた手法通りに鍵を管理して、マネジメントする必要があります」と話す。
P2PEソリューションは、暗号化端末アプリ管理(ドメイン1)、暗号化アプリセキュリティ(ドメイン2)、P2PEソリューション管理(ドメイン3)、加盟店管理ソリューション(ドメイン4)、復号化環境(ドメイン5)、鍵管理運用全般(ドメイン6)の6つのドメインに分かれて形成されている。このうち、加盟店管理ソリューションは、カード情報を伝送・処理・保存している加盟店が自らP2PEを取得するときに必要となる。
「鍵のマネジメントはミウラシステムズ社が認証局を提供しています。認証局の運用もコンポーネントとして取得していて、弊社は鍵をインジェクションするサービスをアウトソースしていますが、ここをコンポーネントとして取得しました。お客様はミウラシステムズと弊社のアウトソースサービスを使うと、P2PEソリューションに準拠したサービスの利用が可能です」(高田氏)
準拠に向けては、ドメイン5の復号化環境においては、Gemalto(ジェムアルト)のPCI-HSM準拠のHSM(Hardware Security Module)を使用していることはプラスとなった。ただ、初期鍵を暗号化するための鍵長などの細かい改修がHSMやアプリに求められた。
また、ドメイン6の「鍵管理運用全般」のリモート管理では、通常のスマートフォン決済端末の多くは、工場出荷の前にセキュリティルームでIPEK(初期キー)のインジェクションを行っているが、ミウラシステムズの端末は、筐体自体がDUKPT(Derive Unique Key Per Transaction)の鍵をリモートで取りに行くことが可能な点もスムーズな取得につながった。ただし、端末の受け入れ、検品プロセスの厳正化や端末保管場所の施錠鍵管理をデュアルコントロール化するために2つ以上鍵を取り付け、なおかつ証跡も残さなければいけないなど、配送設備もより厳重にする必要があったそうだ。
なお、ミウラシステムズは暗号化端末アプリセキュリティをコンポーネントとして取得しているため、ネットムーブ自身の認定作業は不要となった。
英国のフォージェニックスに審査を依頼した理由とは?
P2PE-QSAが提出した文書をPCI SSCが最終的に監査
ネットムーブでは、2017年2月に、P2PE-QSA(P2PEの審査機関)の予備審査を実施。その際の指摘事項を修正し、オンサイト監査、ならびに文書のファイナライズを7月に行い、10月31日に認定取得に至った。
P2PE-QSAは、選別の結果、FOREGENIX(フォージェニックス)という英国の審査会社に依頼した。その理由として、「国内の会社も含めて検討しましたが、日本では認定実績がなく、PCI SSCとのやり取りもノウハウが求められるためです」と高田氏は説明する。また、ミウラシステムズがPCI P2PEコンポーネントプロバイダ認定を取得した際もフォージェニックスの審査を受けたことも大きかった。
高田氏は、「監査会社選定時にP2PE-QSAの審査員はグローバルで30名ほどでしたが、フォージェニックスには当時6名のQSAが名を連ねていたこと、またP2PE認定の3~4割の審査を行っているようにノウハウが豊富な点もありました」と話す。現状、日本では数社が審査機関に名を連ねているが、暗号化アプリセキュリティも含めて審査できるのは1社のみであり、また、コストも高いと言われている。
「P2PEの審査におけるPCI DSS基準との違いは、P2PE-QSAが提出した文書をPCI SSCが最終的に監査する点です。ドキュメントに関する細かい指摘など、PCI SSCとの攻防戦になれていることも大きかったため、スムーズに準拠できました」(高田氏)
なお、審査費用に関しては、「フォージェニックスの経験値もあったため、想定よりも抑えることができました」と高田氏は笑顔を見せる。ただし、PCI DSSの審査などに比べると、コストは数倍の割高となった。
今後は大型店も含めてサービスを提供へ
将来的にはP2PEソリューションがスタンダードに?
すでに、ネットムーブでは、「SaAT ポケレジ」では数千台、決済代行事業者やmPOS事業者にOEM提供している台数も含めると、数万台の実績がある。ミウラシステムズではハイエンド向けの端末も提供予定としているため、大型店も含めてサービスを提供していきたいとした。また、P2PEソリューションは、経済産業省などが主導する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」においても、対面加盟店向けのカード情報非保持化措置として例示された有効なセキュリティ対策のソリューションとなっており、カード会社経由の引き合いも増えているそうだ。
現状、Dinersのモバイル端末のブランド認定のクライテリアは、P2PEもしくはそれ相当の運用ができているかが求められており、「将来的には他ブランドも含めてスタンダードになる可能性がある」と高田氏は話す。その意味でも、「今後は他のソリューションプロバイダも追随してきてほしいです」と同氏は語った。