大手クレジットカード2社の事例から学ぶ PCI DSS対策 暗号化 /トークナイゼーション導入のポイントとは!(下)

2018年5月24日8:00

■ジェムアルト株式会社

大手カード会社ではPANの暗号化をクラウド領域含め実現
交通系カード会社ではPANと別番号による中継システム構築

TISからは、ジェムアルトのソリューションによる国内導入事例を紹介します。TISはもともと、三和銀行系の東洋情報システムとして発足しました。売上比率では金融業35%、流通・サービス31%、製造業20%と、幅広いお客様のIT化促進をお手伝いしています。

TIS株式会社 プラットフォームサービス本部 プラットフォームサービス事業部 プラットフォームサービス営業部 副部長 中村 敬氏

セキュリティソリューション事業については、正式には1999年から始まり、18年ほどの歴史があります。PDCAのマネジメントサイクルにおける組織的、人的、物理的、技術的という4要素の中で、さまざまなセキュリティについての要望がありますので、コンサルティングや暗号化技術、PCI DSS対応、マネージドサービス、脆弱性診断などを提供しています。

それでは実際の導入事例を2件ご紹介させていただきます。1件目は国内最大級のクレジットカード会社の事例です。PCI DSS対応が主目的ですが、こちらのお客様では、、複数システムに対してデータを暗号化しなければならない、安全な暗号鍵の管理、クラウドサービスへの適用、SIEM等の相関分析の対応が必要という4つのテーマがありました。そこでTISからは、ジェムアルトのProtectFileでファイルの暗号化を実現し、かつKeySecureを使って暗号鍵の安全な管理を行うことを提案しました。

システムの簡単なイメージとして、数十台ずつあるLinuxやWindows系のサーバ内のデータとファイルサーバのログやバッチデータについて、ProtectFile とKeySecureを活用して暗号化と暗号鍵管理を実現しました。また、AWS(アマゾン ウェブ サービス)に会員のウェブサーバのデータも保持していたので、こちらもProtectFileで暗号化し、オンプレミスと同様にKeySecure による暗号鍵管理を実現しています。このお客様はかなり大規模で、高いパフォーマンスを求められましたし、SIEMとの連携もありましたので、POC(Proof Of Concept=概念実証)も含めた技術検証、チューニングにかなり時間を割いて、クリアしました。昨今ではクラウド環境でのセキュリティの危惧が問題になっていますが、TISとして、これにいち早く対応した事例になりました。

導入実績:システムの全体イメージ

次はクレジットカードとポイントシステムを保有している関西の交通事業者系のクレジットカード会社の事例です。実績としてはトークナイゼーション/PCI DSSを中心としたコンプライアンス準拠ですが、こちらは2017年3月に発表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の改訂版(2017年版)に基づく対応になります。

TISの理解としては、まず、非対面であるECサイトの部分と対面加盟店の利用者のクレジットカード番号の非保持化が重要であろうと考えました。2点目としては、今回のお客様がポイントシステムを運用している中で、非保持化対応により、ポイントの顧客管理にクレジットカード番号を利用できなくなるので、それを別番号の採番で変換する中継システムが必要ということでご提供させていただきました。

非対面のECサイト事業者のクレジットカード番号非保持化については、決済ASP、提携カード、ポイントシステムにおけるお客様管理にクレジットカード番号が利用されていましたが、それを代替するものとして、別番号の採番を行い、さらにサブシステムで別番号を連携する中継システムを構築しました。この中継システムにはジェムアルト社のKeySecure とTokenizationマネージャーを組み込み、一部TISでカスタマイズしています。この中継システムの中にはクレジットカード情報とポイントIDを相互に変換させる機能を設けています。まず、カード情報の一部をトークン化し、一部のIDも変換して組み合わせたポイントIDを新しく作ってお客様に提供するかたちです。ポイントIDとカード番号は密接な関係になっていますので、ポイントIDをカード番号にデトークンする際にKeySecure とTokenizationマネージャーを活用する事例になっています。

導入実績:システムの全体イメージ

今後は、加盟店実店舗(対面事業者)への非保持化対応も見据えた運用に向け、機能単位の分離によるシステムの柔軟な拡張性がお客様のビジネス課題の解決に沿った事例であるとも言えます。

ポイントとクレジットカードの連携は当たり前になっていますが、非保持化にあたってはトークナイゼーションを使う方法もありますし、代行決済事業者に任せるという選択肢もあります。その中で特にそれをビジネスとして活用されているお客様において、TISとしてはこのような方式が最も望ましいと考えています。

▶▶前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のジェムアルト、TISの講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
gemaltoジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
https://safenet.gemalto.jp/

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP