カードNavi, カードセキュリティ最新情報, カードセキュリティPCI DSS, カード新着情報, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

大手クレジットカード2社の事例から学ぶ PCI DSS対策暗号化 /トークナイゼーション導入のポイントとは！（下）

2018年5月24日8:00

■ジェムアルト株式会社

大手カード会社ではPANの暗号化をクラウド領域含め実現
交通系カード会社ではPANと別番号による中継システム構築

TISからは、ジェムアルトのソリューションによる国内導入事例を紹介します。TISはもともと、三和銀行系の東洋情報システムとして発足しました。売上比率では金融業35％、流通・サービス31％、製造業20％と、幅広いお客様のIT化促進をお手伝いしています。

TIS株式会社プラットフォームサービス本部プラットフォームサービス事業部プラットフォームサービス営業部副部長中村敬氏

セキュリティソリューション事業については、正式には1999年から始まり、18年ほどの歴史があります。PDCAのマネジメントサイクルにおける組織的、人的、物理的、技術的という4要素の中で、さまざまなセキュリティについての要望がありますので、コンサルティングや暗号化技術、PCI DSS対応、マネージドサービス、脆弱性診断などを提供しています。

それでは実際の導入事例を2件ご紹介させていただきます。1件目は国内最大級のクレジットカード会社の事例です。PCI DSS対応が主目的ですが、こちらのお客様では、複数システムに対してデータを暗号化しなければならない、安全な暗号鍵の管理、クラウドサービスへの適用、SIEM等の相関分析の対応が必要という4つのテーマがありました。そこでTISからは、ジェムアルトのProtectFileでファイルの暗号化を実現し、かつKeySecureを使って暗号鍵の安全な管理を行うことを提案しました。

システムの簡単なイメージとして、数十台ずつあるLinuxやWindows系のサーバ内のデータとファイルサーバのログやバッチデータについて、ProtectFile とKeySecureを活用して暗号化と暗号鍵管理を実現しました。また、AWS（アマゾンウェブサービス）に会員のウェブサーバのデータも保持していたので、こちらもProtectFileで暗号化し、オンプレミスと同様にKeySecure による暗号鍵管理を実現しています。このお客様はかなり大規模で、高いパフォーマンスを求められましたし、SIEMとの連携もありましたので、POC（Proof Of Concept＝概念実証）も含めた技術検証、チューニングにかなり時間を割いて、クリアしました。昨今ではクラウド環境でのセキュリティの危惧が問題になっていますが、TISとして、これにいち早く対応した事例になりました。

次はクレジットカードとポイントシステムを保有している関西の交通事業者系のクレジットカード会社の事例です。実績としてはトークナイゼーション/PCI DSSを中心としたコンプライアンス準拠ですが、こちらは2017年3月に発表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の改訂版（2017年版）に基づく対応になります。

TISの理解としては、まず、非対面であるECサイトの部分と対面加盟店の利用者のクレジットカード番号の非保持化が重要であろうと考えました。2点目としては、今回のお客様がポイントシステムを運用している中で、非保持化対応により、ポイントの顧客管理にクレジットカード番号を利用できなくなるので、それを別番号の採番で変換する中継システムが必要ということでご提供させていただきました。

非対面のECサイト事業者のクレジットカード番号非保持化については、決済ASP、提携カード、ポイントシステムにおけるお客様管理にクレジットカード番号が利用されていましたが、それを代替するものとして、別番号の採番を行い、さらにサブシステムで別番号を連携する中継システムを構築しました。この中継システムにはジェムアルト社のKeySecure とTokenizationマネージャーを組み込み、一部TISでカスタマイズしています。この中継システムの中にはクレジットカード情報とポイントIDを相互に変換させる機能を設けています。まず、カード情報の一部をトークン化し、一部のIDも変換して組み合わせたポイントIDを新しく作ってお客様に提供するかたちです。ポイントIDとカード番号は密接な関係になっていますので、ポイントIDをカード番号にデトークンする際にKeySecure とTokenizationマネージャーを活用する事例になっています。