2010年11月5日0:17
PCI DSSの監査負荷を軽減する「トークン化セキュアパック」を発表
Visaの「Best Practices for Tokenization」に対応
PCI DSSに対応するための新技術として「Tokenization(トークナイゼーション)=トークン化」が注目されている。日本セーフネットは11月4日、クレジットカード番号などの機密情報をトークン化する「Token Manager」とデータベース暗号化と暗号鍵の管理を実行する「DataSecureシリーズ」で構成した「トークン化セキュアパック」を発表した。
注目を集めるTokenization
DBの暗号化の課題を解決
「Tokenization(トークナイゼーション)」はデータベースの暗号化以上にセキュアなデータ保存形式と言われている。従来のデータベースの暗号化の課題としては、①暗号化によりデータは保護されるが、すべての鍵アクセスについてはアクセス制御がしかるべき形で取られる必要がある、②QSA(認定セキュリティ評価機関)の監査についてはすべての鍵アクセスに対するログ提出が求められる、③暗号鍵の管理、④業務アプリケーションにおいては復号されるため、通信におけるセキュリティ対策も必要不可欠――といった点が挙げられる。
「これらの課題は弊社の製品を使用することで解決することができます」と日本セーフネット代表取締役社長 酒匂 潔氏は自信を見せる。
また、PCI DSSの運営団体であるPCI SSCにおいても、トークン化による監査負荷軽減の考慮を行うべきであると考えており、「Emerging Technology」として紹介している。ビザ・ワールドワイド(Visa)でもトークン生成、マッピング、カード情報用Data Vaultに対するPCI DSSの準拠、強固な暗号鍵の管理などを記した「Best Practices for Tokenization Version1.0」を7月にリリースした。
「Best Practices for Tokenization Version1.0では理想的なトークン化のインプリ基準について言及しています。Visaがトークン化について言及しているということは業界のスタンダードになると考えています」(酒匂氏)
価格は500万円から
年間20社の採用を目指す
日本セーフネットの「トークン化セキュアパック」は、暗号化とトークン化をワンパッケージで提供する。これにより、ポリシー管理、暗号鍵のライフサイクル、メンテナンス、監査の集中管理を実現する。トークン化によりクレジットカード処理やそのほかの機密データは無作為なトークンに置き換えられるため、業務アプリケーションはトークンを使用して処理が行われる。
また、業務アプリケーションは実際のデータが必要な際にだけ、暗号化されたクレジットカード情報にアクセスする。業務アプリケーションやWebサーバに関してもOracle、IBM、BEA、J2EE、Apache、Sun ONE、JBoss、SAPなどに対応している。
「業務アプリケーションの利用に関しては、全体の負荷の8割ほどを占めるため、規模が大きい企業ほどトークン化セキュアパック導入の恩恵を受けられます。PCI DSSに準拠するためには、暗号鍵のローテーション(要件3)が定期的に必要になりますが、サービスプロバイダや加盟店にとっては、例え30分や1時間でもデータベースを止めるのは問題があるため、この部分は多くの企業が苦労していますが、トークン化セキュアパックはオンラインでのキーローテーションをインプリしています」(日本セーフネット エンタープライズセキュリティ事業部 シニアセキュリティエンジニア 高岡隆佳氏)
結果として、多くのカード会員データがトークン化されることでPCI DSSの監査対象範囲(スコープ)を狭め、セキュリティ強度を高めながら監査コストを削減することが可能となる。
「例えば監査費用が年間1,000万円かかる企業でも、トークン化セキュアパックの導入により7~8割のコストを下げることも可能です」(日本セーフネット エンタープライズセキュリティ事業部 第2営業部 部長 高橋 実氏)
なお、10月28日にリリースされたPCI DSS Version2.0の要件に関しては、3、4、7、9、10をカバーしている。
価格はデータベースの規模、暗号化要件により変動するが、データの暗号化および暗号鍵の管理(HSM)、アクセス制御と職務分掌の徹底を実行するアプライアンス「DataSecure i150アプライアンス」とToken Managerライセンスおよびソフトウェア込みで500万円からとなる。高橋氏は「比較的規模の大きいレベル1、レベル2加盟店を中心に年間20社程度の導入を目指します」と意気込みを語った。
