2010年11月17日15:38
PCI DSS準拠を支援する「RSA Data Protection Manager」を発表
トークナイゼーション適応により審査範囲の縮小と準拠コスト削減に効果
RSAセキュリティは11月17日、トークナイゼーション、暗号化、鍵管理でPCI DSSの審査対象範囲を縮小し、準拠コストの節減を可能とするソフトウェア「RSA Data Protection Manager」の販売を12月1日から開始すると発表した。
機密データの範囲を極小化、集中管理
PCI DSSの要件3、7に対応
「トークナイゼーション(Tokenization)」はセキュリティ・トークン化の名称であり、RSAセキュリティでは2010年1月から「RSAプロフェッショナル・サービス」の「PCI DSS準拠支援サービス」として提供してきた。
ビザ・ワールドワイド(Visa)では7月にトークン生成、強固な暗号鍵の管理などを記した「Best Practices for Tokenization Version1.0」をリリース。PCI DSSの運営を行うPCI SSCでも推奨するなど、トークナイゼーションはPCI DSS準拠に向けた新技術として注目されている。
RSAセキュリティでは複数の機能を強化し、暗号化機能との統合、鍵管理との連携などを行い「RSA Data Protection Manager」として製品化した。米国では11月2日にリリースし、国内でも12月1日から販売を開始。同ソフトウェアはトークナイゼーション、鍵管理、暗号化の機能を搭載。加盟店やサービスプロバイダのPCI DSS準拠を支援する。
「トークナイゼーションで機密データを別の文字列(乱数)に置き換えて保存・利用することにより、PCI DSSの審査対象範囲の縮小、機密データの範囲極小化や集中管理によりセキュリティを向上することが可能です。またソフトウェアで提供するため、既存システムへの影響が最小限で済み、トークンフォーマットを変更することにより、さまざまな機密データに柔軟に対応できます」(RSAセキュリティ マーケティング統括本部 マーケティングプログラムマネジャー 関 真氏)
RSA Data Protection Managerのトークナイゼーション機能ではペイメントカードの番号をランダムに生成した同じ桁数の数字に置き換える。カード番号を暗号化して一カ所で集中管理することで、PCI DSSの審査対象範囲を狭め、審査にかかるコストを削減することが可能だ。サービスプロバイダや加盟店はアプリケーションごとにクライアントポリシーの設定ができるという。RSAセキュリティではペイメントカードの番号をトークン化するためのテンプレートも用意している。
具体的な要件対応としては、トークン化データと暗号鍵の管理については生成から廃棄までの管理を自動的に実施するため、要件3への対応を強化できる。さらに、トークンや暗号鍵の管理者をアクセス制御の対象として管理できるため、要件7にも対応する。
海外では対象範囲80%、準拠日数を50%削減したケースも
国内ではゴルフダイジェスト・オンラインが機能を実装
海外ではペイメントカードの決済代行事業を行うファースト・データが「カード情報が存在する場所を減らす」「販売業者からカード情報セキュリティの負担を取り除く」「PCI DSS準拠への負担を減らす」目的でRSAセキュリティのトークナイゼーション機能を導入した。結果、セキュリティを大幅に強化し、PCI DSSの対象範囲を最高80%、準拠必要日数を最大50%削減した。また、サービスプロバイダである同社がPCI DSSに準拠したことにより、加盟店の準拠の負担も軽減することが可能となった。
すでに国内ではゴルフダイジェスト・オンラインがトークナイゼーション機能を実装し、PCI DSS取得に向けた準備を進めている。関氏によると「国内で導入を検討する企業は複数ある」という。同氏は、「米国では他社の製品よりもパフォーマンスに関しては高い評価を得ており、レベル1クラス(VisaのAIS、MasterCardのSDPで年間600万件以上)の大型加盟店であればコストも含めた導入メリットは大きいはずです」と自信を見せる。
「販売のメインターゲットはレベル1、レベル2(年間100~600万件)クラスの加盟店」(RSAセキュリティマーケティング統括本部 本部長 宮園充氏)
価格はサーバ1台あたり126万円(税込)、クライアントライセンスが1,260万円(税込)となる。販売はRSAセキュリティの代理店が行い、同社では今後2年間で5億円の売り上げを目指す。
