2010年11月17日15:38

PCI DSS準拠を支援する「RSA Data Protection Manager」を発表
トークナイゼーション適応により審査範囲の縮小と準拠コスト削減に効果

RSAセキュリティは11月17日、トークナイゼーション、暗号化、鍵管理でPCI DSSの審査対象範囲を縮小し、準拠コストの節減を可能とするソフトウェア「RSA Data Protection Manager」の販売を12月1日から開始すると発表した。

機密データの範囲を極小化、集中管理

PCI DSSの要件3、7に対応

「トークナイゼーション(Tokenization)」はセキュリティ・トークン化の名称であり、RSAセキュリティでは2010年1月から「RSAプロフェッショナル・サービス」の「PCI DSS準拠支援サービス」として提供してきた。

散在する機密データの範囲極小化+集中管理を実現

ビザ・ワールドワイド(Visa)では7月にトークン生成、強固な暗号鍵の管理などを記した「Best Practices for Tokenization Version1.0」をリリース。PCI DSSの運営を行うPCI SSCでも推奨するなど、トークナイゼーションはPCI DSS準拠に向けた新技術として注目されている。

RSAセキュリティでは複数の機能を強化し、暗号化機能との統合、鍵管理との連携などを行い「RSA Data Protection Manager」として製品化した。米国では11月2日にリリースし、国内でも12月1日から販売を開始。同ソフトウェアはトークナイゼーション、鍵管理、暗号化の機能を搭載。加盟店やサービスプロバイダのPCI DSS準拠を支援する。

「トークナイゼーションで機密データを別の文字列(乱数)に置き換えて保存・利用することにより、PCI DSSの審査対象範囲の縮小、機密データの範囲極小化や集中管理によりセキュリティを向上することが可能です。またソフトウェアで提供するため、既存システムへの影響が最小限で済み、トークンフォーマットを変更することにより、さまざまな機密データに柔軟に対応できます」(RSAセキュリティ マーケティング統括本部 マーケティングプログラムマネジャー 関 真氏)

PCI DSSの審査対象範囲を縮小可能

RSA Data Protection Managerのトークナイゼーション機能ではペイメントカードの番号をランダムに生成した同じ桁数の数字に置き換える。カード番号を暗号化して一カ所で集中管理することで、PCI DSSの審査対象範囲を狭め、審査にかかるコストを削減することが可能だ。サービスプロバイダや加盟店はアプリケーションごとにクライアントポリシーの設定ができるという。RSAセキュリティではペイメントカードの番号をトークン化するためのテンプレートも用意している。

具体的な要件対応としては、トークン化データと暗号鍵の管理については生成から廃棄までの管理を自動的に実施するため、要件3への対応を強化できる。さらに、トークンや暗号鍵の管理者をアクセス制御の対象として管理できるため、要件7にも対応する。

海外では対象範囲80%、準拠日数を50%削減したケースも

国内ではゴルフダイジェスト・オンラインが機能を実装

海外ではペイメントカードの決済代行事業を行うファースト・データが「カード情報が存在する場所を減らす」「販売業者からカード情報セキュリティの負担を取り除く」「PCI DSS準拠への負担を減らす」目的でRSAセキュリティのトークナイゼーション機能を導入した。結果、セキュリティを大幅に強化し、PCI DSSの対象範囲を最高80%、準拠必要日数を最大50%削減した。また、サービスプロバイダである同社がPCI DSSに準拠したことにより、加盟店の準拠の負担も軽減することが可能となった。

RSAセキュリティマーケティング統括本部 本部長 宮園充氏(左)とマーケティングプログラムマネージャー 関真氏(右)

すでに国内ではゴルフダイジェスト・オンラインがトークナイゼーション機能を実装し、PCI DSS取得に向けた準備を進めている。関氏によると「国内で導入を検討する企業は複数ある」という。同氏は、「米国では他社の製品よりもパフォーマンスに関しては高い評価を得ており、レベル1クラス(VisaのAIS、MasterCardのSDPで年間600万件以上)の大型加盟店であればコストも含めた導入メリットは大きいはずです」と自信を見せる。

「販売のメインターゲットはレベル1、レベル2(年間100~600万件)クラスの加盟店」(RSAセキュリティマーケティング統括本部 本部長 宮園充氏)

価格はサーバ1台あたり126万円(税込)、クライアントライセンスが1,260万円(税込)となる。販売はRSAセキュリティの代理店が行い、同社では今後2年間で5億円の売り上げを目指す。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP