2010年01月20日 09時00分 UPDATE
ニュース

NEWSPCI DSSを短期間・低コストで準拠可能に――RSAセキュリティが新サービス

RSAセキュリティは、独自の「セキュリティ・トークン化」技術により、PCI DSSを短期間/低コストでの準拠可能にする「PCI DSS準拠支援サービス」を発表した。

[上口翔子,TechTargetジャパン]

 RSAセキュリティは1月19日、クレジットカード情報のセキュリティ対策基準「PCI DSS」を短期間/低コストで準拠可能にする新サービス「PCI DSS準拠支援サービス」を発表、同日より提供を開始した。

画像 RSAセキュリティ プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏

 同サービスは、クレジットカード番号(PAN:Primary Account Number)を復号不可能なトークンに置き換えることで、PCI DSS準拠時に審査対象となる範囲を縮小するというもの。同社の提供する「RSA プロフェッショナルサービス」の1つとしてAPIで提供され、価格は「導入するシステムの規模や管理範囲により異なる」(同社プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏)とする。

 PCI DSSの目的は、カード会員情報(主にPAN、カード会員名、サービスコード、有効期限の4つ)を保護すること。カード会員名、サービスコード、有効期限は、単体では保護対象外となるが、PANとともに保存されている場合には、その保存先であるデータベースなどすべてが保護(監査)対象となる。

 よって、例えばカード利用者がオンライン上で決済をする際、ネットワークやサーバすべてにPAN情報を持たせる一般的な処理方法では審査範囲が広く、結果としてPCI DSS準拠に伴う初期作業や3カ月ごとの定期スキャンテスト、年次審査が長期化。費用も増大するという。

画像 一般的なPCI DSS準拠時の審査範囲

 「PCI DSS準拠支援サービスを導入することで、(決済代行時など)実際にPANが必要となる場合以外はトークン化したデータを扱う。つまり、データベースや業務アプリケーションの一部は監査範囲外になり、これは数100台規模のサーバにクレジットカード情報が散在している状況の方にとって、非常に大きなメリットになる」(テルミ氏)

画像 PCI DSS準拠支援サービス導入時の審査範囲

 同サービスを実現するのは、米国の大手クレジットカード決済代行サービス企業First Data Corporation(ファースト・データ)でも採用実績があるという同社独自の「セキュリティ・トークン化(Tokenization)」技術。カードが持つPANの一部を乱数に置き換えることで、PANとの関係性が無い情報とする(トークン化する)。データ構造に変更はないため、トークン化によるアプリケーション/データベースのスキーマへの影響(変更)はほぼないという。また、PANの取り扱い時には同社の暗号鍵「RSA Key Manager」で管理するため、徹底したアクセス管理・保護を確保するとしている。

 「PCI DSSから解釈できるのは、PAN情報は暗号化してもトークン化してもハッシュ化しても、それを“行う”システムはスコープ(審査対象)内に入るということ。よってトークン化サーバとPANを転送するネットワークはスコープ内にあり、元のPANに戻す方法を持たないシステム、およびPANそのものを持たない・転送しないシステムはスコープの外というように解釈できる」(テルミ氏)

 同社では現在、PCI DSS準拠支援サービスの拡大を図るため、パートナー企業のインフォセックら数社のPCI DSSの認定審査機関(QSA:Qualified Security Assessor)と連携。PCI DSS準拠支援サービスを、カード発行会社が指定する2010年の期日までの対応完了を目指すべく、展開を進めているという。

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news077.jpg

電通が学生と企業の共創プロジェクト「βutterfly」を開発、企業向けにスポンサードプランを提供
電通は、顧客企業と学生の協働型プロジェクト「βutterfly」を開始すると発表した。β版...

news040.jpg

「インバウンド」で注目される浅草、訪日外国人観光客で賑わう理由とは?
口コミ時代のWebとソーシャルメディアは最大の武器。最小限の手間で最大の効果を発揮する...

news103.png

オムニバス、「セゾンDMP」を活用したターゲティング広告を提供
クレディセゾンの100%子会社オムニバスは、クレディセゾンが保有するクレジットカードの...