PCI DSSを短期間・低コストで準拠可能に――RSAセキュリティが新サービス：NEWS

RSAセキュリティは、独自の「セキュリティ・トークン化」技術により、PCI DSSを短期間／低コストでの準拠可能にする「PCI DSS準拠支援サービス」を発表した。

[上口翔子，TechTargetジャパン]

　RSAセキュリティは1月19日、クレジットカード情報のセキュリティ対策基準「PCI DSS」を短期間／低コストで準拠可能にする新サービス「PCI DSS準拠支援サービス」を発表、同日より提供を開始した。

RSAセキュリティ プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏

　同サービスは、クレジットカード番号（PAN：Primary Account Number）を復号不可能なトークンに置き換えることで、PCI DSS準拠時に審査対象となる範囲を縮小するというもの。同社の提供する「RSA プロフェッショナルサービス」の1つとしてAPIで提供され、価格は「導入するシステムの規模や管理範囲により異なる」（同社プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏）とする。

　PCI DSSの目的は、カード会員情報（主にPAN、カード会員名、サービスコード、有効期限の4つ）を保護すること。カード会員名、サービスコード、有効期限は、単体では保護対象外となるが、PANとともに保存されている場合には、その保存先であるデータベースなどすべてが保護（監査）対象となる。

　よって、例えばカード利用者がオンライン上で決済をする際、ネットワークやサーバすべてにPAN情報を持たせる一般的な処理方法では審査範囲が広く、結果としてPCI DSS準拠に伴う初期作業や3カ月ごとの定期スキャンテスト、年次審査が長期化。費用も増大するという。

一般的なPCI DSS準拠時の審査範囲

　「PCI DSS準拠支援サービスを導入することで、（決済代行時など）実際にPANが必要となる場合以外はトークン化したデータを扱う。つまり、データベースや業務アプリケーションの一部は監査範囲外になり、これは数100台規模のサーバにクレジットカード情報が散在している状況の方にとって、非常に大きなメリットになる」（テルミ氏）

PCI DSS準拠支援サービス導入時の審査範囲

　同サービスを実現するのは、米国の大手クレジットカード決済代行サービス企業First Data Corporation（ファースト・データ）でも採用実績があるという同社独自の「セキュリティ・トークン化（Tokenization）」技術。カードが持つPANの一部を乱数に置き換えることで、PANとの関係性が無い情報とする（トークン化する）。データ構造に変更はないため、トークン化によるアプリケーション／データベースのスキーマへの影響（変更）はほぼないという。また、PANの取り扱い時には同社の暗号鍵「RSA Key Manager」で管理するため、徹底したアクセス管理・保護を確保するとしている。

　「PCI DSSから解釈できるのは、PAN情報は暗号化してもトークン化してもハッシュ化しても、それを“行う”システムはスコープ（審査対象）内に入るということ。よってトークン化サーバとPANを転送するネットワークはスコープ内にあり、元のPANに戻す方法を持たないシステム、およびPANそのものを持たない・転送しないシステムはスコープの外というように解釈できる」（テルミ氏）

　同社では現在、PCI DSS準拠支援サービスの拡大を図るため、パートナー企業のインフォセックら数社のPCI DSSの認定審査機関（QSA：Qualified Security Assessor）と連携。PCI DSS準拠支援サービスを、カード発行会社が指定する2010年の期日までの対応完了を目指すべく、展開を進めているという。

関連ホワイトペーパー

PCI DSS | データベース | サーバ | アクセス制御 | API | 暗号化 | セキュリティ対策