PCI DSSを短期間・低コストで準拠可能に――RSAセキュリティが新サービス:NEWS
RSAセキュリティは、独自の「セキュリティ・トークン化」技術により、PCI DSSを短期間/低コストでの準拠可能にする「PCI DSS準拠支援サービス」を発表した。
RSAセキュリティは1月19日、クレジットカード情報のセキュリティ対策基準「PCI DSS」を短期間/低コストで準拠可能にする新サービス「PCI DSS準拠支援サービス」を発表、同日より提供を開始した。
同サービスは、クレジットカード番号(PAN:Primary Account Number)を復号不可能なトークンに置き換えることで、PCI DSS準拠時に審査対象となる範囲を縮小するというもの。同社の提供する「RSA プロフェッショナルサービス」の1つとしてAPIで提供され、価格は「導入するシステムの規模や管理範囲により異なる」(同社プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏)とする。
PCI DSSの目的は、カード会員情報(主にPAN、カード会員名、サービスコード、有効期限の4つ)を保護すること。カード会員名、サービスコード、有効期限は、単体では保護対象外となるが、PANとともに保存されている場合には、その保存先であるデータベースなどすべてが保護(監査)対象となる。
よって、例えばカード利用者がオンライン上で決済をする際、ネットワークやサーバすべてにPAN情報を持たせる一般的な処理方法では審査範囲が広く、結果としてPCI DSS準拠に伴う初期作業や3カ月ごとの定期スキャンテスト、年次審査が長期化。費用も増大するという。
「PCI DSS準拠支援サービスを導入することで、(決済代行時など)実際にPANが必要となる場合以外はトークン化したデータを扱う。つまり、データベースや業務アプリケーションの一部は監査範囲外になり、これは数100台規模のサーバにクレジットカード情報が散在している状況の方にとって、非常に大きなメリットになる」(テルミ氏)
同サービスを実現するのは、米国の大手クレジットカード決済代行サービス企業First Data Corporation(ファースト・データ)でも採用実績があるという同社独自の「セキュリティ・トークン化(Tokenization)」技術。カードが持つPANの一部を乱数に置き換えることで、PANとの関係性が無い情報とする(トークン化する)。データ構造に変更はないため、トークン化によるアプリケーション/データベースのスキーマへの影響(変更)はほぼないという。また、PANの取り扱い時には同社の暗号鍵「RSA Key Manager」で管理するため、徹底したアクセス管理・保護を確保するとしている。
「PCI DSSから解釈できるのは、PAN情報は暗号化してもトークン化してもハッシュ化しても、それを“行う”システムはスコープ(審査対象)内に入るということ。よってトークン化サーバとPANを転送するネットワークはスコープ内にあり、元のPANに戻す方法を持たないシステム、およびPANそのものを持たない・転送しないシステムはスコープの外というように解釈できる」(テルミ氏)
同社では現在、PCI DSS準拠支援サービスの拡大を図るため、パートナー企業のインフォセックら数社のPCI DSSの認定審査機関(QSA:Qualified Security Assessor)と連携。PCI DSS準拠支援サービスを、カード発行会社が指定する2010年の期日までの対応完了を目指すべく、展開を進めているという。
Copyright © ITmedia, Inc. All Rights Reserved.