pci dssサービス紹介サイト - ペイメントワールド

[ 2018年05月24日 - paymentnavi ]大手クレジットカード2社の事例から学ぶ PCI DSS対策 暗号化 /トークナイゼーション導入のポイントとは!(下)

2018年5月24日8:00

■ジェムアルト株式会社

大手カード会社ではPANの暗号化をクラウド領域含め実現
交通系カード会社ではPANと別番号による中継システム構築

TISからは、ジェムアルトのソリューションによる国内導入事例を紹介します。TISはもともと、三和銀行系の東洋情報システムとして発足しました。売上比率では金融業35%、流通・サービス31%、製造業20%と、幅広いお客様のIT化促進をお手伝いしています。

TIS株式会社 プラットフォームサービス本部 プラットフォームサービス事業部 プラットフォームサービス営業部 副部長 中村 敬氏

セキュリティソリューション事業については、正式には1999年から始まり、18年ほどの歴史があります。PDCAのマネジメントサイクルにおける組織的、人的、物理的、技術的という4要素の中で、さまざまなセキュリティについての要望がありますので、コンサルティングや暗号化技術、PCI DSS対応、マネージドサービス、脆弱性診断などを提供しています。

それでは実際の導入事例を2件ご紹介させていただきます。1件目は国内最大級のクレジットカード会社の事例です。PCI DSS対応が主目的ですが、こちらのお客様では、、複数システムに対してデータを暗号化しなければならない、安全な暗号鍵の管理、クラウドサービスへの適用、SIEM等の相関分析の対応が必要という4つのテーマがありました。そこでTISからは、ジェムアルトのProtectFileでファイルの暗号化を実現し、かつKeySecureを使って暗号鍵の安全な管理を行うことを提案しました。

システムの簡単なイメージとして、数十台ずつあるLinuxやWindows系のサーバ内のデータとファイルサーバのログやバッチデータについて、ProtectFile とKeySecureを活用して暗号化と暗号鍵管理を実現しました。また、AWS(アマゾン ウェブ サービス)に会員のウェブサーバのデータも保持していたので、こちらもProtectFileで暗号化し、オンプレミスと同様にKeySecure による暗号鍵管理を実現しています。このお客様はかなり大規模で、高いパフォーマンスを求められましたし、SIEMとの連携もありましたので、POC(Proof Of Concept=概念実証)も含めた技術検証、チューニングにかなり時間を割いて、クリアしました。昨今ではクラウド環境でのセキュリティの危惧が問題になっていますが、TISとして、これにいち早く対応した事例になりました。

導入実績:システムの全体イメージ

次はクレジットカードとポイントシステムを保有している関西の交通事業者系のクレジットカード会社の事例です。実績としてはトークナイゼーション/PCI DSSを中心としたコンプライアンス準拠ですが、こちらは2017年3月に発表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の改訂版(2017年版)に基づく対応になります。

TISの理解としては、まず、非対面であるECサイトの部分と対面加盟店の利用者のクレジットカード番号の非保持化が重要であろうと考えました。2点目としては、今回のお客様がポイントシステムを運用している中で、非保持化対応により、ポイントの顧客管理にクレジットカード番号を利用できなくなるので、それを別番号の採番で変換する中継システムが必要ということでご提供させていただきました。

非対面のECサイト事業者のクレジットカード番号非保持化については、決済ASP、提携カード、ポイントシステムにおけるお客様管理にクレジットカード番号が利用されていましたが、それを代替するものとして、別番号の採番を行い、さらにサブシステムで別番号を連携する中継システムを構築しました。この中継システムにはジェムアルト社のKeySecure とTokenizationマネージャーを組み込み、一部TISでカスタマイズしています。この中継システムの中にはクレジットカード情報とポイントIDを相互に変換させる機能を設けています。まず、カード情報の一部をトークン化し、一部のIDも変換して組み合わせたポイントIDを新しく作ってお客様に提供するかたちです。ポイントIDとカード番号は密接な関係になっていますので、ポイントIDをカード番号にデトークンする際にKeySecure とTokenizationマネージャーを活用する事例になっています。

導入実績:システムの全体イメージ

今後は、加盟店実店舗(対面事業者)への非保持化対応も見据えた運用に向け、機能単位の分離によるシステムの柔軟な拡張性がお客様のビジネス課題の解決に沿った事例であるとも言えます。

ポイントとクレジットカードの連携は当たり前になっていますが、非保持化にあたってはトークナイゼーションを使う方法もありますし、代行決済事業者に任せるという選択肢もあります。その中で特にそれをビジネスとして活用されているお客様において、TISとしてはこのような方式が最も望ましいと考えています。

▶▶前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のジェムアルト、TISの講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
gemaltoジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
https://safenet.gemalto.jp/

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド