迫るPCI DSS準拠期限 クレジットカードを扱う際に必須の仕組みを整備するには

日本経済の活性化に向けた一大イベントが行われる2020年。これを機にインバウンド消費のさらなる拡大につなげるべく、経済産業省のクレジット取引セキュリティ対策協議会は、カード決済の関係事業者にクレジットカード業界のセキュリティ基準「PCI DSS」への準拠を求める実行計画を取りまとめた。準拠までの期日が差し迫る中での具体的な方策とは。

» 2017年04月28日 10時00分 公開
[PR/ITmedia]
PR

カード決済リスクがインバウンド消費拡大の足かせに

 2020年に向けて、日本経済を活性化させるためのさまざまな施策が実行に移されつつある。中でも来日客増と、日本の観光資源が世界に周知されることを通じた、インバウンド消費の拡大には高い期待が集まっている。

 だが、その実現を危惧する声も小さくない。背景には、国内でのクレジットカード情報の漏えい事件が後を絶たないことが挙げられる。訪日外国人の多くが日本でのクレジットカード利用に不安を感じているという調査もある。こうしたことが嫌気されることで、当初見込まれたほどの消費は期待薄というわけだ。

キヤノンITソリューションズ 基盤・セキュリティソリューション事業本部 基盤・セキュリティソリューション企画センター 技術開発部の太田高明氏 キヤノンITソリューションズ 基盤・セキュリティソリューション事業本部 基盤・セキュリティソリューション企画センター 技術開発部の太田高明氏

 この問題に対応すべく、経済産業省のクレジット取引セキュリティ対策協議会は、すでに決済のセキュリティ強化に向けた実行計画を取りまとめている。そこで示された具体策の1つが、関係事業者による、クレジットカード業界のセキュリティ基準「PCI DSS」への準拠だ。

 実はその対策に残された猶予は決して長くはない。設定された期日は、EC事業者が2018年3月末まで、それ以外も2020年3月末までとなっている。しかも、実行計画で見過ごせないのが、カード会社に対して、準拠未完了の企業との取引の見直しの検討を勧めていることだ。キヤノンITソリューションズ(キヤノンITS) 基盤・セキュリティソリューション事業本部 基盤・セキュリティソリューション企画センター 技術開発部の太田高明氏は、「つまり、未対応の事業者は国の指針による取引の停止に見舞われることで、インバウンド消費増のメリットを享受できない可能性も決して少なくないのです」と力を込める。

トークナイゼーションを使いやすくする「工夫」

 実行計画が示されたことを機に、PCI DSSへの準拠の動きが関係事業者の間で急速に盛り上がっている。その支援のため、キヤノンITソリューションズ(キヤノンITS)が提案活動に注力しているものの1つが、クレジットカード情報の漏えい対策に有用な製品「Vormetric Tokenization with Dynamic Data Masking(VTS)」だ。

 PCI DSSの要求基準は極めて広範にわたる。VTSはこのうち、「クレジットカード会員データの保護」を目的とした製品だ。そのために“鍵”を握るのが、クレジットカード番号などのデータを無価値化する「トークン化技術」である。似て非なる技術に暗号化があるが、一番の違いは「暗号化では一般にデータ長が変わる」のに対して、「トークン化ではデータ長が変わらない」こと。つまり、トークン化は既存のデータベースなどとの親和性が高く、導入時にアプリやデータベースの改修の手間とコストが少なくて済み、短い期間での導入が期待できるのだ。

VTSを用いたトークナイゼーションの仕組み VTSを用いたトークナイゼーションの仕組み

 その上でVTSでは、他社のトークナイゼーション製品と一線を画す工夫が凝らされている。一般的な仕組みでは、データのトークン化に用いた鍵を「HSM」、トークン化されたデータなどを「トークンボルト」と呼ばれるコンポーネントで個別管理する。トークン化や、個人と鍵を紐づけたアクセス制御、各種ポリシー設定に基づくデトークン作業は、トークナイゼーションサーバが実施する。

 一方VTSでは、既存アプリへのトークナイゼーションの機能を容易に追加できるAPI連携により、既存のデータベースにそのままトークンデータが格納可能。データボルトを用意する必要がないのだ。一連の仕組みで原本データはどこにも格納されないため、流出した場合の悪用を極めて高いレベルで防止できるのもポイントである。また、例えばコールセンターで、本人確認のためクレジットカード番号の下4桁の番号を確認する場合などには、先頭の12桁の番号はマスクして表示する機能が使えるなど、高い安全性とデータの利便性を確保する。

VTSの特徴 VTSの特徴。トークンボルトが不要で導入しやすい
VTSの特徴 データ長やデータタイプが変わらないので、既存のデータベースは変更不要

 「データボルト整備には少なからぬ初期投資と運用の手間が求められ、そのことがトークナイゼーションの利用の“壁”となっていました。しかし、VTSであれば既存DBへの組み込みを通じ、課題が抜本的に解消されているのです」(太田氏)

マイナンバー管理など活用法もさまざま

 データボルトとトークナイザーでの膨大なやりとりは、処理のボトルネックの一因にもなっていた。だが、VTSではデータボルトを排した構成で、100万トークン/秒という極めて高い性能を実現している。また、VTSのクラスター化による処理能力の向上と可用性にも対応。さらに、VTSで事前に用意されているマスキング処理などのテンプレートにより、改修の手間もそれだけ抑えられるようになっているのだ。

 太田氏によると、VTSの導入に要する期間は構成のシンプルさから1カ月ほど。導入コストは企業の規模にもよるが1000万〜2000万円ほどに収まるという。VTSは米Thales e-Securityの製品だが、キヤノンITSが製品の日本語保守・技術サポートの一次対応窓口の役割を担う。

 「トークン化は暗号化と同じく枯れた技術です。にも関わらず普及が遅れていた一番の原因は、システム改修の手間とコストにあります。VTSはこの問題を打破する“現実解”。しかも、クレジットカード番号以外に、マイナンバーなど多様なデータ保護にも応用を見込め、コンプライアンスの抜本的な強化にもつなげられるのです」(太田氏)

 VTSはPCI DSSの準拠が求められる関連事業者のみならず、データセキュリティの向上に取り組むあらゆる企業にとっても、新たな「福音」となりそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:キヤノンITソリューションズ株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2017年5月27日