セーフネット、クレジットカード情報を秘匿化する「トークン化セキュアパック」
PCIDSS監査対象範囲を縮小しコストを削減
トークン化の流れ |
日本セーフネット株式会社は4日、「トークン化セキュアパック」を発売した。クレジットカード番号などの機密情報をトークン化する「Token Manager」と、データベース(DB)暗号化と鍵管理を行うアプライアンス「DataSecureシリーズ」をセットにした製品。最小構成価格は500万円から。
同パックを導入することで、クレジットカード番号を無作為なトークンに置き換えられる。具体的には、アプリケーションで受け取ったセンシティブデータを「Token Manager」がトークン化。従来のDBにはトークンのみが保管され、暗号化されたセンシティブデータが「DataSecure」内に保管される。フロントのアプリケーションや注文処理、顧客管理システムなどの処理にはトークンのみを扱い、実データが必要な決済システムなどでのみ、暗号化されたセンシティブデータへのアクセスと復号が行われる。
カード加盟店などは、決済プロセスにおいて大部分のカード情報をトークン化することで、セキュリティを向上。同時に、実データのアクセス・復号を最小限に抑えることでパフォーマンスを向上するほか、PCIDSS監査対象範囲を縮小し、監査コストも削減する。
従来のDB暗号化。アプリケーションサーバーとDBとの間で平文化されるほか、鍵管理やDB管理者の不必要なデータアクセスなどが課題となる | トークン化した場合。DBにはトークンのみ保管される。実データが不要なシステムではトークンのみやり取りすればいいので、パフォーマンス向上が期待できる。また、DBをPCIDSSの監査対象範囲から外せるのが大きなコストメリットとなる |
トークン化については、7月にVISAがベストプラクティスとして「Best Practice for Tokenization Version 1.0」を発表した。また、PCIDSSでも「トークン化による監査負荷軽減」が検討されているが、「トークン化セキュアパックは、そのすべての内容を網羅している」(エンタープライズセキュリティ事業部 シニアセキュリティエンジニアの高岡隆佳氏)という。
トークン化のバリエーションは、ランダムなケタのトークン化、連番、最初の2ケタまたは6ケタを維持してのトークン化、最初の2ケタと最後の4ケタのトークン化など多彩。クレジットカード番号のほか、会員ID・社会保障番号・運転免許証番号など多くのデータタイプに対応する。
最小構成価格は500万円から。ミドルレンジのアプライアンス「DataSecure i150」と「Token Managerライセンス」が1つずつ含まれる。規模に応じて、必要なアプライアンス・ライセンス数は増える。
代表取締役の酒匂潔氏 |
代表取締役の酒匂潔氏は「VISAやPCIDSSでのトークン化の流れのほか、従来のDB暗号化には、鍵管理や鍵アクセスのログ管理など非常に厳密なアクセス制御が求められるなどの課題があり、それらがTokenizationを後押ししている」として同製品を訴求。今後1年間に20社への導入をめざすとした。