RSA、クレジットカード情報を「トークン化」「暗号化」「鍵管理」する新製品

PCIDSS監査範囲を80%縮小した事例も


トークナイゼーションの概要

 RSAセキュリティ株式会社は17日、クレジットカード会員データの保護、およびPCIDSSの監査対象範囲を縮小する「RSA Data Protection Manager」を発表した。12月1日より販売する。

 RSA Data Protection Managerは、クレジットカード番号などを意味のない文字列に変換する「トークナイゼーション」と「暗号化」「鍵管理」の機能を1台で提供する製品。

 クレジットカード会員データが物理的・地理的に散在し、PCIDSS監査対象が広範と判断された場合、「トークナイゼーション」が有効とされる。

 カード番号を乱数化し意味のない文字列に置き換え、実データと1対1でマッピング。実データはデータベース化し、暗号化して保管する。実データが必要な決済アプリケーションにはカード番号を使用し、返金処理やポイントプログラム対応などではトークン化データを使用し、使い分けを実現。PCIDSSでは、カード情報をやり取りしない個所は監査不要と定められているため、対象範囲を縮小できるというわけだ。

対象範囲縮小例。カード番号を暗号化するだけでは縮小できないトークナイゼーションを行うと実データを必要としないアプリケーションなどは監査対象から外せる
マーケティング統括本部長の宮園充氏
1台で暗号化とトークナイゼーションの両方をカバー

 一般的に、PCIDSSに準拠するためには多数のセキュリティ要件を満たす必要があるため、対象範囲をわずかでも縮小できれば、高いコスト削減効果が見込まれる。「米国でPCIDSS準拠費用が総額10億円を超えたとも伝えられる中で、米国決済代行会社のFirst Dataの導入事例では、PCIDSSの対象範囲を最大80%、準拠必要日数を最大50%削減した」(マーケティング統括本部長の宮園充氏)という。

 RSA Data Protection Managerでは、アプリケーションに入ってきた機密データ(PAN)を暗号化・トークン化するほか、トークンと暗号鍵に対するクライアント単位の権限コントロールを可能とし、ライフサイクル管理を実現する。

 「トークナイゼーション」の技術を同社が発表したのは2010年1月。暗号化と鍵管理の技術も取り込んで、今回、製品化に至った。技術発表と同時に「PCIDSS準拠支援サービス」も発表しているが、新たに監査対象の掌握や改善計画の策定、実装プランニングのための「PCIDSS監査範囲縮小コンサルティングサービス」も正式メニュー化し、提供する方針。

 サーバーライセンスの価格が126万円/台。そのほか、実データを扱うアプリケーション(フロントエンドや決済アプリケーションなど)数に応じてクライアントライセンスが必要となる。価格は1260万円/アプリケーション。

 今後2年間で5億円の売り上げを目指す。

関連情報