RSA、カード番号を安全なトークンに変えるPCIDSS準拠支援サービス

プロフェッショナルサービス本部長のラスカウスキー・テルミ氏

　RSAセキュリティ株式会社（以下、RSA）は1月19日、企業の戦略的なアドバイザーとして中立な立場で情報リスク管理を支援する「RSAプロフェッショナルサービス」の2つ目のサービスメニューとして、「PCIDSS準拠支援サービス」の提供を開始した。

　発表会に登壇したプロフェッショナルサービス本部長のラスカウスキー・テルミ氏は、「PCIDSSを取り巻く状況が進む一方、同基準が策定された2004年以前から稼働しているシステムでは、設計段階でPCIDSS要求事項が検討されていないケースがある」とし、そのようなシステムでは対応が大掛かりになってしまう点を指摘。その顕著な例として、カード会員情報が物理的、地理的に異なる複数のサーバーに置かれてしまっている例を挙げる。

　PCIDSS準拠サービスでは、このような事業者に「機密情報を持たない」「持つなら徹底的に守る」「審査範囲を縮小する」ことを提案する。最大の特徴は、クレジットカード番号（PAN）を乱数化して「セキュリティ・トークン化」する点。

　消費者がオンラインでPANを入力した段階で、ランダムに生成した数字に置き換え、16けたの意味を持たない英数字に変換する。実際のPANは「RSA Key Manager（RKM）」により暗号化し、アクセス管理を徹底。決済に実際のPANが必要になったときだけ、RKMから取り出して処理を行う。PANを必要としないシステムやネットワーク上ではセキュリティ・トークンのみを伝送することで、実際のPANの流れる範囲を縮小するのだ。

　PCIDSSでは、PANを保護することを目的とする。PAN以外にもカード会員名、サービスコード、有効期限を保護の対象としているが、これらはPANとひも付いて保管されている場合に限るため、「PAN自体を乱数化して意味をなさなくすることで、QSAによる審査範囲を大幅に狭められる」（ラスカウスキー氏）という。

PANをトークン化して、機密情報を持たない。暗号化やハッシュと違ってデータ構造を変えないため、アプリケーションの変更など影響がほとんど存在しないのがメリット	PANは強固に暗号化し、持つなら徹底的に守る	トークン化してPANの処理を最低限に抑える。PCIDSSではPANを扱っていなければ保護要求されないので、PANを保持・使用するトークン化サーバーや決済システム周りのみに審査範囲を縮小できる

　PCIDSS準拠支援サービスでは、トークン化とRKMを「サービス」として提供する。実際の流れとしては、審査対象範囲の縮小分析、縮小計画策定、縮小作業実施となる。開発プロジェクト終了後に、スキャンなどを行い、成果を実証。必要に応じて、QSAの審査対応も実施する。PCIDSS認定後は、定期的なスキャンや改善が必要となるが、「あらかじめ審査範囲を縮小しておくことで、こうした認定後の運用も簡略化できるのだ」（同氏）という。

　PCIDSS準拠支援サービスの仕組みは、カード加盟店が自社内に導入することも、決済代行事業者が導入することも可能だ。米国では決済代行事業者のFirst Dataがこの仕組みを採り入れ、顧客となるカード加盟店のカード情報をセキュリティ・トークン化して保管している事例がある。加盟店は分析などの処理をトークンで行い、実際のPANを扱う回数を減少できる。このため、PCIDSS対応範囲も狭まり、必要最小限の対応で済むのだという。

　また、PANをセキュリティ・トークン化しても「16けた」というデータ構造は変わらないため、既存のアプリケーションやデータベーススキーマの変更が不要か、または少ない変更で済むため、「サービス導入にあたって、既存環境へのほぼ影響は出ない」（同氏）としている。

　RSAでは同サービスを、RSAプロフェッショナルサービスの4つのサービス基盤「CSOアドバイザリー」「セキュリティコンサルティング」「セキュリティ・アーキテクチャデザインと構築」「セキュリティオペレーション」のそれぞれと横断的にかかわりながら提供する方針。