ECサイトのセキュリティ強化にもつながるトークナイゼーションに注目

2015年2月23日9:45

ECサイトのセキュリティ強化にもつながるトークナイゼーションに注目
カード番号を乱数に置き換えて保存・利用するメリットとは?

AppleがスタートしたApple Payでは、カード番号を別の乱数に置き換える「トークナイゼーション」技術が利用されている。トークナイゼーションは、機密データを別の文字列に置き換えて保存・利用することにより、PAN(Primary Account Number:カード会員番号)の散財を防ぎ、セキュリティを向上させることが可能な技術となっている。トークナイゼーションは、カード発行会社(イシュア)に加え、加盟店のセキュリティ強化につながる技術でもある。

トークナイゼーションはPCI DSSの新技術としても注目を浴びた

Apple Payがトークナイゼーションを採用したことから、国内企業でもトークナイゼーションに対する関心が高まっているが、実際にはApple Pay以前からあった技術で、決して新しい技術ではない。

EMCジャパンのトークナイゼーション「RSA Data Protection Manager」のイメージ(出典:EMCジャパン)

EMCジャパンのトークナイゼーション「RSA Data Protection Manager」のイメージ(出典:EMCジャパン)

例えば、ペイメントカードの情報セキュリティ基準である「PCI DSS」の運営組織であるPCI SSCでは、米国時間の2011年8月12日にトークン化技術のガイドラインとなる「PCI DSS Tokenization Guidelines」を発表。カード情報を乱数化することで、スコープから外すことで、PCI DSSの審査対象範囲を縮小できる “PCI DSSの新技術(Emerging Technology)”として当時注目が集まった。例えば、PCI DSSの準拠が進んでいる米国では、QSA(認定審査機関)に支払う審査費用が1,000万円以上になることも珍しくないという。例えば、当時、EMCジャパンのトークナイゼーションを採用した大手ペイメントプロセッサーのファースト・データは、PCI DSSの対象範囲を最高80%、準拠必要日数を最大50%削減したそうだ。

国内でもEMCジャパン(RSA事業部)や日本セーフネットといった企業がトークナイゼーションに対応したソリューションの拡販を進めた。しかし、トークナイゼーションが話題となった2010年下期から2011年上期の当時はPCI DSSへの加盟店の関心が決して高くはなかったこと、また、既存システムの改修が求められる影響などもあり、国内での導入は進まなかった。

国内ではゴルフダイジェスト・オンラインがいち早く採用

そんな中、日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)では、国内で初めてクレジットカード情報を別の数値(乱数)に置き換えて情報処理を進める「Tokenization(トークナイゼーション)」を国内でいち早く導入した(参考記事)。

GDOでは過去に「SQLインジェクション」による不正アクセスの被害にあっている。クレジットカード情報などは漏えいしなかったが、それを機にセキュリティに対する意識を徹底。数多くのセキュリティ対策を講じてきた。GDOでは2011年7月から新システムが稼働しているが、クレジットカード情報の保護などを目的としてEMCジャパン RSA事業本部のトークナイゼーション製品である「RSA Data Protection Manager」を導入した。国内企業として、初のトークナイゼーション導入となる。

GDOでは、一部のサービスで当初はクレジットカード情報を決済代行事業者に預けることも検討したが、カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、データ自体の保管はしてもらえるがセキュリティを担保してくれない点もあり、外部企業に預けてもセキュリティ強化の抜本的な解決にはならないと考え、トークナイゼーションの導入を決意したそうだ。

3月12日開催の「ペイメントカード・セキュリティフォーラム2015」では、ゴルフダイジェスト・オンラインが「トークナイゼーション導入のメリットについて」講演。導入の背景と現状についての紹介が行われる予定だ。

また、「Apple Pay」の支払いには、ペイメントカードの国際ブランドであるMaterCardが提供するマスターカード・デジタル・イネーブルメント・サービス(MDES:MasterCard Digital Enablement Service)が利用されている。Apple Payでは、クレジットカードやデビットカードの情報をトークン化し、別の番号に置き換えて利用されるが、MasterCardでは、このトークンを生成し、スマートフォンやサーバへ書き込む機能を提供している。MasterCardによると、2015年以降は、トークンを活用した安心・安全な決済サービスの推進がさらに進むということだ。MasterCardの講演では、カード番号をトークン化するフローやトークン化のメリット、MasterPassをはじめとするデジタルワレットへの適用、セキュリティ対策の最新動向について、紹介される予定だ。

page toppagetop