世界の決済サービスを陰から支える「HP Atalla」(上)

2015年7月1日8:12

■日本ヒューレット・パッカード株式会社
世界の決済サービスを陰から支える「HP Atalla」
米国のカード決済処理の70%を保護するHSM

HPの「HP Atalla」は、さまざまな攻撃から重要な取引を守るセキュリティ製品として、ペイメントカード業界でも35年以上にわたり、強固なセキュリティ構築に役立てられてきました。米国のカード決済処理の7割を保護する「HP Atalla」は、カード情報を保護する砦として、数多くの企業に採用されてきました。

HPは総合セキュリティ製品を提供
業界をリードする「TippingPoint」「Fortify」「ArcSight」

「HP Atalla」は、世界中で利用されているプロダクトとなります。HPは、ハードウェアビジネスに加え、セキュリティビジネスも展開しています。今回は、HP Atallaの歴史、そしてセキュリティの脅威についてご紹介させていただき、最後にHPとしてのAtallaの展開についてご説明します。

まず、「HP Enterprise Security Products」では、ユーザー教育プログラム、侵入防止のソリューション、悪用される前に攻撃者を発見できるソリューションを提供しています。重要な資産を識別し、仮に持ち出されてもダメージを少なくできるソリューション群を有しています。

具体的には、ネットワークの防御を行う次世代IPSの「TippingPoint(ティッピングポイント)」、ウェブアプリケーションやソフトウェアの脆弱性から保護する「Fortify(フォーティファイ)」、ビジネスプロセスの中に潜むセキュリティリスクのリアルタイム監視・管理を実現可能な「ArcSight」、そしてカード会員情報を保護する「HP Atalla」といった製品群を有しています。

「TippingPoint」「Fortify」「ArcSight」はそれぞれ業界をリードするソリューションです。「TippingPoint」は、直近の例でいうと「Windows Server2003」の脆弱性でご評価いただいており、「Fortify」はウェブアプリケーションを突いた攻撃において、事前にソフトウェアの脆弱性がないかをチェック可能です。また、「ArcSight」はどのようなインシデントが起きているかをリアルタイムに可視化できます。

こういった製品に加え、「HP DVLabs」という研究機関があり、実際に世界№1の脆弱性監査能力を持っています。Microsoftによる脆弱性の報告件数は№1であり、50%以上の新しい脆弱性は弊社で見つけて報告させていただいています。また、2015年3月31日時点で、226のゼロディ脆弱性情報を保持しています。こういった情報を各製品にフィードバックすることで、世界のセキュリティに役立つ活動を行っています。

HP エンタープライズ セキュリティ概要

HP エンタープライズ セキュリティ概要


「FIPS 14002 Security Levels レベル3+」に準拠
決済サービスを利用する企業で35年以上の実績

カード会員情報を保護する「HP Atalla」の歴史としては、最初は銀行のATMの通信の暗号化のために作られました。1973年にマーティン・アタラ(Martin M.Atalla)が銀行のPIN認証の暗号を作るために開発しています。アタラはPIN認証の父と呼ばれる人物で、現在も銀行のATM認証では「HP Atalla」が利用されています。海外はもちろん、国内でもATMの裏側は「HP Atalla」が数多く利用されています。

「HP Atalla」は、研究部隊も独自に構築しており、特許も数多く有しています。セキュリティ認証として、「FIPS 14002 Security Levels レベル3+」に準拠し、物理的にも高水準のセキュリティとなっており、35年以上の実績の中で、これまで一度も破られることなくご利用いただいています。かつ実績も豊富で、米国でカード処理の7割以上が「HP Atalla」を経由しています。

「HP Atalla」はHSM(ハードウェア・セキュリティ・モジュール)として提供しており、主な用途は銀行、決済に加え、NFCやポイントカード等でもご利用いただいています。さらに、ウェブアプリケーションの中で利用される機会も増えています。

「FIPS 14002 Security Levels レベル3+」に対応していますので、鍵は別の鍵で二重化され、不正防止のため、鍵は過剰に揺らしたりこじ開けようとしたら、すべての情報を消去する機能も備えています。

HP Atalla

HP Atalla

これまでHPでは、「HP Atalla」の単体の販売は行っておらず、弊社の24時間365日のノンストップの無停止サーバーをご利用いただく企業に対し、止まらないハードウェアとして提供しています。

決済サービスを狙う脅威として、2007年から2014年までの情報を見ると、数多くのサイバー攻撃が発生しています。昨今は、米国の大手流通企業、Target(ターゲット)の情報漏洩などが発生していますが、内訳をみると一件一件の規模が大きくなっています。以前は小規模サイトや物理的に紛失する事件が多く、多くても数百万件規模のものでしたが、億を超える規模の被害も出てきています。

各業種がどのような経路で情報を失ったかをみると、医療・健康の分野は物理メディアや機器の盗難・紛失が多く、教育もその対策が足りていない傾向があります。政府や金融の場合、いろいろな経路で漏洩していますが、マルウェア経由なども増えています。ビジネスや小売りに関しては、全体の件数は少ないですが、カード情報の漏洩に大きくかかわってきます。マルウェアやスキミング、ハッキングなどの対策は随時、行っていかなければいけません。

2014年の一年間の情報漏洩で散見されるのは個人情報関連ですが、より多く漏洩しているのは、決済のカード情報等、お金につながるものとなります。実際、さまざまな角度から対策を行う必要があります。各国による基準に加え、ペイメントカードの国際セキュリティ基準「PCI DSS」によるデータ保護は最たるものですが、実際は準拠しても情報漏洩が発生しています。

Targetの事件では、2013年9月に攻撃者が認証の情報などを奪い取って、早めのアプローチを行っています。2013年11月に外部から攻撃をスタートし、ウェブアプリケーションの脆弱性を突いて侵入する方法を見つけています。そこから内部のPOS端末にマルウェアを送り込んでインストールさせ、加えて外部に持ち出すソフトを注入し、データを奪い取っています。12月12日の時点で外部にデータを送り始めて、15日の時点で攻撃者側がアクセスできなくなっていますので、漏洩はストップしました。別の角度からみると、9月からアプローチをしていますが、11月30日時点で内部のセキュリティソフトが不審な情報を検知しており、その時点で対処していれば被害は抑えることができたかもしれません。改変されたマルウェアのため既存のセキュリティソフトでは検知できず、インストールされてしまいました。その2週間後には不審な行動をセキュリティソフトが検知していましたが、見逃してしまい、司法省がターゲットに通知するまで大量のデータが流出しました。結果的に、その3日後には対応をスタートしましたが、4,000万件以上のクレジットカード情報が漏洩しました。ペイメントカードは、1件1件の再発行となると1枚3~5ドルのコストが発生し、1億数千万ドルから2億ドルのコストが必要です。また、7,000万件以上の個人情報が漏洩していますので、不正に使われているかを調べるだけで追加のコストが発生します。しかも、11月から12月にかけてクリスマス商戦の真っ只中。米国の経済の多くはクリスマス時期に偏っていますが、消費者がカードを利用できないとダメージが大きいです。当然、株価は下落して対前年比の約5割の売り上げ減となり、CIOやCEOも辞職する流れで会社としても非常にダメージを受けています。そういった要素も試算すると10億ドル相当の被害がでているそうです。

⇒⇒後編へ続く

■お問い合わせ先
hpatalla日本ヒューレット・パッカード株式会社
エンタープライズ・セキュリティ・プロダクツ統括本部
問い合わせ:0120-961-673
Email: HPEnterpriseSecurity-jpinfo@hp.com

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」の日本ヒューレット・パッカード株式会社 HPエンタープライズ・セキュリティ・プロダクツ統括本部 水野令一氏の講演をベースに加筆を加え、紹介しています。

page toppagetop