2017年6月2日8:20
■日本ヒューレット・パッカード株式会社
電子商取引におけるエンドトゥエンドの暗号化(P2PE)
SecureData Webによるページ統合型暗号化で加盟店のリスクを軽減
次に電子商取引、モバイル決済の課題の1つとしてあるのが、加盟店がクレジットカード情報をブラウザや買い物カゴの情報から取ってくる中で、負荷分散機、ウェブアプリケーション、ファイアウォール、さらにはウェブの階層、アプリケーションの階層、そしてバックエンドのシステムへと決済情報が流れ、使われていることです。これらのシステムすべてがPCI DSSの審査範囲に入ります。これはSSL/TLSを使っても、その通信トンネルは審査範囲から外せません。
電子商取引においてPCI DSSの審査範囲を大幅に削減したいということで、最初に使われた方法はリダイレクションとなり、他社が提供する決済ページへ飛ばすという方法です。しかし、加盟店にとって大きな問題になるのが、この方法では最も重要なトランザクションをサードパーティーのベンダーに任せることです。これにより、ウェブサイト上でお客様へ最高のユーザーエクスペリエンスを提供しても、決済部分でお客様に不信感を与え、ユーザーエクスペリエンスは最悪になってしまう可能性あります。この制約を克服し、しかもPCI DSSの審査範囲を削減していくために開発されたテクノロジがSecureData Web「Page Integrated Encryption」(ページ統合型暗号化テクノロジ)です。このテクノロジでは、消費者の携帯電話のアプリケーションやブラウザから、エンドトゥエンドで最終的にデータが届くシステムまでの間決済データを暗号化できます。また、コンプライアンス遵守に必要なコストの削減に加え、消費者データが漏えいするリスクを下がることにもつながります。
「HPE SecureData」は、IoT、モノのインターネットのアプリケーション、またはAWS、AZUREのようなクラウドで使うお客様など、あらゆるデータをデータ中心型のアプローチで守ることができます。
データ無害化によるサイバー攻撃対策事例
ハートランド・ペイメント・システムズは情報漏えい対策により他社との差別化を実現
ここで実際の利用例として、まず2009年に大きな情報漏えいが発生した大手の決済プロセッサーのハートランド・ペイメント・システムズでは、25万から26万の加盟店をサポートしています。ハートランド・ペイメント・システムズは、PCI DSSに準拠するためにディスク暗号化テクノロジやデータベース暗号化テクノロジを使っていましたが、それでも攻撃者はこの企業システムへの攻撃を行い、決済処理システムまで侵入し、1億3,000万枚のカード情報が盗まれました。その社会的なインパクトやビジネスへのインパクトは大変大きく、ビジネス全体を失ってしまいました。そこでビジネスを回復するための戦略と迅速な回復が求められたのです。HPEでは、密接な協力関係をもち、パートナーとしてSecureData Paymentsのソリューションを開発しました。ポイントトゥポイントの暗号化ソリューションを彼らのデバイスに対して提供したのです。台湾のハードウェアの会社と一緒に大手加盟店が使用しているハードウェアからバックエンドのシステムまでをエンドトゥエンドで保護することが可能である安全なソリューションを開発しました。
これは決済用途のみならず、バックエンドでのプロセッシングシステムや他のデータ保護においても利用されています。そのエコシステムの中では1日あたり110億~150億件を越えるトランザクションを処理し、この規模に対応することができたため大変成功したプロジェクトとなりました。そして、ハートランド・ペイメント・システムズは世界のプロセッサーの中でも大手として復帰し、グローバルペイメントプロセッサーと呼ばれるようになりました。この事例の大変興味深い点では、決済プロセッサー間で価格競合が起きている中、ハートランド・ペイメント・システムズ社は新しいセキュリティを実装することで、加盟店にとっての情報漏えいのリスクを下げ、お客様に対して新しい補償を提供するという競合他社とは異なるアプローチを取ることができた点です。これは、ハートランド・ペイメント・システムズを使っているにもかかわらず、攻撃を受けて漏えいが発生した場合にその漏えいから実際に発生したインパクトを補償するもので、他社との大きな差別化要因となりました。
次の事例では、この組織は以前、Visaが所有していたVisa Netと呼ばれるヨーロッパのプロセッサーです。このシステムの中にはプロセシング・プラットホームとして、DECのVAXシステムが入っていましたが、古いシステムなので、それを改修してPCI DSSの審査範囲を狭めていくのは難しいことでした。しかしながら、HPE FPEの技術により、このレガシーな複雑である環境の中でセキュリティを実現することができました。
もう1つの事例は世界で最も大きな小売店とも言われているところです。この電子商取引の環境はかなり大規模でした。1つのデータセンターで通常の電子商取引の通信トラフィックを制御するために、600台のサーバーがデータセンターに置かれています。そこでは毎年、およそ1億の決済トランザクションがあり、通常のブラウジングなどではさらにトラフィックが増えてしまい、当然PCI DSSの準拠範囲は大きくなってしまいます。この会社では旧式のボルトタイプで提供されるトークナイゼーションのソリューションを利用していましたが、あまりにも複雑で管理が高価なため、それを置き換えるだけでなく、データセキュリティを実装することでコンプライアンスの費用を節約したいと考えました。このため、この企業では「HPE Secure Data Web」と「HPE Secure Stateless Tokenization」を実装しました。これらより、600台のWEBサーバーのほとんどを、PCI DSSの審査範囲から外し、年間あたり1億円以上を節約しました。
大手ホームセンターはEMV対応でHPEのシステムを採用
8万5千台のPOS端末への導入を9日間で実現
最後に米国の非常に大きな小売チェーンのホームセンター事業の事例です。この会社はアメリカに2,000店舗、メキシコに1,000店舗、そしてカナダに1,000店舗を展開しています。この会社ではエンドトゥエンドあるいはポイントトゥポイントの暗号化を店舗で実装を希望し、またEMVにアップグレードを行いたいと考えており、現在、アメリカではEMVへの移行を行っている最中です。この大きなプロジェクトでは、1つの店舗でパイロットプログラムを実施しました。HPEのテクノロジをテストするということです。その最中に、その小売チェーンのPOSシステムに攻撃が仕掛けられ、マルウェアが他のアメリカの2,000以上の店舗に広まり、多くのクレジットカード情報が盗まれる事件があったのですが、その中で、HPEがパイロットプログラムを行っていた店舗では、攻撃があったにもかかわらず、全くデータ漏えいは発生せず、インパクトはありませんでした。その結果、この企業は2,000以上の店舗、そして8万5,000のPOS端末にHPEのシステムを導入することを決定しました。しかもこれを9日間でやり遂げたのです。通常はHPEのテクノロジをそれだけ速く導入することは推奨していませんが、大規模な情報漏えいがあり、何百万というカード情報が流出する大きな事件があったので、これを防止するためにすぐに高度なテクノロジを使って非常に難しい漏えい問題に対処したいと考えたわけです。それ以来、このアーキテクチャーを拡大し、個人情報をテラデータレベルで構成されるデータウェアハウスのプラットホームで処理するようになりました。また、電子商取引でもこのテクノロジを使用するようになりました。このアーキテクチャーの価値を他のデータを保護するために再利用したことで、非常に成功した事例と言えます。
アメリカの中でも特に先進企業では攻撃による情報漏えいのリスクを下げたいと考えています。攻撃を無害化し、たとえシステムが侵害されたとしてもリスクを緩和することができれば、たとえばPCI DSSのようなフレームワークを使って、コンプライアンスの費用を大幅に節約することができるのです。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のHewlett Packard Enterprise – DataSecurity部門 グローバルディレクター兼プロダクトマネジメント マーク・バウアー氏の講演をベースに加筆を加え、紹介しています。
■お問い合わせ先
日本ヒューレット・パッカード株式会社
エンタープライズ・セキュリティ・プロダクツ統括本部
問い合わせ:0120-961-673
https://saas.hpe.com/ja-jp/software/enterprise-security
https://saas.hpe.com/en-us/software/data-security-encryption
Email: HPEnterpriseSecurity-jpinfo@hp.com
