PCI DSS対策にも有効な「トークナイゼーション」について解説(日本セーフネット)

2011年8月30日10:01

「透過的なDB暗号化」と「パフォーマンスの高いトークナイゼーション」を可能に
海外ではPCI DSS対策として採用が進む「DataSecure」

日本セーフネットは、2011年8月29日、データベース(DB)セキュリティ対策についての記者説明会を開催し、同社の暗号化アプライアンス「DataSecure」の利用効果とユーザー事例を紹介するとともに、ペイメントカードの国際基準である「PCI DSS」対策としても注目を集める最新のデータ保護テクノロジーである「トークナイゼーション」について解説した。

全世界で400社の実績

約半数がトークナイゼーションの引き合い

昨今、EC通販サイトやオンラインゲームなどを狙った大規模な不正アクセスによる情報漏えい事件が継続して起こっており、DBセキュリティを見直す企業が増えている。日本セーフネットのDataSecureは全世界で400社の実績を持つが、昨年比で問い合わせ件数が70%増えており、その半分がトークナイゼーションの引き合いであるという。

日本セーフネット エンタープライズセキュリティ事業部 シニアセキュリティエンジニア 高岡隆佳氏

同社ではDBセキュリティの三種の神器として、「SQLインジェクション対策」「DBアクセス権限」「DB暗号化」を挙げるが、管理者からの漏えいを防ぐ手立てや、暗号鍵を安全に管理する仕組みについては、課題が残るという。

ベストなDBセキュリティを考える上で、PCI DSSの基準は模範的なガイドラインではあるが、アプリケーションの改修、DB暗号化のライセンス、工数など、実装コストがかかるため、順序立てた対策が必要となっている。

PCI DSSにおけるDB暗号化のハードルとして、要件3、要件7、要件9、要件10が挙げられるが、「その部分の対応をシングルソリューションで導入できるのがDataSecureの特徴です」と日本セーフネット エンタープライズセキュリティ事業部 シニアセキュリティエンジニア 高岡隆佳氏は説明する。業界初のハードウェアセキュリティモジュール(HSM)ベースのDataSecureでは、「透過的なDB暗号化」と「パフォーマンスの高いトークナイゼーション」を可能にしている。

トークナイゼーションでPCI DSSの審査対象を縮小

海外では数億円のコスト削減を削減した事例も

暗号化+HSM

データベースの暗号化では、アプリケーションの透過的な暗号データアクセスを実現。データをマスキングすることで、内部のデータ管理者からの情報漏えいを防止する。また、HSMによる鍵管理に加え、幅広いDBにも対応可能だ。さらに、設定変更に複数の管理者認証が必要となる管理者の職務分掌機能も備えており、情報漏えいのリスクを軽減している。

同ソリューションは海外でPCI DSS対策としても多数の実績がある。ある企業では自社顧客のクレジットカード情報を含む機密情報の暗号化として採用され、Oracle11gとSQL2008サーバの混在環境を統合管理することに成功している。一方、あるリアル加盟店では、POS端末に「ProtectApp(暗号化エージェントソフト)」をインストールし、POSセンター側にアプライアンスを設置。この構成により、POS端末・インターネット通信・POSサーバ・DBサーバ間を通過するクレジットカード情報は、End-to-Endで暗号化され、その状態でDBに格納されているそうだ。

トークン化+HSM

一方、トークナイゼーションは暗号化以上にセキュアなデータ方式であり、クレジットカードなどのデータを無作為なトークンに置き換えることが可能だ。大部分のカードデータアクセスがトークン化されることで、そのデータを機密情報ではなくすことができる。

トークナイゼーションの処理では、ユーザーの機密情報を「Data Vault」に保管する。機密データはDataSecureで暗号化し、暗号化データに対し、トークンを発行。その対となるデータをData Vaultに保管する。また、トークンで置き換えた値をDBに格納する。

「クレジットカードなどの機密データをトークンに置き換えることにより、業務系アプリケーションとユーザー系アプリケーションはPCI DSSの審査の対象から外すことができます。PCI DSSのQSA(認定セキュリティ評価機関)による訪問審査の7~8割のコストを削減することが可能であり、海外のNSR社では数億というレベルで審査コストを削減できました」(高岡氏)

最小構成費用は1,200万円程度

Tokenizetion Manager3.0もリリース

DataSecure は、Visaが2010年7月に発表した「Visa Best Practices for Tokenization」の項目も満たしているという。

DB暗号化のPCI DSS審査対象範囲(左)とトークナイゼーションのPCI DSS審査対象範囲(右)

DB暗号化およびトークナイゼーション実装の最小構成費用は、1,200万円程度。国内ではPCI DSS対応としての採用実績はまだないが、引き合いは増えてきているそうだ。同社では暗号化、鍵管理、アクセス制御を効率的に実装するソリューションとして販売を強化する方針だ。

なお、2011年11月には、トークン化を行う「Tokenizetion Manager3.0」もリリースする。これは、英字を含むデータ、メールアドレス、日付などトークナイゼーション対応データタイプを拡充し、Data Vaultの鍵更新やそれをサポートするDBを増やすことでパフォーマンスの向上を図るという。

page toppagetop