1月19日、RSAセキュリティは2009年11月より開始した「RSAプロフェッショナルサービス」の2つめのサービスメニューとして、「PCI DSS準拠支援サービス」を提供すると発表した。クレジットカード番号を守るため、乱数化や暗号化などの技術を駆使。専用サーバーの管理をRSAセキュリティ側で担当することで、ユーザーの負担を減らす。
「PCI DSS準拠支援サービス」の説明を行なったRSAセキュリティ プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏
PCI DSSは「Payment Card Industry Data Security Standard」の略で、Visa InternationalやMaster Card、JCBなどの国際カードブランド会社が共同で開発した、クレジットカード会員データ保護のためのセキュリティ対策基準。クレジットカード加盟店や決済代行会社、カード会社など、クレジットカードによる決済にかかわるすべての事業者(クレジットカード対象事業者)を対象としている。
PCI DSSの対象となるクレジットカード情報
情報セキュリティに関する規格にはISMS(Information Security Management System)などもあるが、PCI DSSはパスワードの桁数など、細かいところまで決まりがあるという特徴を持っている。クレジットカードの情報のうち、クレジットカード番号(プライマリアカウント番号:PAN)を最上位の保護対象と規定している。そして、カード情報の入力機構やデータベース、業務アプリケーションなどPANを扱うシステムのすべてを、保護対策が必要となる審査範囲としている。なお、カード会員名や有効期限などの情報は、PANとともに保存された場合には、保護が必要という扱いだ。
通常のシステムにおける、PCI DSSの対象
このような仕組みから、PCI DSSに対応させるには、審査範囲全体において情報漏えい対策などのセキュリティを用意するのが一般的だ。
一方、RSAセキュリティのPCI DSS準拠支援サービスは一風変わっており、
- 機密情報は持たない
- 持つなら徹底的に守る
- 審査範囲は最小限に
という方針のPCI DSS対策となっている。
1つめの「機密情報は持たない」ために行なうのが、PANをトークンに置き換える作業だ。これは、PANの下4桁を除く12桁を乱数に置き換えてしまうものだ。
PANをトークンに置き換える
暗号化やハッシュと異なり、トークンからPANを導くことはできない。そのため、PCI DSSにおける保護の対象から除外される。利用明細書作成などは、PANの下4桁だけを使用するため、このトークンを使って処理を行なう。
ただし、決済処理などは、オリジナルのPANが必要となる。そこで行なうのが、2つめの「持つなら徹底的に守る」だ。RSAセキュリティ側でPANの暗号化を行ない、専用のデータベースに保存しておく。
PANを暗号化し、専用サーバに保管
(次ページ、「審査範囲は最小限に」に続く)
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第7回
TECH
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ
