このページの本文へ

前へ 1 2 次へ

WebアプリとDBが危ない!第12回

暗号化や乱数化など同社の技術をサービス応用

RSAらしさ満載のPCI DSS導入支援サービス

2010年01月20日 08時00分更新

文● 金子拓郎/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

1月19日、RSAセキュリティは2009年11月より開始した「RSAプロフェッショナルサービス」の2つめのサービスメニューとして、「PCI DSS準拠支援サービス」を提供すると発表した。クレジットカード番号を守るため、乱数化や暗号化などの技術を駆使。専用サーバーの管理をRSAセキュリティ側で担当することで、ユーザーの負担を減らす。

「PCI DSS準拠支援サービス」の説明を行なったRSAセキュリティ プロフェッショナルサービス本部 本部長 ラスカウスキー・テルミ氏

 PCI DSSは「Payment Card Industry Data Security Standard」の略で、Visa InternationalやMaster Card、JCBなどの国際カードブランド会社が共同で開発した、クレジットカード会員データ保護のためのセキュリティ対策基準。クレジットカード加盟店や決済代行会社、カード会社など、クレジットカードによる決済にかかわるすべての事業者(クレジットカード対象事業者)を対象としている。

PCI DSSの対象となるクレジットカード情報

 情報セキュリティに関する規格にはISMS(Information Security Management System)などもあるが、PCI DSSはパスワードの桁数など、細かいところまで決まりがあるという特徴を持っている。クレジットカードの情報のうち、クレジットカード番号(プライマリアカウント番号:PAN)を最上位の保護対象と規定している。そして、カード情報の入力機構やデータベース、業務アプリケーションなどPANを扱うシステムのすべてを、保護対策が必要となる審査範囲としている。なお、カード会員名や有効期限などの情報は、PANとともに保存された場合には、保護が必要という扱いだ。

通常のシステムにおける、PCI DSSの対象

 このような仕組みから、PCI DSSに対応させるには、審査範囲全体において情報漏えい対策などのセキュリティを用意するのが一般的だ。

 一方、RSAセキュリティのPCI DSS準拠支援サービスは一風変わっており、

  • 機密情報は持たない
  • 持つなら徹底的に守る
  • 審査範囲は最小限に

という方針のPCI DSS対策となっている。

 1つめの「機密情報は持たない」ために行なうのが、PANをトークンに置き換える作業だ。これは、PANの下4桁を除く12桁を乱数に置き換えてしまうものだ。

PANをトークンに置き換える

 暗号化やハッシュと異なり、トークンからPANを導くことはできない。そのため、PCI DSSにおける保護の対象から除外される。利用明細書作成などは、PANの下4桁だけを使用するため、このトークンを使って処理を行なう。

 ただし、決済処理などは、オリジナルのPANが必要となる。そこで行なうのが、2つめの「持つなら徹底的に守る」だ。RSAセキュリティ側でPANの暗号化を行ない、専用のデータベースに保存しておく。

PANを暗号化し、専用サーバに保管

(次ページ、「審査範囲は最小限に」に続く)


 

前へ 1 2 次へ

この特集の記事
ピックアップ