【特別企画】

クレジット取引のセキュリティガイドライン改訂で、カード加盟店での対策はどう変わる?

国内のクレジットカード取引高が伸び続ける中、カード情報の漏洩を防ぐために、経済産業省と一般社団法人日本クレジット協会が主体となって「クレジット取引セキュリティ対策協議会」を起ち上げたのは2015年のこと。2016年には「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下、実行計画)」を策定した。それから1年が経過したこの3月、協議会はその一部を改訂し、「実行計画2017」として改めて公表した。

今回、セキュリティソリューションの専門企業として、グローバルにビジネスを展開しているペンタセキュリティシステムズ株式会社(以下、ペンタセキュリティ)日本法人 代表取締役 社長 陳 貞喜(ジン・ジョンヒ)氏に、改訂事項のうち、特に注目すべきものを解説してもらった。

ハードルが高かった"外回り"方式に加え、条件付きで"内回り"も採用可能に

ペンタセキュリティシステムズ株式会社 日本法人 代表取締役社長 陳 貞喜氏

「今回の改訂で当社が注目したのは、暗号化することを条件に、カード情報を企業のPOSシステムに通過させる"内回り"方式が認められたという点です」と陳氏は語る。実行計画では、POS加盟店にPCI DSSに準拠した安全策を施すか、カード情報を非保持化することを求めている。非保持化の方法として、実行計画2016で提示されていたのは、カードリーダーで読み取った顧客情報を、企業のPOSシステムで保存・処理したり通過させたりせず、企業ネットワークの外側で決済を行う"外回り"方式のみだった。

「しかし"外回り"を実現するとなると、これまでPOSシステムで行っていた売上集計やポイント付与などの業務プロセスを大幅に見直さなければなりません。従来通りのプロセスを守るためにカード情報を保持しようとすれば、PCI DSSに準拠せねばならず、そのためには多額のコストが必要になってしまいます。多くの加盟店では、どちらにも手が出せない状況だったと聞いています」(陳氏)

実行計画2017では、暗号化処理でカード番号が特定できない措置を講じてあれば、カード情報を決済端末から POS システムや企業内システムを介して ASP 事業者・情報処理センターなどに送る方式、つまり"内回り"でも情報の「非保持と同等」と見なされることになった。これにより企業はPOSシステムに暗号化ソリューションを導入すれば、従来の業務プロセスを大きく変えることなく、またPCI DSS準拠に比べて格段に安いコストで、求められるセキュリティ対策を施すことができる。

内回り(画像左)の暗号化実現の例(画像右)

暗号化ソリューション選定の4ポイント

POSシステムの暗号化ソリューションを選定するにあたって、留意すべきポイントは4つあると、陳氏は言う。1つ目は当然ながら、セキュリティの高さだ。POS端末から決済サーバにいたるまでの全区間を、確実に暗号化できる性能が欠かせない。PCI P2PE(PCI SSCが認定した暗号化の仕組み)のような仕組みが実現できて、各店舗とカード情報が伝送される区間では暗号化されたデータのみになるかどうかが、ソリューション選択のひとつの目安となる。

2つ目は、しっかりとした鍵管理ができるソリューションであること。復号のための鍵がネットワーク上に流れてしまうようでは、暗号化の意味は大きく損なわれる。実行計画2017でも、鍵が漏洩するリスクの低減手段として、トランザクションごとに暗号鍵が変わるDUKPT(Derived Unique Key Per Transaction)のような仕組みが紹介されている。「生成・利用・廃棄というライフサイクルを通して、鍵を安全に守れるソリューションを選ぶことが重要です」と陳氏説明する。

3つ目は、パフォーマンスだ。暗号化ソリューションを導入した結果、システムが重くなってはビジネスに悪影響をもたらすことになる。暗号化にかかるリソースを確認しておくことも大きなポイントとなる。

このほか、陳氏は「ソリューションの導入には、コストも手間もかかりますから、なかなか踏み出せないということもあるでしょう。もし導入を迷った時には、自社の企業イメージについて考えていただきたいと思います。情報保護に積極的に取り組めば、セキュリティ強化を実現できるだけでなく、会社のイメージアップに役立つでしょう」とコメント。4つ目の留意点として、暗号化の導入を諦めそうになった時の心構えを挙げた。

大手コンビニチェーンにおけるPOS暗号化事例

ペンタセキュリティが本社を置く韓国では、クレジットカードやPOSのセキュリティ対策は日本に先んじている。2015年には有数のコンビニチェーンA社 が、ペンタセキュリティのPOSシステム用暗号化ソリューション「D’Amo(ディアモ) for POS」を導入した。「韓国ではPCI DSSの他に、国が定めた厳しい安全基準があります。A社ではコンプライアンスを重視されて、D’Amo for POSをご採用くださいました」と陳氏は語る。

A社では店舗に置かれた15,000台のPOS端末と本部の承認サーバに「D’Amo for POS」を導入した。「D’Amo for POS」はセキュリティライブラリと呼ばれるエージェントをインストールすれば暗号化が実現できるため、多少の調整・修正だけで、既存の設備をほぼそのまま利用できるのが特長だ。DUKPTや国際的な安全基準に対応した鍵管理サーバ(KMS)も、すぐに使い始められるようハードウェアアプライアンスとして提供されており、準備段階から最短8週間ほどで運用が開始できるという。

「D’Amo for POS は、NIST(アメリカ国立標準技術研究所)の標準規格に沿ったアルゴリズムや、カード番号のフォーマットをそのままに暗号化できるFPE(形態保存暗号化)などの技術を採用していますので、高度な暗号化を、システムに大きな変更を加えることなくパフォーマンスに与える影響も最小限にし、実現できます」(陳氏)

実行計画2017ではカード加盟店に対し、2018年半ばまでに情報の非保持化(またはPCI DSS準拠)を求めている。あまり時間があるとは言えない状況の中、「D’Amo for POS」に着目し、採用を検討している日本企業もあるという。

先述した韓国のA社では、「D’Amo for POS」でセキュリティを強化したことをチラシに刷り込み、消費者に安全性を訴える宣伝活動をしたとこののこと。安全性が実店舗の売上を大きく左右する日が、日本にも刻一刻と近づいているのかもしれない。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)



人気記事

一覧

イチオシ記事

新着記事