日本セーフネットは4日、クレジットカード番号などの機密情報をトークン化する「Token Manager」と、データベース暗号化と暗号鍵の管理を実行するアプライアンス「DataSecureシリーズ」で構成した「トークン化セキュアパック」を発表し、同日販売を開始した。価格は最小構成で500万円(税別)から。

最小構成には、データの暗号化および暗号鍵の管理(HSM)、アクセス制御と職務分掌の徹底を実行する「DataSecure i150アプライアンス」と、Web/Appサーバが透過的にトークンを利用できるようにDataSecureおよびData Vaultと通信するためのソフトウェアライセンスが含まれる。

「DataSecure i150アプライアンス」

トークン化とは、クレジットカード番号等の機密データを、実データと紐づけられた無作為なトークンに置き換えること。これにより、各業務アプリケーションでは、必要な場合のみ暗号化された実データにアクセスし、その他はトークンを利用してデータ処理を行う。

トークンフォーマット

トークン化プロセス

クレジットカードの加盟店やサービスプロバイダは、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準であるPCI-DSS(Payment Card Industry Data Security Standards)に従う必要があるが、トークンを利用することにより、対象の8割を占めるというアプリケーションがPCI-DSSの対象からはずれ、監査費用を大幅に縮減できるという。また、トークンを利用した場合は、暗号化データを復号して利用する場合にくらべ、アクセス処理も軽くなるという。同社では、「DataSecure i150アプライアンス」1台で、会員数100万人まで対応できるとしている。また、セキュアパックは、VISAが理想的なトークン化インプリ基準として2010年7月に発表した「Best Practices for Tokenization Version 1.0」に対応しているという。

従来のDBの暗号化による監査対象(紫で囲まれた部分)

トークン化後の監査対象

日本セーフネット 代表取締役社長 酒匂潔氏

同社 代表取締役社長 酒匂潔氏は従来のDBの暗号化による管理の課題として、

・暗号化によりデータが保護されるが、すべての鍵アクセスについては、アクセス制御がしかるべき形で取られる必要がある
・監査については、すべての鍵アクセスに対するログの提出が求められる
・暗号鍵の管理
・業務アプリケーションにおいては復号されるため、通信におけるセキュリティ対策も必要不可欠

の4点を挙げた。

対応プラットフォームは、Web/AppサーバがOracle、IBM、BEA、IIS、Apache、Sun ONE、JBoss、SAPなど、データベースがOracle、Microsoft SQL Server、IBM DB2、Teradata。