クレジットカード会社、決済処理代行事業者、そしてクレジットカード加盟店などは、カード会員のデータを安全に取り扱い、不正アクセス等による情報盗難から保護しなければならない。そのための具体的方策を示す国際的なセキュリティ基準として策定されたのが「PCI DSS」だ。カード情報を扱う企業・組織はPCI DSSの要件に準拠したセキュリティ対策を施す必要があるが、対応するシステムの構築・運用にはコストや手間がかかるという課題も存在する。本記事ではこの課題の解決に寄与し、セキュリティの大幅強化につなげられるソリューションに迫る。

PCI DSSの新要件対応に向けた課題とは

PCI DSSは「Payment Card Industry Data Security Standard」の頭文字から名付けられたセキュリティ基準で、日本のJCBを含めた国際カードブランド5社(他にAmerican Express、Discover、MasterCard、VISA)が共同で設立した団体(PCI SSC「Payment Card Industry Security Standards Council」)が管理運用するレギュレーションである。現行メジャーバージョンは2022年リリースのV4.0だが、2024年には最新のV4.0.1が公開されるなど、更新も目まぐるしく、対応に困っている企業もいるのではないだろうか。

V4.0ではカードのPAN(Primary Account Number、いわゆるカード番号)情報の保管において要求される方法が変更された。クレジットカードセキュリティ対策のクラウドソリューションを提供するリンクのセキュリティプラットフォーム事業部長、滝村享嗣氏は次のように解説する。

(写真)株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村 享嗣 氏

株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村 享嗣 氏

「V4.0ではカード情報を保存するシステムに関する基準が大幅にアップデートされ、とりわけ暗号化手法が大きく変わりました。それまではPAN情報を保存するファイルサーバのハードディスクを丸ごと暗号化すればよかったところ、新たな要件(基準番号3.5.1.2)では、リムーバブルメディアではない電子メディアにPAN情報を保存する場合はディスクレベルやパーティションレベルでの暗号化が不可能になったのです」(滝村氏)

言い換えれば、ディスクレベルやパーティションレベルでの暗号化はリムーバブルメディアしか認められなくなったわけで、現実として従来のようにサーバのハードディスクを丸ごと暗号化しての運用ができなくなったということだ。

「それに伴い、代替手段としてファイルレベルの暗号化、つまりファイル1個1個を暗号化することが必要となりました。ただ、ファイルサーバ(Windows Server)にはファイルレベルの暗号化機能が備えられていないため、ユーザ(カード情報を扱う組織)はファイルレベルで対応可能な暗号化ソリューションの導入・実装が必須になります」(滝村氏)

加えて、ユーザは新たにカード情報を扱う事業やシステムをローンチするたび、この対策を行うことも必要になるという。

                                                                                                     
【関連するPCI DSS要件】
番号要件
3.5.1.2 ディスクレベルまたはパーティションレベルの暗号化(ファイル、列、フィールドレベルのデータベース暗号化ではない)を使用して PAN を読み取り不能にする場合、以下のようにのみ実装される。
• リムーバブル電子メディア上
• またはリムーバブルでない電子メディアに使用する場合
要件 3.5.1 を満たす別のメカニズムで PAN も読み取り不能にする。      
3.6保存されているアカウントデータを保護するために使用される暗号化鍵が保護されている。
3.7保存されているアカウントデータを保護するために暗号が使用されている場合、鍵のライフサイクルのすべての側面を網羅する鍵管理プロセスおよび手順が定義され、実施されている。

ファイルサーバ暗号化SaaSの活用で、トータルコストを最大60%削減

ところがこの対応がユーザにとっては決して簡単ではないと、滝村氏が続ける。

「新要件に準拠するため専用サーバとソフトウェアを用意し、新たに暗号化システムを構築・運用するのは工数やコストの面で大きな負担を要します。そのため、対応に悩んでいるユーザは少なくないと考えています」(滝村氏)

そこで注目したいのが、リンクが提供するファイルサーバ暗号化サービス「EncFile Cloud」だ。同サービスの立ち上げから営業責任者を務める、営業マネージャーの相原一斗氏が次のように説明する。

(写真)株式会社リンク セキュリティプラットフォーム事業部 営業マネージャー 相原 一斗 氏

株式会社リンク セキュリティプラットフォーム事業部 営業マネージャー 相原 一斗 氏

「EncFile Cloudはその名のとおりクラウドサービス(SaaS)として提供しているので、専用システムを構築する必要はありません。ユーザはPCI DSS準拠済み鍵管理ソフトウェアをサーバにインストールし、専用線もしくはVPNで接続するだけで当社のSaaSとの間で通信が行われ、ファイル単位の暗号化を手軽に実現できるので、運用負荷とコストを大きく抑えつつPCI DSS準拠が可能になります。

ファイルは自動的に暗号化され、ユーザはエージェントをインストールしたPCから何も意識せず安全にアクセスできるのがポイント。また、暗号化されたファイルは鍵管理されているため、仮に外部に持ち出されても復号化はできず、漏洩リスクも減らせます」(相原氏)

  • (図版)ソリューションの仕組み

同社では、サーバー環境のPCI DSSへの準拠を促進するクラウドサービス「PCI DSS Ready Cloud」を2013年から展開している。このPCI DSS Ready Cloudでは、カード情報を安全なトークンに置き換え情報漏洩リスクを低減する「Cloud Token for Payment Card」といったサービスも提供しているが、そこに新たに追加されたのがEncFile Cloudだ。

Cloud Token for Payment Cardでは、マクニカが提供する仏タレス社のセキュリティソリューション「CipherTrust Data Security Platform(CDSP)」を採用している。展開を進めていく中で、マクニカの担当者からCDSPはファイル暗号化の鍵管理にも使えると提案され、EncFile CloudにもCDSPを採用したという。

こうした経緯から、EncFile Cloudはリンクとマクニカが開発、事業化、営業・マーケティング、販売まで含めて協業の形で進めている。マクニカでタレス製品のプロダクトマネージャーを務める髙橋俊哉氏は、「両社が協業しSaaSの形でサービス化することで、コストパフォーマンスを最適化した形でユーザにサービスを提供できると考えました」と振り返る。

(写真)株式会社マクニカ ネットワークスカンパニー セキュリティソリューション営業統括部 プロダクト第2営業部 第2課 髙橋 俊哉 氏

株式会社マクニカ ネットワークスカンパニー セキュリティソリューション営業統括部 プロダクト第2営業部 第2課 髙橋 俊哉 氏

PCI DSSの準拠には初期費用だけでなく、日々の運用や監査などで多額のコストがかかり、それらに携わる人的リソースの充当にも費用を要する。その点、EncFile Cloudを導入すればそれだけで設備投資や運用項目を減らすことができ、専用システム構築と比較してトータルコストを50〜60%程度削減(リンクによる試算)しながら新要件準拠を実現できるとのことだ。

新要件準拠におけるEncFile Cloudの強みについて、滝村氏はこう語る。

「当社もマクニカも、これまで長い間クレジットカード業界向けにソリューションを販売してきています。クレジットカード情報の保護対策に関するプロフェッショナルな知見をベースに、お客様の要件にマッチし、プラスアルファの価値も含めた提案を行うことで多くのお客様からご満足の声をいただいており、その実績とそれに基づく信頼感は大きな強みです。EncFile Cloudも同じ土台の上で提供するサービスですから、コスト・負荷の削減といった点はもちろん、そもそも安心してご利用いただける点もお客様に提示できるメリットだと考えています」(滝村氏)

カード関連以外の情報セキュリティ強化にも効果を発揮

EncFile Cloud導入により、カード発行や会員サポート、債権管理、データ分析、マーケティングなどの業務におけるセキュリティを大幅に高め、ファイル閲覧はもちろんカード情報の受け渡しもより安全に行えるようになる。またEncFile Cloudは、情報漏洩対策を強化したいカード関連業界以外の企業でもユースケースを想定できると相原氏が話す。

「ファイルサーバに機密データや知的財産、個人情報などを保管している企業で、会社全体のファイルセキュリティを包括的に強化したいと考えているケースでも、PCI DSSの厳しい要件をクリアするEncFile Cloudは有効活用できると考えています。設計データを扱う製造業、電子カルテを扱う医療機関、また一つの場所で多様な顧客の情報に接するコールセンターをはじめとするBPOのシーンでも、高度なセキュリティをサポートできます」(相原氏)

クレジットカード業界以外にも活用の広がりが期待されるEncFile Cloud。リンクでは事業者への提案活動を進める中で、サービスに対して機能追加の要望など多種多様な声を聞いてきたという。

「多くの方からさまざまな意見をいただけるのはとても貴重な機会です。そういった意見をEncFile Cloudに取り入れ、マクニカとも力を合わせてより良いサービスにしていきたいと考えています」(滝村氏)

現在はファイルサーバ(Windows Server)での利用に限定されているが、データベース暗号化を期待する声も多いことから、今後はデータベースをはじめ暗号化対象とするシステムの対応範囲を拡大していく予定だという。

またマクニカの髙橋氏も、「リンクとの協業を通じてエンドユーザの声や反応を聞くことで、サービス強化やアイデアの加速につながるヒントを得られます。これからも両社の協業でより大きな価値を生み出していきたいですね」と今後の展開に期待感を示した。

PCI DSS新要件への対応を支援する有効な手段として、また企業全体のセキュリティレベルを強化するツールとして、EncFile Cloudに注目してみてはいかがだろう。

  • (写真)集合写真

    (左から)株式会社マクニカ ネットワークスカンパニー セキュリティソリューション営業統括部 プロダクト第2営業部 第2課 髙橋 俊哉 氏、株式会社リンク セキュリティプラットフォーム事業部 事業部長 滝村 享嗣 氏、株式会社リンク セキュリティプラットフォーム事業部 営業マネージャー 相原 一斗 氏

関連リンク

[PR]提供:マクニカ