[新製品・サービス]

RSAがPCI DSSの審査範囲を狭めるSIサービス、カード番号と乱数を1対1でマップ

2010年1月19日(火)

 セキュリティ分野のSIベンダーであるRSAセキュリティは2010年1月19日、電子商取引サイトなどクレジット・カード情報を扱うユーザー企業に向けて、カード番号を1カ所に集約することによってシステム全体のセキュリティを高めるSIサービスを開始した。複数のサーバー資源にカード番号を分散配置している企業が同サービスを利用することで、PCI DSSの準拠認定を受けやすくなる。

 サービス名称は「PCI DSS準拠認定サービス」。ユーザー企業がPCI DSSの準拠認定を受けられるよう、PCI DSSの認定セキュリティ評価ベンダー(QSA)と協業し、システムのセキュリティを改善する。同サービスの最大の特徴は、システム改善のポイントとして、既存システムでは分散しているクレジット・カード番号を、1カ所に集約して保護する。カード番号の集約によってセキュリティの対象となる範囲を狭めることができるため、PCI DSSの準拠認定にかかるコストを削減できる。

 クレジット・カード番号を1カ所に集約して保護する仕組みは、以下の通り。まず、16桁のカード番号と同じフォーマット(形式)の乱数を用意する。この上で、個々のカード番号と個々の乱数を、1対1でマッピングさせる。乱数のフォーマットはカード番号と同一であるため、情報システムの上では乱数をカード番号の替わりに使うことができるというわけだ。また、適用するWebシステムの仕様に応じて、乱数16桁のうち下4桁をカード番号と同一とするといった運用もできる(Web画面に顧客のカード番号の一部を表示できる)。

 既存のWebシステムや業務システムとのインタフェースとして、(1)乱数発行用のAPIと、(2)乱数からカード番号を調べるAPIの2つを用意している。(1)乱数発行時には、顧客がWebシステムに対して入力したカード番号を、専用APIを経由して受け取り、代わりに乱数をWebシステムに渡す。(2)カード番号が必要なケースでは、乱数をキーにして問い合わせることで、乱数と対になるカード番号を得られる。

 カード情報の管理サーバーは、鍵管理サーバー製品「RSA Key Manager」を利用した専用のアプライアンス・システムである。カード番号を乱数で置き換えるという機能そのものは単純だが、Key Managerにより、カード番号の暗号化やアクセス権限管理/アクセス制御といったセキュリティを確保できるとしている。

 なお、PCI DSSとは、大手クレジット・カード会社が策定した、クレジット・カード情報を取り扱う事業者に向けた情報システムの構成や運用に関するガイドラインである。PCI DSSに準拠しているか否かを評価/認定する制度として、PCIDSSの推進協議団体(PCISSC)がら認定されたセキュリティ評価ベンダー(QSA)が認定サービスを提供中。国内のSIベンダーのいくつかがQSAとして活動している。

 なお、RSAセキュリティは2009年11月に、SIサービス事業部門「プロフェッショナルサービス本部」を発足させている。他のSIベンダー同様に、コンサルティングから設計/開発、運用フェーズまで、SIの上流から下流までをワン・ストップで提供する。SIベンダーとしての同社の強みを同社は、「セキュリティ分野のシステム設計ノウハウ」(プロフェッショナルサービス本部長を務めるTerumi Laskowsky氏)とする。

クレジット・カード番号を、同一フォーマットの乱数に置き換える
写真 クレジット・カード番号を、同一フォーマットの乱数に置き換える
関連記事

RSAがPCI DSSの審査範囲を狭めるSIサービス、カード番号と乱数を1対1でマップ セキュリティ分野のSIベンダーであるRSAセキュリティは2010年1月19日、電子商取引サイトなどクレジット・カード情報を扱うユーザー企業に向けて、カード番号を1カ所に集約することによってシステム全体のセキュリティを高めるSIサービスを開始した。複数のサーバー資源にカード番号を分散配置している企業が同サービスを利用することで、PCI DSSの準拠認定を受けやすくなる。

PAGE TOP