RSA、PCI DSSへの準拠を支援する新サービス

RSAは、クレジットカード業界のセキュリティ基準「PCI DSS」への対応を支援するサービスを発表した。カード情報を保護する独自技術により、対応に伴う審査の手間を緩和するのが特徴だという。

[國谷武史，ITmedia]

　RSAセキュリティは1月19日、企業の情報セキュリティ強化を支援する「プロフェッショナルサービス」の新メニューとして、クレジットカード業界のセキュリティ基準「PCI DSS」への準拠を支援する内容のサービスを発表した。

　同サービスはPCI DSSへの準拠を審査・認証する専門機関（QSA）と連携し、QSAが担当する業務（予備審査・本審査など）を除く、PCI DSS対応に向けた現状分析、改善計画の策定・実施、運用支援を提供。独自のカード情報保護技術により、審査に伴う負担を軽減できるのが特徴だという。

PANのトークン化（左）と暗号化による保護のイメージ

　PCI DSSでは、クレジットカード番号（PAN）の保護が厳格に定められており、審査ではPANの情報を取り扱うすべてのシステムで堅牢なセキュリティ対策が実施されているかをチェックする。同社の保護技術では、PAN情報を独自のアルゴリズムで乱数に置き換える（トークン化）ほか、保存されているPAN情報を暗号化して一元的に管理できるようにする。同社によればトークン化されたPAN情報はPANそのものとは見なされないといい、審査対象となるシステムの範囲が狭まり、作業の手間やコストなどの軽減につながると説明している。

PANを保護しない状態では審査の範囲が図全体になるが、保護することで範囲が狭まるという

　トークン化は、PANの下4けたを除く範囲でユーザー企業が任意に設定でき、アプリケーションやデータベースではトークン化されたPAN情報で処理作業を行う。PAN情報が格納されたデータベースに対しては、同社製品の「RSA Key Manager」によって暗号化とアクセス制限による一元的なセキュリティ管理を提供する。

ラスカウスキー・テルミ氏

　プロフェッショナルサービス本部長のラスカウスキー・テルミ氏は、「PAN情報と取り扱う範囲自体を狭めることで、クレジットカード情報を処理するシステム全体のセキュリティレベル向上にもつながると期待される」と話す。

　なお、導入にはPAN情報をトークン化するサーバやRSA Key Managerが必要になるが、既存システムと連係するためのAPIを活用することで開発費などの負担をできるといい、また、QSAと協力して同サービスに必要なシステム環境の整備も支援していく方針。

　PCI DSSが定める12要件のうち、要件5（ウイルス対策ソフトの導入と更新）と要件6（安全なシステムの開発と保守）、要件11（セキュリティシステムや対応手順の定期テストの実施）を除く各要件は、同社の製品やサービスで対応を支援できるとしており、要件5や6、11については新サービスで他社のソリューションなどを活用しながら同社がサポートとしていくという。

　サービスの利用価格は個別見積り。同社ではVisaやMasterCardなどが定めるレベル1（年間600万件以上の決済）を行う加盟店や決済代行サービス会社、カード会社を中心に利用を見込んでいる。

関連ホワイトペーパー

PCI DSS

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら