カード番号を同じけた数の別の番号に置き換える「トークン化」機能により、PCI DSS準拠に伴うコストを削減できるという。
RSAセキュリティは11月17日、クレジットカード情報の保護と管理を行うソフトウェア製品「RSA Data Protection Manager」を12月1日に発売すると発表した。大規模ECサイト事業者やクレジットカード会社、クレジット決済サービス会社などでの利用を見込む。
同製品が提供する機能は、クレジットカード情報の暗号化、トークン化、暗号/復号鍵の運用管理となる。トークン化機能は、クレジットカード番号をランダムに生成する同じけた数の別の番号に置き換える。実際のカード番号とトークン化した番号は1対1の組み合わせでデータベース化され、同製品で管理する。
従来は業務アプリケーションでカード情報を処理する際に、暗号化などによって保護した状態で行っていた。同製品を利用することで、業務アプリケーションではトークン化した番号で処理を行う仕組みを構築できる。トークン化した番号は、そのままの状態ではカード情報と見なされないという。これにより、カード情報を取り扱うシステムの範囲が狭められるため、システム全体のセキュリティレベルを高められると同社では説明している。
同製品の利用は、クレジットカード業界のセキュリティ基準「PCI DSS」の準拠に伴う審査要件の簡素化やコストの抑制にも役立つという。例えば、「データ保護の実施」を規定する要件3をクリアするには、カード情報を取り扱うすべてのシステムが審査対象になる。システムで取り扱う情報をトークン化した番号にすれば審査対象から外すことができる可能性があり、審査の手間やコストを抑制できるという具合だ。なお、審査範囲の特定についてはPCI DSSの審査機関QSAと相談する必要がある。
ほかにも同製品では、カード情報の暗号化やトークン化の作業、保護した情報の利用などに関する権限をユーザー単位やアプリケーション単位で指定できる機能、また、鍵のライフサイクル管理を自動化する機能を備える。権限管理の機能は、PCI DSSの要件7で規定された「カード会員データへのアクセス権限を業務上の必要範囲内に制限する」の推奨対策に対応するという。
マーケティング統括本部マーケティング プログラム マネジャーの関真氏によれば、近年の情報漏えい事件の8割以上がカードデータの流出であり、当該企業の6割以上はデータの所在を正確に把握していなかったと紹介する。「米国の主要なカード取り扱い企業数社のPCI DSS準拠コストは10億円を超えるとされる。カード情報の保護とPCI DSS準拠の負担軽減をいかに両立させるかが課題」と話す。
製品価格は、暗号化したカード情報を取り扱うサーバとアプリケーションの合計数で異なる。サーバ1台当たりのライセンスは126万円、アプリケーションの1つ当たりのライセンスは1260万円。トークン化した番号を扱うサーバやアプリケーションは課金対象にはならない。
同社は、今年1月に開始したPCI DSS準拠支援のコンサルティングサービスでもRSA Data Protection Managerの利用を推奨していくという。製品の売り上げ目標は2年間で5億円としている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.