RSA、クレジットカード情報の保護と管理の簡素化を図る新製品
カード番号を同じけた数の別の番号に置き換える「トークン化」機能により、PCI DSS準拠に伴うコストを削減できるという。
RSAセキュリティは11月17日、クレジットカード情報の保護と管理を行うソフトウェア製品「RSA Data Protection Manager」を12月1日に発売すると発表した。大規模ECサイト事業者やクレジットカード会社、クレジット決済サービス会社などでの利用を見込む。
同製品が提供する機能は、クレジットカード情報の暗号化、トークン化、暗号/復号鍵の運用管理となる。トークン化機能は、クレジットカード番号をランダムに生成する同じけた数の別の番号に置き換える。実際のカード番号とトークン化した番号は1対1の組み合わせでデータベース化され、同製品で管理する。
従来は業務アプリケーションでカード情報を処理する際に、暗号化などによって保護した状態で行っていた。同製品を利用することで、業務アプリケーションではトークン化した番号で処理を行う仕組みを構築できる。トークン化した番号は、そのままの状態ではカード情報と見なされないという。これにより、カード情報を取り扱うシステムの範囲が狭められるため、システム全体のセキュリティレベルを高められると同社では説明している。
同製品の利用は、クレジットカード業界のセキュリティ基準「PCI DSS」の準拠に伴う審査要件の簡素化やコストの抑制にも役立つという。例えば、「データ保護の実施」を規定する要件3をクリアするには、カード情報を取り扱うすべてのシステムが審査対象になる。システムで取り扱う情報をトークン化した番号にすれば審査対象から外すことができる可能性があり、審査の手間やコストを抑制できるという具合だ。なお、審査範囲の特定についてはPCI DSSの審査機関QSAと相談する必要がある。
ほかにも同製品では、カード情報の暗号化やトークン化の作業、保護した情報の利用などに関する権限をユーザー単位やアプリケーション単位で指定できる機能、また、鍵のライフサイクル管理を自動化する機能を備える。権限管理の機能は、PCI DSSの要件7で規定された「カード会員データへのアクセス権限を業務上の必要範囲内に制限する」の推奨対策に対応するという。
マーケティング統括本部マーケティング プログラム マネジャーの関真氏によれば、近年の情報漏えい事件の8割以上がカードデータの流出であり、当該企業の6割以上はデータの所在を正確に把握していなかったと紹介する。「米国の主要なカード取り扱い企業数社のPCI DSS準拠コストは10億円を超えるとされる。カード情報の保護とPCI DSS準拠の負担軽減をいかに両立させるかが課題」と話す。
製品価格は、暗号化したカード情報を取り扱うサーバとアプリケーションの合計数で異なる。サーバ1台当たりのライセンスは126万円、アプリケーションの1つ当たりのライセンスは1260万円。トークン化した番号を扱うサーバやアプリケーションは課金対象にはならない。
同社は、今年1月に開始したPCI DSS準拠支援のコンサルティングサービスでもRSA Data Protection Managerの利用を推奨していくという。製品の売り上げ目標は2年間で5億円としている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。