ビジネスアシュアランスが動向を解説
PCI DSS準拠コストを抑える鍵は「トークナイゼーション」
2011/01/25
ネットワンシステムズ子会社のビジネスアシュアランスは1月24日、国内外におけるPCI DSSの最新動向に関する説明会を開催した。
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード関連ビジネスに携わる事業者向けに、カード会員情報を保護するために必要なセキュリティ対策をまとめたセキュリティ基準だ。ほかのセキュリティ基準とは違い、パッチ適用の間隔やファイアウォール設定など、実装レベルで具体的な規定を定めていることが特徴だ。
ビジネスアシュアランスの代表取締役で、PCI DSSの普及促進団体、PCI SSC PO Japan連絡会の会長を務める山崎文明氏によると、PCI DSSは米国、ヨーロッパなどで普及する一方で、対応に要するコストが問題になっているという。米国の複数の流通業者団体が連名で発行したレターによれば、PCI DSS準拠のために投資した費用は2009年1年間だけで10億ドルに達したということだ。
情報漏えい事件が起こったときの痛手は大きく、損失補填や罰金、追加投資や訴訟対応などで多額のコストを要することになる。だが一方で、PCI DSSへの対応にも相応のコストがかかることが課題として浮上している。特に昨今の経済状況の中では、なるべくコストを掛けずにPCI DSS準拠とする方法が求められていると山崎氏は指摘し、「その切り札の1つがトークナイゼーション(トークン化)だ」と述べた。
トークナイゼーションとは、クレジットカード番号などの重要なデータを、形式などを保持したまま意味をなさない別のデータ(トークン)に変換することを指す。変換後のデータを用いて処理することにより、仮にデータが漏えいしても実害は避けられる。暗号化などの手法に比べシステムに対する負荷が少ないこと、データ長や形式などを保持できるためアプリケーションなどに変更を加える必要がないことなどが特徴だ。
「トークナイズされたデータはPCI DSSのスコープから外れるため、ログの取得をはじめとするさまざまなセキュリティ対策コストを大きく省くことができる」(山崎氏)とし、廉価にPCI DSSコンプライアンスを実現する有力な手法だと述べた。
欧米や中国に比べると、カード業界の商体系の違いなどもあって、日本国内でのPCI DSS普及は進んでいない。だが、大手カード発行会社がPCI DSS対応を表明したこともあり、2011年以降は普及が加速し、加盟店にもその流れが及んでいくのではないかという。
PCI DSS 2.0の変更点は「微調整」
2010年10月28日には、PCI DSSのバージョン2.0が公表された。このバージョン2.0の変更点は、記載内容を明確化し、適用の柔軟性を増やすなどの「基本的に微調整」(山崎氏)。率直に言ってしまうと「緩くした、ハードルを下げた」(同氏)ものだという。また、PCI DSS改訂のライフサイクルも、2年間から3年間に変更された。
PCI DSSの策定に携わるPCI SSC(Payment Card Industry Security Standards Council)が2010年9月に開催したミーティング「2010 US Community Meeting」では、PCI DSS本体に加え、いくつか注目すべき技術をピックアップして議論した。PCI SSCではそれらの活用方法をまとめたガイドライン(Additional Guidance)の作成に取り組んでいる。すでに「EMV」「ワイヤレス」の2つについて文書が発行されているほか、「仮想化」「暗号化」の検討が進み、前述の「トークナイゼーション」についても文書を作成する計画だ。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。