Tweet

ビジネスアシュアランスが動向を解説

PCI DSS準拠コストを抑える鍵は「トークナイゼーション」

2011/01/25

　ネットワンシステムズ子会社のビジネスアシュアランスは1月24日、国内外におけるPCI DSSの最新動向に関する説明会を開催した。

　PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード関連ビジネスに携わる事業者向けに、カード会員情報を保護するために必要なセキュリティ対策をまとめたセキュリティ基準だ。ほかのセキュリティ基準とは違い、パッチ適用の間隔やファイアウォール設定など、実装レベルで具体的な規定を定めていることが特徴だ。

　ビジネスアシュアランスの代表取締役で、PCI DSSの普及促進団体、PCI SSC PO Japan連絡会の会長を務める山崎文明氏によると、PCI DSSは米国、ヨーロッパなどで普及する一方で、対応に要するコストが問題になっているという。米国の複数の流通業者団体が連名で発行したレターによれば、PCI DSS準拠のために投資した費用は2009年1年間だけで10億ドルに達したということだ。

　情報漏えい事件が起こったときの痛手は大きく、損失補填や罰金、追加投資や訴訟対応などで多額のコストを要することになる。だが一方で、PCI DSSへの対応にも相応のコストがかかることが課題として浮上している。特に昨今の経済状況の中では、なるべくコストを掛けずにPCI DSS準拠とする方法が求められていると山崎氏は指摘し、「その切り札の1つがトークナイゼーション（トークン化）だ」と述べた。

　トークナイゼーションとは、クレジットカード番号などの重要なデータを、形式などを保持したまま意味をなさない別のデータ（トークン）に変換することを指す。変換後のデータを用いて処理することにより、仮にデータが漏えいしても実害は避けられる。暗号化などの手法に比べシステムに対する負荷が少ないこと、データ長や形式などを保持できるためアプリケーションなどに変更を加える必要がないことなどが特徴だ。

　「トークナイズされたデータはPCI DSSのスコープから外れるため、ログの取得をはじめとするさまざまなセキュリティ対策コストを大きく省くことができる」（山崎氏）とし、廉価にPCI DSSコンプライアンスを実現する有力な手法だと述べた。

　欧米や中国に比べると、カード業界の商体系の違いなどもあって、日本国内でのPCI DSS普及は進んでいない。だが、大手カード発行会社がPCI DSS対応を表明したこともあり、2011年以降は普及が加速し、加盟店にもその流れが及んでいくのではないかという。

PCI DSS 2.0の変更点は「微調整」

　2010年10月28日には、PCI DSSのバージョン2.0が公表された。このバージョン2.0の変更点は、記載内容を明確化し、適用の柔軟性を増やすなどの「基本的に微調整」（山崎氏）。率直に言ってしまうと「緩くした、ハードルを下げた」（同氏）ものだという。また、PCI DSS改訂のライフサイクルも、2年間から3年間に変更された。

　PCI DSSの策定に携わるPCI SSC（Payment Card Industry Security Standards Council）が2010年9月に開催したミーティング「2010 US Community Meeting」では、PCI DSS本体に加え、いくつか注目すべき技術をピックアップして議論した。PCI SSCではそれらの活用方法をまとめたガイドライン（Additional Guidance）の作成に取り組んでいる。すでに「EMV」「ワイヤレス」の2つについて文書が発行されているほか、「仮想化」「暗号化」の検討が進み、前述の「トークナイゼーション」についても文書を作成する計画だ。