RSA、PCI DSS準拠支援サービスの提供を開始--企業規模を問わず準拠コスト削減が可能

大河原克行 2010年01月19日 14時30分

  • このエントリーをはてなブックマークに追加

 RSAセキュリティは1月19日、「RSAプロフェッショナルサービス」の新サービスとして「PCI DSS準拠支援サービス」の提供を開始した。

 PCI DSS(Payment Card Industry Data Security Standard)は、VisaやMasterCard、JCBをはじめとする国際カードブランド会社が共同で開発したクレジットカード会員データ保護のためのセキュリティ対策基準。クレジットカード会社では、カード情報を取り扱う加盟店などにPCI DSSの順守を義務づけており、2010年9月までに対応を求めている。

 「PCI DSSに関する支援サービスはすでに他社が提供しているが、今回の新サービスは、RSAが開発したセキュリティトークン化技術により、企業規模の差に影響されることなく、あらゆる企業が利用できる。PCI DSS準拠実現に伴う企業側のコストを大きく低減できる、他社にはないサービスになる」とする。

ラスカウスキー・テルミ氏 RSAセキュリティ、プロフェッショナルサービス本部本部長のラスカウスキー・テルミ氏

 RSAセキュリティ、プロフェッショナルサービス本部本部長のラスカウスキー・テルミ氏は、「RSAセキュリティが提供するPCI DSS準拠支援サービスの基本的な考え方は、機密情報は持たない、持つならば徹底的に守る、審査範囲は最小限にする、という3つのアプローチに集約できる。そこにセキュリティトークン化技術が効果を発揮することになる」と、同サービスの位置づけを語る。

 クレジットカード番号を乱数によるトークンに置き換えることで、クレジットカードの機密情報を持たない仕組みへと移行。このトークン情報を、業務アプリケーション、データベース、ウェブアプリケーションなどで扱うことで、機密情報をやりとりする範囲が少なくて済むという。

 「アルゴリズムの暗号化ではないために、元に戻すアルゴリズムがない。トークン情報は、クレジットカード情報でよく使用する下4桁の数字を残したり、カード会社を特定する最初の4桁はそのまま残したいといった顧客の要望にも対応することができる。また、クレジットカード番号を持たなくてはならない場合には、暗号化ととともに、RSAセキュリティのRSA Key Managerを使用した鍵管理と、アクセス管理を行い、万全な管理体制を実現する」という。

 また、「顧客のなかには、物理的、地理的に散在した300台規模のサーバで、クレジットカード情報が利用されているケースもあり、これが年に1度のQSA(Qualified Security Assessor=PCI DSSの認定審査機関)による監査や、3カ月に1度の定期スキャンテストの範囲を大きくしている。これらのサーバでのやりとりをトークン情報で行うことで、監査の範囲を大幅に削減できる。もとのクレジットカード情報に戻す方法を持たないシステム、クレジットカード情報を持たないシステムは、QSAによる監査の対象外になると理解しているが、今後、審査対象範囲の縮小については、QSAと確認しながら行っていくことになる」とした。同社では、インフォセックをはじめとするQSA各社と連携していく姿勢だ。

 監査の対象となるサーバでは、継続的に強固なセキュリティ環境を維持するための投資が必要であり、さらに、監査のためにサーバへのアクセス状況や堅牢性などについても管理する必要がある。PCI DSSに準拠した企業では、それに向けて定期的にアップデートなどを行う必要があるため、コストが膨大になっているという課題があった。

 RSAセキュリティでは、米クレジットカード決済代行大手のFirst Dataでセキュリティトークン化機能を導入。審査の対象範囲の最小化などにより、PCI DSS準拠に関わるコストが、最大で80%削減できたほか、PCI DSS準拠システムにおけるセキュリティを強化した実績があるという。これらの実績をもとに同サービスを日本の顧客に対して提供していく考えだ。

 また、「トークン化については、トークンに関するインターフェースを作る必要があるが、トークンはクレジットカード番号の現状のデータ形式を維持するために、データベースのスキーマなどを変えずに済む」という。

 PCI DSS準拠支援サービスは、「RSAプロフェッショナルサービス」の4つのサービス基盤である「CSOアドバイザリー」「セキュリティコンサルティング」「セキュリティ・アーキテクチャデザインと構築」「セキュリティオペレーション」のそれぞれと、横断的に関わりながら提供される。「監査対象の掌握と監査範囲の縮小」「ギャップ分析(現状分析)を行った課題の洗い出し、改善計画の策定」「改善計画に基づき、機能要件定義、コストプランニングなどの実装プランニング」「改善計画を実施するために必要なシステム構成/詳細機能設計、導入技術/製品の構成による開発プロジェクトの開始」「開発プロジェクト終了後、ペネトレーションテストやPCI DSS準拠合格スキャンを行い、改善成果を実証」「予備審査を実施し、指摘された改善作業を実施」「定期改善計画の立案、トレーニングを行い、遵守項目の維持や定期スキャン、年次審査対応の運用支援」といったメニューが用意されている。

 サービスの価格については個別見積もりとなる。

PCI DSS準拠支援サービス RSAセキュリティが提供する「PCI DSS準拠支援サービス」の概要(画像クリックで拡大表示)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]