RSAセキュリティは1月19日、「RSAプロフェッショナルサービス」の新サービスとして「PCI DSS準拠支援サービス」の提供を開始した。
PCI DSS(Payment Card Industry Data Security Standard)は、VisaやMasterCard、JCBをはじめとする国際カードブランド会社が共同で開発したクレジットカード会員データ保護のためのセキュリティ対策基準。クレジットカード会社では、カード情報を取り扱う加盟店などにPCI DSSの順守を義務づけており、2010年9月までに対応を求めている。
「PCI DSSに関する支援サービスはすでに他社が提供しているが、今回の新サービスは、RSAが開発したセキュリティトークン化技術により、企業規模の差に影響されることなく、あらゆる企業が利用できる。PCI DSS準拠実現に伴う企業側のコストを大きく低減できる、他社にはないサービスになる」とする。
RSAセキュリティ、プロフェッショナルサービス本部本部長のラスカウスキー・テルミ氏は、「RSAセキュリティが提供するPCI DSS準拠支援サービスの基本的な考え方は、機密情報は持たない、持つならば徹底的に守る、審査範囲は最小限にする、という3つのアプローチに集約できる。そこにセキュリティトークン化技術が効果を発揮することになる」と、同サービスの位置づけを語る。
クレジットカード番号を乱数によるトークンに置き換えることで、クレジットカードの機密情報を持たない仕組みへと移行。このトークン情報を、業務アプリケーション、データベース、ウェブアプリケーションなどで扱うことで、機密情報をやりとりする範囲が少なくて済むという。
「アルゴリズムの暗号化ではないために、元に戻すアルゴリズムがない。トークン情報は、クレジットカード情報でよく使用する下4桁の数字を残したり、カード会社を特定する最初の4桁はそのまま残したいといった顧客の要望にも対応することができる。また、クレジットカード番号を持たなくてはならない場合には、暗号化ととともに、RSAセキュリティのRSA Key Managerを使用した鍵管理と、アクセス管理を行い、万全な管理体制を実現する」という。
また、「顧客のなかには、物理的、地理的に散在した300台規模のサーバで、クレジットカード情報が利用されているケースもあり、これが年に1度のQSA(Qualified Security Assessor=PCI DSSの認定審査機関)による監査や、3カ月に1度の定期スキャンテストの範囲を大きくしている。これらのサーバでのやりとりをトークン情報で行うことで、監査の範囲を大幅に削減できる。もとのクレジットカード情報に戻す方法を持たないシステム、クレジットカード情報を持たないシステムは、QSAによる監査の対象外になると理解しているが、今後、審査対象範囲の縮小については、QSAと確認しながら行っていくことになる」とした。同社では、インフォセックをはじめとするQSA各社と連携していく姿勢だ。
監査の対象となるサーバでは、継続的に強固なセキュリティ環境を維持するための投資が必要であり、さらに、監査のためにサーバへのアクセス状況や堅牢性などについても管理する必要がある。PCI DSSに準拠した企業では、それに向けて定期的にアップデートなどを行う必要があるため、コストが膨大になっているという課題があった。
RSAセキュリティでは、米クレジットカード決済代行大手のFirst Dataでセキュリティトークン化機能を導入。審査の対象範囲の最小化などにより、PCI DSS準拠に関わるコストが、最大で80%削減できたほか、PCI DSS準拠システムにおけるセキュリティを強化した実績があるという。これらの実績をもとに同サービスを日本の顧客に対して提供していく考えだ。
また、「トークン化については、トークンに関するインターフェースを作る必要があるが、トークンはクレジットカード番号の現状のデータ形式を維持するために、データベースのスキーマなどを変えずに済む」という。
PCI DSS準拠支援サービスは、「RSAプロフェッショナルサービス」の4つのサービス基盤である「CSOアドバイザリー」「セキュリティコンサルティング」「セキュリティ・アーキテクチャデザインと構築」「セキュリティオペレーション」のそれぞれと、横断的に関わりながら提供される。「監査対象の掌握と監査範囲の縮小」「ギャップ分析(現状分析)を行った課題の洗い出し、改善計画の策定」「改善計画に基づき、機能要件定義、コストプランニングなどの実装プランニング」「改善計画を実施するために必要なシステム構成/詳細機能設計、導入技術/製品の構成による開発プロジェクトの開始」「開発プロジェクト終了後、ペネトレーションテストやPCI DSS準拠合格スキャンを行い、改善成果を実証」「予備審査を実施し、指摘された改善作業を実施」「定期改善計画の立案、トレーニングを行い、遵守項目の維持や定期スキャン、年次審査対応の運用支援」といったメニューが用意されている。
サービスの価格については個別見積もりとなる。