RSAセキュリティは1月19日、企業の情報リスク管理を支援する「RSAプロフェッショナルサービス」のサービスメニューとして、「PCI DSS準拠支援サービス」の提供を開始すると発表した。同サービスの特徴は、トークンを用いてPCI DSSの審査範囲の縮小を提案する点。

PCI DSSとは、クレジットカード情報の保護に特化したセキュリティ標準で、ネットワーク、ソフトウェアデザイン、セキュリティマネジメント、ポリシーなどの基準が要件としてまとめられている。PCI DSSに認定されると、定期的に審査が必要となり、導入に加えて運用も行わなければならない。

同サービスでは、「監査対象の掌握と監査範囲の縮小」、「改善計画の策定」、「実装プランニング」、「システム構成/詳細機能の設計」、「導入技術/製品の構成」、「改善成果の実証」、「運用支援」などを行う。

RSAセキュリティ プロフェッショナルサービス本部 本部長を務めるラスカウスキー・テルミ氏

RSAプロフェッショナルサービスを統括する、プロフェッショナルサービス本部 本部長を務めるラスカウスキー・テルミ氏は、同サービスの特徴として、「機密情報は持たない」、「持つなら徹底的に守る」、「審査範囲は最小限に」の3点を挙げた。

「機密情報は持たない」は、クレジットカード番号(PAN=Primary Account Number)をトークンに置き換えることで実現する。同氏は「トークンは乱数の発生によって生成するため、復号するためのアルゴリズムを有する暗号化よりも強い」と、トークンのアドバンテージを説明した。

PANを意味を持たないトークンに置き換えることでリスクを減じる

PANとデータ形式が同じであるトークンは利用に要するコストと手間を抑えられる

トークンのメリットはこれだけではない。トークンとPANのデータ形式は同じため、利用する際もデータベースのスキーマを変更する必要がない。PANを実際に扱うシステムでのみ、トークンのシステムとデータをやり取りするインタフェースを追加すればよい。「トークンの代わりになるものにハッシュと暗号があるが、これらはPANとデータ形式が異なるため、データベースのスキーマやインタフェースなど、トークンよりも変更する部分が多くなる」と同氏。

「持つなら徹底的に守る」は、PANを暗号化し、暗号鍵とアクセスの管理を徹底することで実現する。この時、同社のRSA Key Managerが利用される。

「審査範囲は最小限に」は、PANをトークンに置き換えることで実現する。例えば、PANを保管する必要がないWebアプリケーションやデータベースは、PANの代わりにトークンを保管することで、審査対象から外すことが可能になる。

PCI DSS準拠支援サービスでPCI DSSの審査対象を縮小するイメージ

同社はPCI DSSの審査機関であるQSAと話し合いを持ちつつ、PCI DSSから、PANに戻す方法を持たないシステム、PANを持たない/転送しないシステムは、審査の対象外と解釈しているという。