RSAセキュリティ マーケティング統括本部本部長 宮園充氏

RSAセキュリティは11月17日、クレジットカードの会員データの保護、PCI DSSの監査対象範囲の縮小と準拠コストの節減を支援するソフトウェア「RSA Data Protection Manager」を12月1日より販売すると発表した。

同製品は、「RSAプロフェッショナル・サービス」で提供してきた「PCI DSS準拠支援サービス」を、暗号化機能との統合は暗号鍵管理との連携といった機能拡張を行い、ソフトウェアとして製品化したもの。サービスと比べて、テンプレートなどがあらかじめパッケージングされているため、導入までの期間を短縮することができる。

初めに、マーケティング統括本部本部長の宮園充氏が同社の製品ポートフォリオにおける同製品の位置付けについて説明した。

同氏は「セキュリティ対策を講じる前に、戦略やポリシーを定義することが重要であり、それらに基づいてコントロールを行っていく。さらに、コントロールがきちんと実施されているかどうかをモニタリングしなければならない」としたうえで、データのコントロールを行うのが同製品であると説明した。

RSAセキュリティ マーケティングプログラム・マネージャー 関真氏

続いて、マーケティングプログラム・マネージャーの関真氏が同製品の詳細を説明した。同氏はまず、データ保護製品に対するニーズとして、「PCI DSSへの対応」、「データ保護」「セキュリティの運用にかかるコストの効率化」があると述べた。「情報漏洩において、最も狙われているのはクレジットカード情報。よって、それを保護するための基準であるPCI DSSへの対応は重要性が増している」

同製品は、「保護」、「コントロール」、「ライフサイクル管理」、「データ集中管理」という4つの機能によってこの3つのニーズにこたえる。

RSA Data Protection Managerの主要機能

データの保護は暗号化とトークナイゼーションの2つの方法で行われる。トークナイゼーションは、データをトークンとして別の文字列(乱数)に置き換えて保存・利用することを可能にする。置き換えたデータは元の機密データと対となっており、元の機密データへの再変換が行える。トークナイゼーションのメリットとしては、「PCI DSSの審査範囲を縮小すること」、「機密データが保存されている場所を極小化して集中管理することでセキュリティを向上すること」がある。

トークナイゼーションがPCI DSSの審査範囲を縮小できる理由は、トークンしか持っていないアプリケーションは審査対象から除くことができるからだ。暗号化したデータを持つアプリケーションはPCI DSSの対象となるため、トークナイゼーションは暗号化に対しPCI DSSの審査範囲の縮小においてアドバンテージがある。

左から、暗号化でクレジットカード番号を保護した場合のPCI DSSの審査範囲、トークナイゼーションでクレジットカード番号を保護した場合のPCI DSSの審査範囲

コントロールはクライアント/アプリケーション単位で行える。これにより、アプリケーションによって、クライアント(実行者)が行う権限を制限することが可能になる。

同製品では、管理サーバによってトークン化されたデータと暗号鍵の生成、無効化、削除といった一連のサイクルを容易に管理することができる。

さらに、データがサーバやストレージに渡る前にアプリケーションレベルでデータを保護するため、機密データの保存場所を最小限に抑えることが実現される。関氏は、「これまで起こった情報漏洩事件を見ると、サーバからデータ漏洩しているケースが圧倒的に多いので、データがサーバに保存される前に保護するメリットは大きい」と説明した。

同製品の価格は、サーバ利用数に応じたサーバ・ライセンス料とクライアント・アプリケーション数に応じたクライアント・ライセンス料を合算したもの。サーバ1台当たりのサーバ・ライセンスは120万円、アプリケーション1個当たりのクライアント・ライセンスは1,200万円から(いずれも税抜)。