BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2015.11.25

トークナイゼイションとは? -POS加盟店向けクレジットカード会員情報非保持化に関する考察 –

  • このエントリーをはてなブックマークに追加

関連サービス:カード情報非保持化を実現するクラウド型のトークンサービス: Cloud Token for Payment Card


経済産業省が主導する「クレジット取引セキュリティ対策協議会」は、2016年2月23日、国際水準のクレジットカード取引のセキュリティ環境を整備することを目的に「 クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 」を取りまとめて発表しました。それに伴う変更、追記を考慮した最新記事はこちらを参照ください。(2016/3/17追記)


一般社団法人日本クレジット協会からの要請とは?



対面/POS加盟店のクレジットカード会員情報非保持化に対する一般社団法人日本クレジット協会(以下JCA)からの要請(【日本におけるクレジットカード情報管理強化に向けた実行計画】外部リンク:PDF)は以下の2つとなる。

1)センシティブ認証データの非保持化
POS加盟店においては具体的に全磁気ストライプやPINの使用後の削除処理が要求されている。国際ブランドからも強い要請があるため、既に大半の加盟店が対応していると予測する。

2)カード会員データの保護
カード会員データ(カード会員番号/有効期限/カード会員名)の保護のために、以下のいずれかの対応が必要である。

選択肢① PCIデータセキュリティ基準(PCI DSS)の準拠
カード会員データの伝送/処理/保存するすべての拠点とシステムに約400項目のセキュリティ対策が要求されている。POS加盟店における拠点については、一般的に店舗とデータセンター、コールセンターなどが対象となる。システムはPOSレジ、店舗サーバ、データセンターにおけるオーソリや売上処理のシステムなどがあり、ポイントシステムと提携カードが連携している場合は、顧客データベースも対象となる。インターネット加盟店など非対面加盟店のPCI DSS準拠の場合と比較し、すべての店舗とそこに設置されるすべてのPOSレジの改修対応が必要となる可能性が高いため、対応費用が大規模なものとなる。よって大半のPOS加盟店が、次の選択肢②を検討したいところであろう。

選択肢② クレジットカード情報の非保持化
非対面/ネット加盟店は、決済代行事業者にクレジットカード情報の保存を含めた業務を委託する形で非保持化を進めてきた。カード情報流出事件の件数自体は2015年度は増加傾向にあるが、カード会員データ非保持の加盟店における流出事件は、1事件あたりの流出取引件数が少ないという傾向がある。

一方でPOS加盟店には現実として、ネット加盟店のような決済代行事業者やプロセッサが加盟店に代わってカード会員データを保存してくれるサービスが国内にない状況である。そのためJCAからPOS加盟店に対する非保持化の要請は、論理的には以下の2つの方法に絞られる。

■ 非保持化に対する対策例

手法A データの部分削除
カード会員データのトランケーション処理
(例):1234 5678 9123 4567 → 1234 56XX XXXX 4567
手法B データのトークン化
(例):1234 5678 9123 4567 → 3496 4758 0154 4567


トランケーション処理をした場合は、売上処理などはバッチ的な対応に活用できる可能性があるが、データ処理会社との連携方法の検討など課題は多い。また提携カードなどでポイント連動している場合には、リアルタイムの正確な処理が必須となるため不向きといえる。

よって、POS加盟店における非保持化の手法は、現在のところデータのトークン化が最も現実的なアプローチといえよう。ただし後述の「オンプレミス型」のトークン化システムの導入を選択した場合は、どうしても正規カード会員データの保存が加盟店の環境内に残ってしまうため、非保持を実現にするためには「クラウド型」のアプローチが必須となる。詳細は後述する。

■2つの選択肢のリスクレベルの違い

前述の選択肢①のPCI DSSの準拠と②の非保持化は、同列で扱われているように見えるが、コントロールのレベルは大きく違う。カード会員データの伝送、処理、保存のすべてのプロセスを保護するPCI DSS準拠に対して、保存プロセスのみに対するコントロールでは、リスクの低減度合いは明らかに違うはずである。ただし、最初からPOS加盟店が、PCI DSS準拠に大きなコストをかけるよりも、非保持化を推進するという選択肢を与える行政指針については実効性が高いと考える。

実際にこの実行計画に基づいて、ネット加盟店の分野では、決済代行事業を活用した非保持が急速に推進された。前述の通り結果として1事件あたりの流出取引件数の減少に寄与したといえる。

ただし国内の行政基準のクリアは果たせたとしても、カード会員データの伝送、処理プロセスにリスクが残ることについては十分に認識しなければならない。米Taget 社で発生した、POSレジに不正なウィルスを常駐させカード会員データが伝送/処理されるプロセスで外部に流出するような事案は、非保持化の施策だけでは防げない。


トークナイゼーションとは?

一般にカード会員データのトークン化(トークナイゼイション)とは、カード会員番号(PAN)がトークンと呼ばれる番号に置き換えられる手法である。PCISSCが発行する『Information Supplement:PCI DSS Tokenization Guidelines』(外部リンク:PDF)によると、トークナイゼイションのセキュリティは、置き換わった値からは元のPANを導き出す可能性は極めて低いという考えのもとに成り立っていることから、トークン化した値はPANと同じセキュリティレベルでの取り扱いの必要がないとしている。

■カード会員データのトークナイゼイションの仕組み

カード会員データのトークナイゼイションのデータフローの概略は以下の通りである。
トークン化の仕組み

■トークナイゼイションのフォーマット(イメージ)

カード会員データのトークンフォーマットの例は以下の通りである。
トークンフォーマット(イメージ)

■トークナイゼイション導入の効果は?

カード会員データ環境におけるトークナイゼイション導入の最大の効果は、PCI DSSの対象範囲を大幅に削減することである。ただし正規データとトークン化したデータをひも付けて保管するVaultといわれるトークンDBには、復号処理が伴うため、どうしても正規のカード会員データが残るが、それ以外のトークン化されたデータを取り扱うアプリケーション、サーバ、ネットワークなどは、PCI DSSの対象範囲から除外することが可能である。


トークナイゼーション導入の方法論①:オンプレミス型

トークナイゼイション導入にはオンプレミス型とクラウド型の2つの方法がある。

オンプレミス型では、一般的に下記の手順で進めていく。(ベンダー例:SafeNet社)

①HSM/トークンマネージャ/トークンDBのセットを冗長構成で導入
②トークンマネージャ及びトークンDB用にIAサーバを導入
③アプリケーションからのトークマネージャのAPIを呼び出すように各所のプログラムを修正
(例)オーソリ処理アプリケーション、売上処理アプリケーション、ポイント管理アプリケーション

オンプレミスであるため、

・初期導入の際にはハードウェアやソフトウェアの投資を伴う。
・保守サービスが必須
・自社によるシステム運用が必要

となる。

最大のポイントは、復号処理のためカード会員データの保存業務(Token DB)が最終的に社内に残ってしまうことである。前述の通り、正規のカード会員データとトークン化されたデータをひも付けるトークンDBを最小でも1台配置する必要がある。よってオンプレミス型のトークナイゼイションでは、カード会員データの非保持化は達成できないという結論となる。


結論として、POS加盟店がトークナイゼイションによりカード会員データの非保持化するためには、クラウド型での導入が必須になる。


トークナイゼーション導入の方法論②:クラウド型

クラウド型では以下の通りの手順で導入が進む。ベンダー例:リンク社Cloud Token for Payment Card)

①同クラウドサービスの申込み
②アプリケーションからのトークマネージャのAPIを呼び出すように各所のプログラム修正
(例)オーソリ処理アプリケーション、売上処理アプリケーション、ポイント管理アプリケーション

②のアプリケーション改修はオンプレミス型でもクラウド型でも同様に必要である。

クラウド型であるため

・ハードウェア、ソフトウェアの投資が不要
・使用料に応じた従量料金で支払
・システム保守や運用はアウトソーシングが可能

となる。

そしてオンプレミ型の最大の懸念である、最終的に残ってしまったカード会員データの保存業務(Token DB)を、クラウド型では自社環境外に配置することが可能である。トークン化されたデータを正規データに戻す場合は、クラウドサービスにリクエストする形で行う。


よってクラウド型を導入すれば、POS加盟店でも自社環境内にカード会員データの保存業務を完全に取り除くことが実現できる。


クラウド型(イメージ)
クラウド導入時のイメージ


カード会員データ非保持化を達成した後の施策は?

POS加盟店がクラウド型のトークナイゼイションを導入した場合、仮に不正アクセスを受けても正規のカード会員データが保存されたデータベースが社内システムにないので大規模に流出するリスクは軽減されるといえる。ご承知の通りトークン化されたデータは、流出しても不正に利用することはできない。

ただし規模は小さくても流出事件が一旦起きれば、その加盟店の評判は落ち、一般消費者からの足は遠のくだろう。また前述の通り、米国の多くの加盟店でPOSレジの不正なウィルスが常駐し、カード会員データの伝送、処理の過程で外部に送信するという大規模な被害が出ている。繰り返しになるがこれらの事案は、非保持化しても防ぐことはできない。国内では、まだ被害が報告された事例はないが、米国全体で約1億件のカード会員データが流出しているともいわれている。今後日本でも同様の手口が出てくることが予想されるため、POSレジ自体に対する対策が必要である。


次回は、米国で猛威を振るっているPOSシステムへの攻撃手口について詳細を論じたい。

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加