PCI P2PE(PCI Point-to-Point Encryption)とは?
国内のPOS加盟店からカード情報流出事件が発生 -POSシステムを狙う新手のサイバー攻撃-
でもご紹介したように、PCI DSSに準拠しているにもかかわらず攻撃に遭ってしまうという事態が起こり得る。
PCI DSS に準拠しているだけでは、このような新手のサイバー攻撃から身を護れないならば、一体どうすればいいのだろうか。そこで、すでに米国で有効な方法として評価されているのが「PCI P2PE」という基準である。この基準は、最初にカードを読み取る POS 端末に付帯するカードリーダーデバイスから決済処理ポイントまで、エンドトゥエンドでカード会員データを暗号化するという考え方をベースにしている(図1)。
図1
この仕組みでは、POS 加盟店内でデータは復号化されない。そのため、POS 端末やストアサーバのメモリから復号化されたカード情報が流出することもなくなるというわけだ。したがって、RAM スクレーパー(※)への対策として非常に有効な手段だと言われている。
※「RAMスクレーパー」とは、コンピューターのRAM内からデータを収集して盗み出すマルウェアの総称。
P2PE ソリューションを加盟店が導入するためには
この P2PE ソリューションを加盟店が導入するためには、いくつかの条件がある。まず一つ目に、暗号を復号化するポイントを提供する P2PE ソリューションプロバイダが必要となる。二つ目に、この P2PE ソリューションプロバイダは、PCI DSS を発行している PCI SSC という組織により認定された P2PE ソリューションと、それに紐付いている認定されたカードリーダによって、加盟店にサービスを提供する必要がある。
これらの点を、もう少し詳しく見ていこう。まず、P2PE ソリューションプロバイダとして認定を得ることができるのは、大きく分けて二つの業種がある。一つは、決済代行会社、アクワイアラ、プロセッサなどの決済や売上処理のサービスを提供する事業者、もう一つは、P2PE ソリューションを使用する POS 加盟店自らが、P2PE ソリューションプロバイダとしての認定する方法である。(例えば、全国展開しているような大型の POS 加盟店が対象になると想定される。)
では次に、P2PE ソリューションについて見ていこう。認定されたカードリーダと、それを組み合わせた暗号化サービスが認定の対象となる。それらのリストは PCI SSC の Web サイトで公開されており、POS 加盟店は複数の選択肢から選んで利用すればよい。
また、PCI SSC は、P2PE アプリケーションの認定も実施している。認定P2PE アプリケーションとは、決済代行事業者や加盟店が P2PE ソリューションプロバイダになることを容易にするために供給されるものである。この認定 P2PE アプリケーションについても、全て認定されたカードリーダと紐付いた状態で PCI SSC の Webサイトにてリスト管理されている。なお、PCI SSC による P2PE に関連した認定スキームを整理したものは図2の通りである。
図2
PCI P2PEの導入効果
P2PEを導入することにより、POS 端末やストアサーバのメモリから復号化されたカード情報が流出することもなくなるだけでなく、PCI P2PE ソリューションを導入することで、もう一つ利点がある。実は、POS 加盟店の PCI DSSへの対応負荷も大きく軽減される。すなわちコストも大きく削減が可能である。
具体的には、認定 P2PEソリューションを加盟店が導入することによって、カード会員データが復号化されない店舗側については、「PCIDSS 自己問診 P2PE 版」を達成することにより準拠対応ができる。この場合、約 400 項目もの要求事項が、たった 35 項目にまで減るのである。しかもこの 35 項目の中には、重大なセキュリティパッチへの1カ月以内の対応や四半期ごとの無線 LAN 検査が含まれていない。
したがって、認定 P2PE ソリューションの導入により POS 加盟店の PCI DSS 準拠対応が一気に現実味のあるものになる(詳細はPCI SSCのWebサイトから「
PCIDSS SAQ and AOC v3.1」をダウンロードして確認いただきたい)。
ただし、オーソリ処理後に P2PEソリューションプロバイダから復号化されたカード会員データを加盟店のデータセンターに戻す場合は、そのデータセンターはフルセットの PCIDSS に準拠する必要がある。POS 加盟店によっては、売上処理の際に復号化された正規のカード会員番号が必要になる場合もあるので注意が必要だ。
PCI P2PEの国内への普及の課題
現時点で、国内での普及にはいくつか課題がある。まず 2016年5月現在、国内でサービス提供をする認定 P2PE ソリューションプロバイダは、まだ存在しない。よって、国内の POS 加盟店が今すぐ利用することができない。
そのため現時点では、大手加盟店自身が、自社内で使用する決済システムに P2PE ソリューションの認定を取る場合、 海外のP2PE QSA から評価を受け、認定を得なければならない。
現在、P2PE ソリューションプロバイダの前提となる認定されたカードリーダについては、すでに PCIPTS 認定(図2)を持つ国内メーカーのものがいくつか存在している。将来的にこれらのカードリーダを中心に国内の決済代行事業者やプロセッサの決済サービスと組み合わせた国産の P2PE ソリューションプロバイダが誕生することを期待したいところである。
もう一つのシナリオとして、すでに世界で非常に大きなシェアをもつインジェニコやベリフォンのリーダデバイスは、多数の P2PE ソリューションと組み合わせて認定された実績を持っている。例えば、国内の決済代行事業者やプロセッサが、それら海外製のカードリーダを利用して P2PE ソリューションプロバイダの認定を取るのが、比較的近道と言えるかもしれない。まずは、一日も早く P2PE ソリューションプロバイダを国内で誕生させるためにも、国内 QSA 各社が PCI P2PEQSA として早期に参入することを期待したい。
上述したように、国内/POS加盟店のPCI DSS対応は非常に課題が多いため、QSA、端末/POSベンダー、カード会社、国際ブランド、行政機関など様々な方の相互協力が不可欠である。米国ではすでに、大手のカジノなど店舗あたりの取引件数が大量な業態でもP2PEの導入が進んでおり、日本でもP2PEの導入は、POS加盟店におけるPCI DSS準拠のための非常に有効な手段といえよう。
(筆者:fjコンサルティング株式会社 瀬田陽介)
関連記事 :
POS加盟店向けクレジットカード会員情報非保持化に関する考察
-クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2016- に伴う更新版
国内のPOS加盟店からカード情報流出事件が発生 -POSシステムを狙う新手のサイバー攻撃-
関連サービス :
Cloud Token for Payment Card