前の記事 :
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」
次の記事 :
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 後編」
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」では、クレジットカード取引におけるセキュリティ対策の強化の要請及びPOS加盟店における課題等を解説した。今回中編でお話したいのは、PCI DSS準拠に関して先進国であるアメリカを中心に、有効な方法として評価されている「PCI Point-to-Point Encryption(P2PE)」という基準である。
■PCI Point-to-Point Encryption(P2PE)とその導入効果
この基準は、最初にカードを読み取るカードリーダ端末(デバイス)から復号化ポイント(図3のAPP Server)まで、エンドトゥエンドでカード会員データを暗号化するという考え方である。その上でカードリーダーデバイスから復号化ポイント(図3のAPP Server)までの暗号化はDUKPTという暗号形式を必須としている。この方式は暗号鍵をトランザクション毎に派生させていくため、例えばオーソリのトランザクションの暗号鍵が流出したとしても2件以上の取引データは復号化できないといわれている。現在CCTで採用されている固定鍵方式よりもカードリーダ端末のセキュリティレベルも高い。またカードリーダ端末が仮にPOS端末に接続し、内回り接続(POS端末のネットワークI/Fでカード会員データを伝送)をしたとしてもPOS端末内ではカード会員データを復号化をしない。
PCI P2PEの概略(図3)
さてこのPCI P2PEは、具体的にはPOS加盟店にはどのような導入効果があるのだろうか。まず、従来型のカード会員データの処理はPOS端末にカードリーダが内蔵されているタイプで実施されている。そのため仮にPOS端末のHDDは暗号化されていたとしてもデータ処理の際にはカード会員データはPOS端末上のメモリに平文で展開される。不正な侵入者はそのポイントでカード情報を詐取するといわれ、これが
「RAMスクレーパー」という種類のマルウェア攻撃である。一方でPCI P2PEでは前述の通りPOS端末のメモリ内で平文のカード会員データを扱わない実装が必須となるため、この種の攻撃に備えることができる。
次にPCI DSS準拠及びその運用にかかるコストの大幅な削減効果が期待出来る。通常POS加盟店でPCI DSS準拠コストが最もかかると言われているのがPOS端末やそれに関連するシステムの対応である。EC加盟店はサーバサイドだけで対応すればよいが、POS 加盟店は本部のデータセンター側に加え、店舗側の対応も必要となる。よってPOSレジ数 × 店舗数のPCI DSS準拠対応コストが必要となり、それが膨大な負担につながるといわれている。
通常だとPOS加盟店は約400項目のPCI DSS要件に準拠する必要がある。PCI P2PEソリューションを導入した場合は、それが緩和され自己問診票は
SAQ P2PE となる。その準拠要件は35 項目にまで減るのである。それらの要件さえ達成すればPOS加盟店はPCI DSS準拠が完了する。これがP2PEソリューションを導入するPOS加盟店の最大のメリットである。
POS加盟店の店舗側に適用されるPCI DSS要件 比較(図4)
図4の比較表は、P2PEソリューションを導入した場合と通常に対応した場合のPCI DSS要件の対比を示している。前述のPOS端末にすべてのパッチを適用すること(要件6.2)や無許可な無線LANをすべての店舗で検査すること(要件11.1)などはSAQ P2PEには含まれない。要求される35項目は、伝票などの表示方式や管理、店舗のカードリーダ端末の検査や従業員の教育など実現可能な要件のみに限定される。POS加盟店にもこれなら達成できると言っていただけるであろう。
それではPOS加盟店はどうやったらPCI P2PE ソリューションを利用できるのだろう。PCI P2PE Ver2.0では二つの方法が準備されている。一つ目は、決済代行会社/アクワイアラ/プロセッサなど事業者がPCI P2PEソリューションの認定を受け、その決済やデータ処理サービスをPOS加盟店が利用する方法である。オーソリの際のカード会員データは、P2PEソリューションプロバイダの顧客であるPOS加盟店のPCI PTS認定デバイスで暗号化され、PCI DSS準拠済みの当該事業者内でのみで復号化される。POS加盟店では一切、復号化しない。小〜中規模までのPOS加盟店はこれらのサービスの提供を受けP2PEソリューションを利用するのがリーズナブルな手法であると考える。
二つ目としては、POS加盟店自らがP2PEソリューションの認定を受けるという方法がある。認定されたP2PEソリューションを自らのためにだけに使用し、暗号化ポイントと復号化ポイントが当該加盟店内で完結する形態となる。復号化するデータセンター側のPCI DSS準拠が前提になるため、大規模なPOS 加盟店が対象になるであろう。
後編では、PCI P2PE基準の評価基準や普及における課題について解説したい。
(著:fjコンサルティング 代表取締役CEO 瀬田 陽介)
前の記事 :
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」
次の記事 :
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 後編」
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス