山崎 文明/ビジネスアシュアランス 社長

 前回解説したP2PEやE2EEは、従来の暗号化の延長線上にある技術だ。そのため、利点や欠点も従来の暗号化の特徴を引き継ぐ。利点は元に戻せる(復号できる)ことだ。一方、プロセッサに負担をかけることや暗号鍵が不正利用されると効力を失うこと、暗号化でデータサイズやデータ形式が変わることなどが欠点だ。

 こうした暗号化の欠点を踏まえ、新しいデータ保護技術として欧米で注目を集めているのが「トークナイゼーション」である。辞書通りの意味は「トークン(代用券)化する」ということ。セキュリティ対策の文脈では、トークンを「意味のない数列」あるいは「引換券」の意味で使う。クレジットカードのセキュリティ対策基準を発行する団体「PCI SSC」は、トークナイゼーションでクレジットカード情報の保護を大幅に強化できると見ている。

 クレジットカードを例にトークナイゼーションを説明しよう。16桁のクレジットカード番号のうち、上4桁と下4桁を除く中央の8桁を全く異なる数列に置き換える。置き換える8桁の数列をトークンと呼ぶ。トークンは暗号化と異なり、元の数列とは数学的関連性がない。トークン化されたクレジットカード番号は、もはやクレジットカード番号としては意味を持たない(図1)。

図1●トークナイゼーションの導入形態の例
図1●トークナイゼーションの導入形態の例

 トークナイゼーションは、数学的な解析処理がなされて復号化されてしまうようなリスクがない。たとえデータが漏えいしたとしても、データ自体は無意味な数列に過ぎない。ユーザーに被害を及ぼさないし、内部関係者が情報を盗み出す犯行に及ぶインセンティブがなくなる。

 こうした特徴から、クレジットカード業界ではトークナイゼーションの評価が高い。クレジットカードのセキュリティ対策基準「PCI DSS」では、トークナイゼーションを適用したアプリケーションやデータベースは、監査対象から除外できるとしている。米国での先行導入例では、PCI DSSへの準拠コストが大幅に削減できたことが確認されている。

 CSI Annual Meeting 2010では、医療分野などプライバシーデータを扱うシステムへの応用など幅広い分野への活用も提案されていた。

暗号化と情報マスキングの特徴を併せ持つ

 ここでいったん、トークナイゼーションとほかのデータ保護技術をまとめておこう。データ保護技術には、暗号化とトークナイゼーションのほかに「情報マスキング」がある。

 情報マスキングとは、保護すべきデータの一部をアスタリスクなどの文字列に置き換えて判読不可能にする手法のことだ。情報マスキングの一種に「トランケーション」と呼ぶ方法がある。こちらは、保護すべきデータの一部を削除する手法だ。クレジットカードの利用時に店舗から受け取る利用者控えや、クレジットカード会社から郵送される利用明細で目にしたこともあるだろう。

 情報マスキングではデータを元に戻せない。そのため、利用できるシーンが限られる。利用者控えや利用明細は人の目に触れやすいものなので、16桁のクレジットカード番号の一部、例えば下4桁のみを印字する。第三者に盗み見られても、悪用できない状態にできる。

 前述したように、暗号化にも利点と欠点がある。トークナイゼーションは暗号化と情報マスキングの特徴を併せ持つような手法だ(図2)。

図2●主なデータ保護技術の比較
図2●主なデータ保護技術の比較