「End-to-End Encryption」(E2EE)と「Tokenization」という二つの技術がPCI DSSにおいて効果的である――。ビジネスアシュアランスの山崎文明氏は2010年3月24日、エンドポイントセキュリティとPCI DSSをテーマに日経BPセミナー事業センターが都内で開催した「セキュリティソリューションセミナー」の基調講演に登壇。「PCI DSSから学ぶ次世代セキュリティ」と題して講演した。
E2EEはクラウドサービスの利用においても効果的
2009年、米国で1億件ものカード情報が漏えいしたといわれるHeartland事件が起こった。この事件は二つの問題を提起したと山崎氏は話す。
一つは監査制度(Qualified Security Assessor)が有効に機能していたのかどうかという問題。もう一つは、PCI DSSに新しい要求事項が必要なのではないかという問題である。この2番目の問題は、データ保護の技術として現状の「Point-to-Point Encryption」(P2PE)ではなく、前述したE2EEを採用すべきなのでは、という議論の引き金となった。
PCI DSSには「非コンソール管理アクセスはすべて暗号化する」という要求事項がある。非コンソール管理アクセスとは、ホストや機器に直接コンソールをつないでアクセスするのではなく、Webベースなどでアクセスする方法だ。この場合、SSH、VPN、SSL/TLSなどの技術を使用する。しかし、現状では暗号化はポイント・ツー・ポイントで行われており、VPNで使われている暗号があるポイントで終端し、次のVPNを通すために暗号化する仕組みになっていると、そこに悪意ある第三者が付け入る隙ができてしまう。
これがE2EEであれば、エンド・ツー・エンドでデータが暗号化されているので安全性が高い。PCI DSSの新たな要求事項の必要性がここで惹起されたと山崎氏は話す。また、E2EEはクラウドサービスの利用においても効果的だとしている。
Tokenizationで情報漏えいの被害を最小限にする
次に山崎氏はTokenizationについて説明した。PCI DSSでは暗号鍵の運用ルールを「キー管理手順で、定期的なキーの変更が要求されていることを確認する(少なくとも年1回)」としている。もしデータベースの情報自体を暗号化したシステムであれば、この確認のためにデータベースサービスを一時的に停止しなくてはならない。企業の業態によっては、そのような対応が難しい場合もある。
このようなケースでは、Tokenizationの採用が現実的なアプローチであると山崎氏は話す。Tokenizationは、トークンサーバーを使うことでデータベースサービスに影響が及ばないようにする仕組みだ。バックエンドサーバーの背後にトークンサーバーを配置し、バックエンドサーバーはユーザーから受け取った入力データをトークンサーバーに渡し、トークンサーバーはそのデータに合致したトークン(引換券)を発行する。ユーザーからの入力データ(カード番号など)の代わりにこのトークンをやりとりすることになり、データベースサービスではユーザーからの入力データ(カード番号など)を扱わずに済む。また、鍵を定期的に変更するときでもデータベースサービスを停止しなくてすむ。
これはデータを漏えいした場合でも、鍵交換でIDの再付番が簡単にできることを示している。データベースを暗号化するよりも安価に対応できるうえ、暗号化データを局所管理できる。また、QSA監査対象範囲を大幅に縮小できる。
