MONETは2012年1月17日、電子商取引サイトなどに向け、クレジットカード番号を乱数に置き換える“トークナイゼーション(トークン化)”を実現するセキュリティ製品「Protegrity Token Server」を出荷した。特徴は、独自の仕組みで高速に動作すること。価格はオープンだが、想定価格(税別)は1200万円から(鍵管理サーバーとのセットで2050万円から)。開発会社は米Protegrity。
Protegrity Token Serverは、クレジットカード番号などの重要なデータが漏えいするリスクを、データのトークン化(同様のフォーマットを持つ乱数による置き換え)によって軽減するサーバー製品である。クレジットカード番号であれば、16桁のランダムな数字に置き換える。電子商取引サイトのWebシステムやデータベースに保存するクレジットカード番号を、意味のない乱数に置き換えることで、これらの業務システムからクレジットカード番号が漏えいすることを防止する。またこれにより、PCI DSSの準拠認定を受けやすくなる。
システム構成上、Protegrity Token Serverは、オリジナルデータとトークンをひも付ける相互変換テーブルを管理するサーバー機能を提供する。機能は仮想アプライアンスとして実装してあり、各種のサーバー仮想化ソフトの上で動作する。これとは別に、別システムとして同社の鍵管理サーバー「ESA」が必要になる。トークンを保管/利用する業務システムからは、必要に応じてProtegrity Token Serverに問い合わせ、クレジットカード番号をトークンに変換したり、トークンをクレジットカード番号に変換したりする。
Protegrity Token Serverへの問い合わせ方法は二つある。一つは、業務システムを改修して組み込むためのAPIライブラリ(C/C++およびJava)を使用する方法。バイナリー形式で提供されており、Windows、Linux、AIX、Solaris、HP-UXの各環境で利用できる。もう一つは、業務システムがアクセスするDBMS側で動作する専用プログラムモジュールを使用する方法。Oracle Database、DB2、SQL Server、Informix、Teradataの各DBMSで利用できる。DBMS側のモジュールを使う場合は、業務システム側の改修は必要ない。
Protegrity Token Serverを他社製品と比較した場合の特徴は、クレジットカード番号をトークンに変換する問い合わせのたびに乱数を動的に生成するのではなく、最初から静的な変換テーブルを用意しておき、この変換テーブルを用いてクレジットカード番号とトークンを相互変換する点だ。これにより、通常のPCサーバーで1秒当たり20万個のトークンを生成できるという。静的なテーブルを使うことから、複数台のProtegrity Token Serverに負荷を分散する場合も、変換テーブル同士を同期させる必要がないことも特徴だとしている。
