banner

保存したクレジットカード会員データを保護する方法はありますか?(PCI DSS要件3)

保存したクレジットカード会員データを保護する方法はありますか?(PCI DSS要件3)

 

PCI DSSでは、保存しているカード会員データを保護することが求められます。この基準では、暗号化、トークン化、トランケーション、マスキング、ハッシュ化など、カード会員データを保護する適切な方法の例が示されています。このような保護方法を1つまたは複数活用することで、データが盗まれたとしても事実上使用できないようにすることができます。

保存しているデータを保護するうえで、「すべてに適用できるソリューション」は存在しません。PCI DSS要件3については、攻撃者ができるだけ攻撃しにくいようにするために実装すべき最低限のセキュリティレベルだと考えるべきです。

データ保管ルールを把握する

データが保存されている場所をすべて知っておく必要があります(データフットプリントを最小限に抑えることにつながります)。要件3では、保存できるデータと保存できないデータについても示されています。この要件に関する最良のアドバイスは「不要なデータは保存しないこと」です。

保存したデータを判読不能にする

PCI DSS基準では、プライマリアカウント番号(PAN)を保存している場所がどこであっても、この番号を判読不能にすることが求められています。保存場所としては、ポータブルストレージメディアやバックアップデバイスはもちろん、見落とされがちですが監査ログなども対象になります。PCI Security Standards Council(PCI SSC)は「判読不能」という表現を意図的に使用しており、これにより、特定のテクノロジーを強制することを避け、将来においてもこの要件の妥当性が維持されるようにしています。ただし、要件3.4ではいくつかの選択肢が提示されています。

  • 一方向ハッシュ:強力な暗号化に基づいて、PAN全体をハッシュ化します。
  • トランケーション:PANの一部分のみを保存します(先頭の6桁および末尾の4桁以外は含まない)。
  • トークン化:PANそのものではなく、PANに代わるものを保存します。
  • 強力な暗号化:鍵管理プロセスとセキュリティ手順で補強します。

鍵を安全に管理する

保存したデータを判読不能にするためにどの方法を使用するとしても、関連の暗号化鍵を保護することが必要になります。強力な暗号化を採用しても、鍵管理プロセスが脆弱であれば意味がありません。PCI DSSでは、鍵の管理に関して詳細なガイダンスが示されています。その内容は、銀行や各種金融機関が暗号化鍵を保護するうえで必要とする仕組みとほぼ同じです。また、追加の要件として、各種の鍵を実装、管理する方法について、鍵のライフサイクル全体を通して完全に文書化することが求められています。

組織が鍵の管理に成功するかどうかは、優れた暗号化鍵管理者がいるかどうか、つまり、システムに対する攻撃に決して共謀することのない信頼できるスタッフがいるかどうかにかかっています。鍵管理者になる人は、鍵管理者としての責任を理解して受け入れることを正式に承諾する必要があります。

また、保存しているカード会員データを保護するためのセキュリティポリシーと運用手順を文書化して使用し、組織内の全関係者に周知させる必要があります。

強力な鍵管理の重要性を過小評価しないようにしてください。近道はありません。認定審査機関(QSA)によって問題点が見つかった場合、攻撃者もその問題点に気づいている可能性があります。

PANを表示する前にマスキングする

PCI DSSでは、PANの表示に関して、非常に具体的なアドバイスがいくつか示されています。たとえば、ビジネス上の理由から表示を必要とするユーザーに対してのみ、すべての数字(通常は16桁)を表示するようにします。それ以外の場合は常に、PANの先頭6桁および末尾4桁以外を表示しないようにマスキングする必要があります。

関連記事

  • CipherTrust Transparent Encryption (CTE:透過的暗号)
    タレスのCipherTrust Transparent Encryption (通称CTE)は、オンプレミス、マルチクラウド、ビッグデータ内、コンテナ環境のどこに機密データが保管されていても透過的に暗号化し、一元的な暗号鍵管理と特権ユーザーアクセス制御により保護します。高いパフォーマンスとダウンタイム無しで暗号化するライブデータトランザクションオプションにより、あらゆる環境の機密データ保護を容易に展開できます。
  • CipherTrust Tokenization(トークン化)
    タレスのCipherTrust Tokenization(トークン化)は、セキュリティポリシーとPCI DSSなどの規制要件に準拠するために必要なコストと労力を大幅に削減すると同時に、個人識別情報(PII)を含むその他の機密データを簡単に保護することができます。ボルト型、ボルトレス型のどちらのアーキテクチャもサポートしており、データセンター、ビッグデータ環境、クラウド環境で使用することができます。
  • 統合暗号・暗号鍵管理プラットフォーム (CipherTrust Data Security Platform)
    クラウドやデータベース、ストレージ、サーバーなど様々な場所に散財する機密情報の暗号化を統合管理するプラットフォームです。その核となる暗号鍵管理アプライアンス(CipherTrust Manager)はFIPS140-2に準拠した、仮想アプライアンスと物理アプライアンスで暗号化、トークン化の暗号鍵を保管管理します。
  • タレスデータセキュリティポートフォリオ
    タレスは、クラウド、オンプレミスを含むあらゆるハイブリッドIT環境における機密データを、検出・保護・制御の一連のサイクルによって保護します。データそのものを暗号化やトークン化によって秘匿化するため、例えデータ流出やハッキングが行われても、情報の価値は保護されます。