POS端末でのクレジットカード情報の取り扱い

前回までのレポートでふれたように、店員とクレジットカード保有者が対面して決済が行われる対面加盟店で、POSシステムを介してカード情報を取り扱う内回り方式(図1参照)を採用している場合、PCI P2PE(Point-to-Point Encryption)と呼ばれるカード情報を暗号化する技術を備えたソリューションを導入することで、「非保持化と同等/相当のセキュリティ措置」を実行したものとみなされ、クレジットカードセキュリティに関する加盟店の負担が軽減される。

図1 対面加盟店での「内回り方式」(参考:「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2018-」)

P2PEでは、加盟店に設置されているカードからデータを読み取る装置(POI(Point of Interaction)デバイス)で読み取ったカード情報を直ちに暗号化し、決済GW等の安全な復号環境へ送達するまでカード情報を復号化しない。暗号でデータを保護する方式がP2PEの技術的なポイントとなる。

POIデバイスには、POIデバイス内のファームウェアに埋め込まれたデータを暗号化するためのSRED(Secure Reading and Exchange of Data)機能が内蔵されており、クレジットカード情報を読み取った時点で直ちに暗号化することが可能となっている。

また、暗号化されたカード情報は、内回り方式で加盟店の店舗内POS端末やPOSサーバを通過する際にも暗号化されており、加盟店の従業員でさえもカード情報を復号して読み取ることはできない仕組みになっている。

POS端末に感染するマルウェア対策

これまでに、海外のみならず国内においても、POS端末に感染するマルウェアが確認されている。

アンチウイルスソフトの利用など対策は進んでいるが、POIデバイスから読み取られたカード情報がPOS端末内を平文の状態で通過あるいは処理されると、メモリスクレイピングと呼ばれるPOS端末内のメモリ上から情報を盗み取る攻撃に対して脆弱となってしまう。

前述したように、P2PEでは、POS端末はカードリーダー等のPOIデバイスで暗号化されたデータを扱う仕組みとなっているため、これらの脆弱性が低減される。そのため、P2PEは、POS端末に感染するマルウェアに対する有効な対策といわれている。

PCI P2PEセキュリティ基準

VISA等の国際ブランド5社が設立したPCI SSC協議会(Payment Card Industry Security Standards Council)は、P2PEに関するセキュリティ基準(Point-to-Point Encryption Requirements and Testing Procedures)を定めている。

基準は、表1に示す6個のドメインから構成されており、例えば、ドメイン1の「暗号化デバイスとアプリケーション管理」では、PCI認定のSRED対応POIデバイスを使用することが、要件の一つとして定められている。また、そのテスト手順についても定められている。

表1 PCI Point-to-Point Encryptionのためのソリューション要件

PCI P2PEで利用されている基本的な技術は、エンドエンドで情報を暗号化して送信する仕組みであり、暗号鍵の管理方法が一番のポイントとなる。そのため、P2PEに関するセキュリティ基準は、運用管理に関する要件が多いのが特徴となっている。特に、暗号鍵の管理に関する検証要件が多く、POIデバイスへの暗号鍵の埋め込みや暗号鍵をリモートでPOIデバイスに配信する際に適用される要件なども定められている。

PCI DSSにおけるNTTデータ先端技術の強み

P2PEソリューションプロバイダー等に対するインタビューやドキュメント調査、システム設定調査等の審査を正式に行うことができる機関を、PCI SSC協議会が認定する制度がある。

表1に示した6つのドメインのうち、特にドメイン2「アプリケーションのセキュリティ」の評価を行うには「PA-QSA (P2PE)」の資格が必要となる。NTTデータ先端技術は、2017年3月、この資格を有する国内初の審査機関となった。さらに、NTTデータ先端技術は、P2PEアプリケーションを開発するベンダーに対する審査を行う「QSA (P2PE)」の資格も有しており、審査機関としても登録されている。

NTTデータ先端技術は、セキュリティコンサルティングや診断、監視、インシデントレスポンス、ソリューション提供等を行う「セキュリティ専門事業組織」をもっている。また、PCI DSSに関しては、「認定審査機関」という顔をもっており、実績も豊富である。PCI DSSのフレームワーク検討段階から監査に関する事業をスタートさせ、「コンサルティング、ソリューション提供、認定審査、維持支援」まで、PCI DSSに関するすべてのプロセスをサポートする体制を整え、多くのお客様にご満足いただいている(図2参照)。

図2 NTTデータ先端技術のPCI DSS事業の強み

<PCI DSSのことなら下記へ>

sec-info@intellilink.co.jp