キャッシュレス決済の普及にあわせて、決済手段の1つであるクレジットカードの利用額と発行枚数は年々増加しており、クレジットカード向けのセキュリティ対策はますます重要になっています。クレジットカードを安全に利用するためには、店舗やECサイトのセキュリティ対策が重要であることは当然のことながら、前提としてクレジットカード自体が安全に製造されて所有者の手元に届いていることが必須の条件であり、そのためのセキュリティ対策が重要であることは疑いようがありません。
2018年6月に施行された改正割賦販売法により、クレジットカードを取り扱う事業者向けのセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard[1])は広く知られるようになりましたが、一方でクレジットカードを製造する事業者向けのセキュリティ基準であるPCI CP(PCI Card Production and Provisioning[2])はご存じない方が多いかもしれません。そこで、本記事では、国内初のPCI CPの認定審査機関であるNRIセキュアが、クレジットカード製造事業者やモバイルプロビジョニング(カード会員情報をモバイル端末に追加するプロセス)を行う事業者に求められるセキュリティ基準である『PCI CP』について解説します。
[1] カード会員データを安全に取り扱う事を目的として、クレジットカードの取り扱いを行う事業者向けにPCI SSC(PCI Security Standards Council)によって策定されたセキュリティ基準。
[2] PCI SSC(PCI Security Standards Council)によって策定されたクレジットカード等の製造事業者およびモバイルプロビジョニングを行う事業者向けのセキュリティ基準。
PCI CPとは?
PCI CPは、国際ペイメントブランド5社によって設立された団体「PCI SSC[3]」により策定された、国際的なセキュリティ基準の1つです。本基準は、クレジットカードを製造する事業者とクレジットカードをモバイル端末にプロビジョニングする事業者を対象としています。
クレジットカードの製造とは、物理カードの製造、磁気ストライプのエンコーディングとエンボス加工、ICチップの初期化や埋め込み、クレジットカードの保管、梱包、配送等を行うプロセスを指しています。モバイルプロビジョニングは、カード会員情報をモバイル端末に追加するプロセスであり、Apple Payや Google Payといった形で利用されています。
これらの工程で扱う情報は、クレジットカード所有者の個人情報(氏名・住所)やクレジットカード番号、機密認証データ等、攻撃者にとっては非常に価値の高い情報であり、安全に保護することが重要です。
従来、これらの事業者に対するセキュリティ評価および認定は、国際ペイメントブランド毎に独自に行われていましたが、2013年に行われた「PCI Card Production」と呼ばれる共通の基準の策定と2019年のCard Production Security Assessor(CPSA)と呼ばれる審査機関認定プログラムの開始により、統一されたセキュリティ基準のもと認定機関による評価が行われるようになりました。
PCI SSCによって策定された最も有名な基準としてPCI DSSがありますが、PCI DSSはカード会員データ(CHD)とセンシティブ認証データ(SAD)の保護を目的にしているのに対し、PCI CPはCHD、SAD、カード会員の住所情報、MSISDN(SIMに付与された電話番号)、各種暗号化鍵等の保護を目的にしています。以下にPCI DSSとPCI CPの基準の違いを記載します。
<表1:PCI DSSとPCI CPの基準の違い>
PCI CPではPCI CP Logicalと呼ばれる、システムやデータに関するセキュリティ対策が網羅された論理要件と、PCI CP Physicalと呼ばれる施設や製造工程のセキュリティ対策が網羅された物理要件で構成されており、PCI CPの認定を取得するには、両方の要件を満たすことが必要です。
また、PCI CPでは、個人情報(氏名、住所)やクレジットカード番号、PIN等の機微な情報に加え、製造中/完成したクレジットカードの保護やクレジットカードを製造するための素材も保護対象となることから、PCI DSSと比べて満たすべきセキュリティ要件が多くなっています。
[3] PCI Security Standards Councilの略称。国際ペイメントブランド会社5社(American Express、Discover、JCB、MasterCard、VISA)が設立した、クレジットカードのセキュリティ基準の開発、管理、教育、および周知を実施する有限責任会社のこと。
カード製造とモバイルプロビジョニング
PCI CPの要件の詳細を説明する前に、クレジットカード製造とモバイルプロビジョニングの工程について説明します。クレジットカードの製造とモバイルプロビジョニングは下表にて記載した通り、主に7つの工程から成り立っています。全ての工程を1事業体で実施する必要はないため、どの工程を実施するかは事業体のサービス提供内容により異なります。
ただし、1工程でも実施している事業体は、PCI CPの準拠対象となる可能性があるため、PCI CPへの準拠の必要性の有無について各国際ペイメントブランドへの確認が必要となります。
<表2:製造工程>
最初にクレジットカードの製造工程について説明します。クレジットカードの製造工程を図示した例が下図になります。なお、本図は海外を含む一般的な例であり、日本のクレジットカード製造環境と必ずしも合致しない可能性があることは留意してください。
<図1:クレジットカード製造の流れ>
クレジットカードの製造はクレジットカードの券面のデザインの検討から始まります。券面のデザインは各国際ペイメントブランドの承認が必要であり、デザインそのものが機密情報として扱われます。国際ペイメントブランドの承認を得た後は、ベースとなる素材から物理カードの生成を行います。
通常、Card manufacturingの工程で生成される物理カードは決済機能を保持していないため、決済に利用するためのアプリケーションをICチップにロードすることでクレジットカードとなります。この工程を、Pre-personalization(EMV)と呼びます。なお、Pre-personalization(EMV)の時点では、クレジットカードの所有者情報は書き込まれていません。
クレジットカードに書き込む所有者の情報は、イシュアより暗号化された状態で受け取ります。イシュアより提供された情報は復号後に、Personalizationを行うマシン用にデータが加工されて、クレジットカードへ書き込まれます。この際に、エンボス加工と呼ばれる、氏名やカード会員番号を刻印する工程が行われることもあります。製造後のクレジットカードは配送されるまで金庫室で安全に保管されたのち、厳重に梱包された上で配送され、カード所有者へと安全に届けられます。
次に、モバイルプロビジョニングについてです。モバイル端末での決済を行うためには、端末へのクレジットカードの登録が必要ですが、そのためには登録時にEMVCo[4]の仕様に従ったトークンと、プロビジョニング用のデータをモバイル端末のアプリケーションへ連携する必要があり、モバイルプロビジョニング事業者はその一翼を担います。
モバイルプロビジョニングについては、複数のプロビジョニングの方式があり、その実現にはデバイスメーカーやイシュア、MNO[5]等、複数の組織の関与が必要となることがあるため実装方法は多岐にわたります。このような背景から、モバイルプロビジョニングの一部に関与しているからと言って必ずしもPCI CPの準拠への対応が必要になるとは限りません。したがって、モバイルプロビジョニングに関わる事業者は、PCI CPへの準拠の必要性について各国際ペイメントブランドに確認することが重要となってきます。
[4] 接触・非接触決済、3Dセキュア、トークナイゼーション等クレジットカードをベースとした決済の仕様を策定する団体であり、団体を創設したEuropay、Mastercard、Visaの頭文字からとって名付けられた。
[5] Mobile Network Operatorの略。携帯電話などの移動体通信機器で使われる通信回線網を自社で設置、運用する事業者のこと。
PCI CPの構成
ここからPCI CPの要件の「特長」を解説していきます。以下に各要件の大項目と概要について記載します。
<表3:PCI CP Logical>
<表4:PCI CP Physical>
PCI CPの特長その1:施設における不正対策
1点目の特長として、施設における徹底した外部攻撃・内部不正対策があげられます。前項で述べたクレジットカード製造およびモバイルプロビジョニングを行う施設では、外部攻撃対策として、ドアにはマントラップ、監視カメラ、照明、侵入検知アラーム、窓には鉄格子、防犯ガラス、開閉を検知するアラーム、外壁にはプレキャストコンクリートの利用等が求められています。また、施設以外にも、施設周辺環境(木やごみ箱、フェンスの設置等)、施設の電源・空調設備にも順守すべきセキュリティ要件が設定されています。
加えて、内部不正対策として、監視カメラの設置および警備員による監視カメラのモニタリングのほかに、部屋へ入室する際は2人以上の入室がないと警報がなる仕組み(デュアルプレゼンス)や、全ての作業を2人以上で行うことを求める要件が定められており、機密情報や媒体の持ち出し、および改ざん等の不正が行えない仕組みとなっています。
ここで、最もセキュリティが厳しい金庫室の例をあげます。下記の例を確認いただくことで、クレジットカード製造事業者が、いかに安全にクレジットカードを保護しているかを確認することできるかと思います。なお、下記の例は金庫室の全ての要件を記載しているわけではないことに留意してください。
<表5:金庫室で求められる要件の一部を抜粋>
PCI CPの特長その2:データを守るための鍵管理策
2点目の特長として、HSM[6]の利用と知識分割[7]・デュアルコントール[8]を前提とした厳密な鍵管理があげられます。前項で述べたクレジットカード製造およびモバイルプロビジョニングを行う施設やシステムでは、イシュアやICチップメーカ等から取得した鍵を適切に管理する必要があります。
下表はカード製造事業者が保持する鍵の例です。一般的に、クレジットカード製造事業者は複数のイシュアのクレジットカード製造を担うことになるため、イシュアが増えることで保持する鍵の種類は増えていきます。これら全ての鍵を安全に保護し適切に運用していくことが重要となってきます。
<表6:カード製造事業者が保持する鍵の例>
PCI CPでは、全ての鍵の管理活動【生成・輸送・導入・利用・保管・廃棄】について、FIPS140-2[9]レベル3以上またはPCI認定済みのHSMを利用することが求められています。加えて、その運用には知識分割とデュアルコントロールをベースとしたリスク管理手法を用いることが定められており、内部不正対策が徹底されています。
尚、より詳しく鍵管理とその重要性について知りたい方は、以下に当社コンサルタントによる詳細な解説がありますので、こちらをご参照ください。
NRIジャーナル:デジタル時代の情報セキュリティを支える「暗号鍵管理」とは
[6] Hardware Security Moduleの略。暗号鍵を安全に管理することが可能であり外部から暗号鍵を盗めない機器のこと。
[7] ある情報を個々には意味を成さないコンポーネント(要素)に分け、複数の担当者がその要素を別々に保持する手法のこと。
[8] 単独ではアクセス・利用できないよう、複数の要素(通常は人)を必要とするリスク管理手法のこと。
[9] Federal Information Processing Standardの略。アメリカ国立標準技術研究所(NIST)にて発行されている暗号モジュールのためのセキュリティ要求のこと。
おわりに
本記事では、キャッシュレス決済を陰で支えているクレジットカード製造およびモバイルプロビジョニング事業者向けのセキュリティ基準である、PCI CPの概要および特長について解説しました。クレジットカード製造事業者やモバイルプロビジョニング事業者が、いかに安全に情報を守っているかを理解いただけましたでしょうか。
NRIセキュアは、国内初のCPSAとして、カード製造およびモバイルプロビジョニングを行う事業者への審査資格を有しています。今まで培ってきた、PCI DSSやPCI 3DS、P2PE、PCI TSP等の豊富な監査実績と決済セキュリティに関する知見を生かして、事業者のPCI CPへの準拠のご支援が可能です。PCI CPへの準拠を検討されている事業者の方は、当社まで是非お問い合わせください。
■関連情報
NRIセキュア、クレジットカード製造におけるセキュリティ基準「PCI CP」の準拠支援および審査サービスを提供開始