Insights

2017年4月10日

P2PEによって新しい局面を迎えるクレジットカード決済

NRIセキュアテクノロジーズ株式会社
マネジメントコンサルティング部
セキュリティコンサルタント

須田 直亮(すだ なおあき)

専門:情報セキュリティ全般に関するコンサルティング

欧米ではすでに実用化の段階にあるP2PE

2020年の東京オリンピック・パラリンピックを控え、政府はクレジットカード取引の普及とセキュリティ対策の強化への取り組みを進めています。また、Apple社のiPhone7発売と、日本国内でのApple Payサービス開始のアナウンスを受け、あらためて店舗(対面加盟店)での決済に転機が訪れているのではないかとも言われています。そんななか、PCI SSCの定める PCI P2PE(Point-to-Point Encryption)を実現したソリューションの提供に向けた動きがようやく日本でも始まりつつあります。
P2PEでは、カード会員番号(Primary Account Number=PAN)を、決済端末で読み取ると同時に暗号化し、決済ネットワークに到達するまでの間では、一切平文のPANを扱わないことで安全性を担保するという考え方が取られています。これにより、PANの取扱いに必要となるセキュリティ対策を大幅に簡素化でき、具体的にはPCI DSS基準に準拠するために必要となる規定の項目数が、通常の約400項目から、一気に30項目程度に激減します。このため、北米と欧州を中心にP2PEソリューションを提供するプロバイダはすでに2桁を数え、実際の加盟店での導入も進んでいます。

7月、日本で最初のP2PE QSAが誕生

P2PEは、PANを暗号化する決済端末からそれを復号して決済ネットワークに接続するデータセンター側の機器までの範囲を一つのソリューションとして認定します。クレジットカードの決済ネットワークは地域ごとに分かれているため、例えば北米のソリューションをそのまま国内で利用することは困難です。さらに、P2PEに限らず、PCI DSSにおいても、重視されているのはそれぞれの機器の仕様や設定だけでなく、むしろ運用面、どのようにそれらを管理し、業務を遂行・監査しているかという点です。
一方で、国内ではこれまで、端末管理からデータセンターまでの一貫してサービス提供する企業はありませんでした。これには、P2PEの審査を行うことができる、P2PE QSAがこれまで日本には存在しなかったことも大きな理由の一つです。ようやく今年7月、NRIセキュアが日本で最初のP2PE QSAの認定を受け(8月にはBBSecもサービス開始)、日本でもP2PEソリューションの誕生が期待されています。

P2PEの普及が端末業界の地殻変動のきっかけとなるか

すでに端末メーカーは対応に向けた動きをはじめています。P2PEソリューションでは、決済端末もそれに対応したものに入れ替える必要があるため、いち早くP2PEに対応することでこの需要を取り込むことを目論んだものです。P2PEで決済端末に求められる要件として、PCI PTSという認定を得ていることと、「SRED(Secure Reading and Exchange Data)」という機能を実装していることが求められます。
ただ、ここで課題となる点が一つあります。P2PEでは端末で暗号化されたPANがセンター側で復号され、決済ネットワークに流されます。前述のように、P2PEはセンター側を含めたソリューション全体として認証されるものなので、端末だけでP2PE対応を謳うことはできないのです。このため、端末メーカーを決済ネットワーク事業者との合従連衡が進む可能性があります。一方で、中には端末メーカーがセンターも設置し、自らがソリューションプロバイダになるという動きもあります。

「鍵管理」が規定の半分以上を占める

しかし、ソリューションプロバイダとしてサービスを提供するのは簡単ではありません。P2PEでは、ソリューションの機能以上に、管理・運用面が求められると言っても過言ではないのです。まず、センター側はそもそもPCI DSSに準拠して運用される必要がありますが、それに加えてP2PEに存在するPCI DSSの約400項目に3倍から4倍にわたる項目数のうち、多くが運用面の基準で占められています。実際、P2PEの全項目の半分以上が暗号化に用いる鍵の管理に関する基準なのです。暗号化の技術的な要件は、安全なアルゴリズムを十分な鍵長で用いるということが簡潔に規定されているのですが、この暗号化に利用する鍵をどのように生成、設定、破棄するかという運用面については膨大な規定があります。実際、全項目の半分以上がこの鍵管理に関するものです。キーカストディアンと呼ばれる管理者が複数名集合しないと鍵を生成できないという規定をはじめ、決済端末毎に異なる暗号化用鍵の埋め込みや機器の管理、端末のアップデートや回収方法、どのような施設で保管・管理しなくてはならないか詳細に定められています。

IoTデバイスの管理における基準としての活用も

情報を暗号化して管理・流通させる仕組みにおいて、この鍵の管理方法が文字通り「鍵」となることは論を待ちません。特に、IoT時代をむかえ、大量のデバイスがネットワークに接続される時代においては、それぞれのデバイスに情報の保護やデバイスの認証のための鍵が埋め込まれるようになるでしょう。P2PEにおける決済端末もいわば「IoTデバイス」の一種であり、その管理方法を網羅的かつ詳細に規定したP2PEは、クレジットカード決済以外の分野においても一つの基準となりえるでしょう。特にIoTデバイスの管理のための運用体制を構築し、そのための規定を定める際には非常に重要なリファレンスとして活用されることが期待されます。

お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ
資料請求はこちら