PCI PIN Security 準拠システムでのクラウドHSMサービス利用について – Part.1: FIPS140-2 レベル3のHSM

はじめに

2020年1月、PCI SSCのPTS PIN Security RequirementsのテクニカルFAQに、クラウド上のHSMに関する以下のFAQ*1が追加されました。その背景には、PCI PIN Security 準拠システムにおけるHSMのクラウド化に関する問い合わせが増加しているためであると考えられます。

英文:
Q 5 January 2020: Can an acquirer use third party hosted HSM services i.e. HSM in the cloud?
A Yes, however the acquirer is responsible for ensuring that all applicable requirements regarding the management of the HSMs are met by the HSM cloud Provider.
和訳:
アクワイアラは、サードパーティがホストするHSMサービス(例:クラウド上のHSM) を使用できますか?
はい、ただし、アクワイアラは、HSMの管理に関する適用可能なすべての要件がHSMクラウドプロバイダーによって満たされていることを確認する責任があります。

クラウド上で決済システムが構築されることが増加しており、クラウド上のHSMサービスは今後の利用拡大が期待されています。本稿では、クラウドサービスのHSMを利用し、PCI PIN Security 準拠システムをクラウド上で実現するために必要なPIN Securityの重要な技術的要件(例:FIPS140-2、Key Block、Dual Controlなど)について、何回かに分けて解説したいと思います。また、実現方法に関しては、AWSおよびAzureを例として説明します。

1. FIPS140-2 レベル3のHSM

今回確認するPIN Security 要件*2は以下の要件1-3です。

英文:
1-3 All hardware security modules (HSMs) shall be either:

  • FIPS140-2 Level 3 or higher certified, or
  • PCI approved.

和訳:
1-3 すべてのハードウェアセキュリティモジュール(HSM) が次のいずれかでなくてはならない:

  • FIPS140-2 レベル 3 以上での認定、または
  • PCI 認定

クラウドサービス上に構築されたPCI PIN Security準拠システムにおいてHSMを利用する場合、クラウドサービスプロバイダが、上記の条件を満たすHSMサービスを提供していることを確認する必要があります。

例えば、AWSが提供するAWS CloudHSM、Azureが提供するAzure Dedicated HSMは、本稿執筆時点(2020年4月)時点で、 FIPS 140-2 レベル 3に準拠しています。

2. 提供されるサービスのFIPS 140-2レベルの違いに注意

クラウドサービスによっては、複数種類のHSMサービスを提供している場合があります。その場合、提供されるサービスのFIPS140-2のレベルに違いがある場合がありますので、クラウド上にPCI PIN Security準拠の環境を構築する時は、 FIPS140-2レベル3を満たすサービスを使用してください。

例えば、AWSでのもう一つのHSMサービスであるAWS KMS(Key Management Service)、Azureでのもう一つのHSMサービスであるAzure Key Vaultは、本稿執筆時点(2020年4月)時点で、 FIPS 140-2 レベル 2に準拠しています。

なお、FIPS 140-2 レベル 3とレベル 2の違いに関して興味ある方は、以下の文書のP12辺りの「Table 1 summarizes the security requirements」をご参照ください。
https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-2.pdf

今回はクラウドサービスで提供されるHSMのFIPS140-2 レベル3に関して説明しました。
次回は技術的要件Key Blockに関して確認していきます。

引用元:

Writer Profile

セキュリティ事業本部 セキュリティコンサルティング事業部
コンサルティングサービス担当 チーフコンサルタント
崔 炳南 Cui Bingnan
(CISSP、CISA、QSA、QSA (P2PE)、QPA)

主にPCI DSS、P2PE、PIN Securityの準拠支援などに従事。日・中・韓・英 言語でコミュニケーション可能。



PCI PIN Security 準拠システムでのクラウドHSMサービス利用について – Part.1: FIPS140-2 レベル3のHSM