【ニュースリリース】国内初、NTTデータ先端技術がP2PEアプリケーションのセキュリティ評価機関PA-QSA (P2PE)として認定
~高セキュリティ要件に準拠するカード決済ソリューションの審査・評価を、
国内のみで実施可能に~
Tweet
ニュースリリース - 2017.05.16
NTTデータ先端技術株式会社(本社:東京都中央区、代表取締役社長:三宅 功、以下、NTTデータ先端技術)は、国際セキュリティ基準の開発、維持・管理、および評価機関の認定等を実施する米国の有限責任会社PCI SSC※1(PCI Security Standards Council)より、高度なセキュリティ要件を満たすクレジットカード決済ソリューション(P2PE:Point-to-Point Encryption)の評価機関として、「QSA (P2PE)」※2および「PA-QSA (P2PE)」※3に認定されました。これにより、NTTデータ先端技術はP2PEソリューションプロバイダー、P2PEコンポーネントプロバイダー、およびP2PEアプリケーションを開発するベンダーに対し、インタビューやシステム設定調査等の審査を行うことが可能になりました。
また、これまで国内にP2PEにおけるアプリケーションセキュリティの評価を行う資格を有する評価機関が存在しなかったため、アプリケーションセキュリティは海外に評価を依頼する必要がありましたが、今回NTTデータ先端技術が「PA-QSA (P2PE)」の資格を認定されたことで、国内で迅速に評価を実施することが可能になります。
NTTデータ先端技術は、従前より提供しているクレジットカード決済に関するセキュリティ基準の準拠支援コンサルティングおよび審査サービスの実績とノウハウを生かし、P2PE審査へサービスを拡大することで、クレジットカード決済のセキュリティレベルの向上に寄与することを目指します。
背景と概要
P2PEは、クレジットカード加盟店のPOIデバイス(Point of Interaction:カードからデータを読み取る装置)で読み取ったカード情報を直ちに暗号化し、送信先の安全な復号環境へ到達するまでカード情報を保護する、二拠点間の暗号化方式(図1)です。P2PEで暗号化されたカード情報は、加盟店の従業員はもちろんPOS端末(POSレジが代表的なもの)上でも暗号化されたカード情報を復号して読み取ることができないため、POS端末上で動作し個人情報漏えい等を引き起こすPOSマルウェアなどに対する有力な対策として注目されています。経済産業省がとりまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」では、対面加盟店に対して2020年3月までにカード情報の非保持化、またはPCI DSS準拠を求めており、PCI P2PEは「非保持化と同等/相当のセキュリティ措置」を実現するソリューションとして挙げられています。
図1:P2PE全体像
PCI P2PE要件は、このような暗号化サービスを提供するP2PEソリューションプロバイダー、POIデバイス内のP2PEアプリケーションを開発するアプリケーションベンダー、および一部のP2PE関連業務をソリューションプロバイダーへ提供するコンポーネントプロバイダー向けのセキュリティ要件です。
要件は、6つのドメイン(表1)で構成されており、このうちドメイン2「アプリケーションセキュリティ」の評価を行うには「PA-QSA (P2PE)」の資格が必要となります。これまで国内にはこの資格を有する評価機関が存在しなかったため、ドメイン2の評価は海外の評価機関に依頼する必要がありました。
表1:PCI P2PEドメインと概要
| ドメイン | 概要 | 受審組織(例) | 評価機関 |
|---|---|---|---|
| ドメイン1: 暗号化デバイスとアプリケーション管理 | PCI認定POIデバイスと内蔵ソフトウェアの安全な管理 | P2PEソリューションプロバイダー P2PEコンポーネントプロバイダー | QSA (P2PE) |
| ドメイン2: アプリケーションセキュリティ | PCI認定POIデバイスへのインストールを目的とした、平文のアカウントデータにアクセスするアプリケーションの安全な開発 | P2PEアプリケーションベンダー | PA-QSA (P2PE) |
| ドメイン3: P2PEソリューション管理 | サードパーティとの関係、インシデント対応、およびP2PE取扱説明書(PIM)を含む、ソリューションプロバイダーが提供するP2PEソリューションの全体管理 | P2PEソリューションプロバイダー P2PEコンポーネントプロバイダー | QSA (P2PE) |
| ドメイン4: 加盟店管理のソリューション | 加盟店の暗号化環境と復号環境の間で職務と機能を分離する | 加盟店(加盟店がP2PEソリューションを運営する場合のみ) | QSA (P2PE) |
| ドメイン5: 復号環境 | 暗号化されたアカウントデータを受け取り復号する環境の安全な管理 | P2PEソリューションプロバイダー P2PEコンポーネントプロバイダー | QSA (P2PE) |
| ドメイン6: P2PE暗号化キー管理およびデバイス管理 | アカウントデータを暗号化するPOIデバイスと復号するHSMのキー管理運用を確立し管理する | P2PEソリューションプロバイダー P2PEコンポーネントプロバイダー | QSA (P2PE) |
認定について
NTTデータ先端技術は、2017年3月24日に「QSA (P2PE)」および「PA-QSA(P2PE)」の資格を認定され評価機関として登録されました。「QSA (P2PE)」に加えて「PA-QSA (P2PE)」に認定されたことで、表1に記載されている全ドメインの評価を国内で迅速に実施することが可能になります。NTTデータ先端技術は、従前より提供しているクレジットカード決済に関するセキュリティ基準の準拠支援コンサルティングおよび審査サービスの実績とノウハウを生かし、P2PE審査へサービスを拡大することで、クレジットカード決済のセキュリティレベルの向上に寄与することを目指します。
関連情報
- PCI DSSトータルサービス
http://www.intellilink.co.jp/business/security/consulting_09 - PCI訪問調査サービス
http://www.intellilink.co.jp/business/security/diagnose_02 - PCI DSS徹底解説(コラム)
http://www.intellilink.co.jp/column/pcidss.html
- *1 : PCI SSC…国際ペイメントブランド会社5社(VISA、MasterCard、JCB、American Express、Discover)が設立した、PCI DSSなどの国際セキュリティ基準の開発、維持・管理、および評価機関の認定・品質管理を実施する米国の有限責任会社(LLC)。
- *2 : PCI SSCからトレーニングを受け認定されたセキュリティ評価機関。P2PEソリューションプロバイダーやP2PEコンポーネントプロバイダーに対してインタビュー、ドキュメント調査、システム設定調査などの審査を正式に行うことができる。
- *3 : PCI SSCからトレーニングを受け認定されたセキュリティ評価機関。P2PEソリューションで使用されるP2PEアプリケーションを開発するベンダーに対してインタビュー、ドキュメント調査、システム設定調査などの審査を正式に行うことができる。
- *その他の商品名、会社名、団体名は、各社の商標または登録商標です。
本件に関するお問い合わせ先
報道関係のお問い合わせ先
NTTデータ先端技術株式会社
営業推進部 営業推進担当 広報グループ
齋藤
Tel:03-5843-6860
製品・サービスに関するお問い合わせ先
NTTデータ先端技術株式会社
セキュリティ事業部 セキュリティコンサルティング担当
池谷、羽生
Tel:03-5859-5428
Tweet