酸素強化水日記

飲み会のクレジットカード

飲み会などでよく"クレジットカードの会計させてくれ"という人がいる。当然、関係ないのだが、そんな人に言いたいのは自分だけ取得しようとする、ということだ。つまり、ポイント目的でクレジットカードを使用することは目に見えないため、小数位を持つということだ。その程度の配慮は欲しい。
IDカードについて知っている場合、発見、自作のIDカード。これで、IDカードは自作可能驚いた。カードの種類も何点かの好みの形態のものを購入すれば良いようだ。個人情報は、誰も心配している。そんな中、発見、自作のIDカードの知人早く教えた。しかし、知人はすでに知っていた。詳細な情報を得ることができます、私に教える必要はなかった。
　クレジットカード業界のセキュリティ標準化団体、PCI SSC（Payment Card Industry Security Standards Council）は10月5日、2つのガイダンス・ペーパーを発表した。ポイントツーポイントの暗号化に関する「Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance」と、米国よりも欧州で普及が進んでいるクレジットカード技術「EMV」に関する「PCI DSS Applicability in an EMV Environment」だ。

▽ポイントツーポイント暗号化

　クレジットカード業界のサービス・プロバイダーと加盟店の間では、カード会員データの保護を強化するために、何らかのポイントツーポイント暗号化を利用することへの関心が高まっている。PCI SSCの新ガイダンス・ペーパー「Initial Roadmap: Point-to-Point Encryption Technology and PCI DSS Compliance（PDF）」（初期ロードマップ：ポイントツーポイント暗号化技術とPCI DSS準拠）の目的は、このテーマに関するPCI SSCの現在の考え方を加盟店が理解するのを手助けすることにある。このペーパーでは、PCI SSCが、カード会員データ環境でポイントツーポイント暗号化をサポートする製品に関連する評価プロセスについて、定義を確立しようとしていることが示されている。

　このロードマップによると、PCI SSCは、「Validation Requirements for Point-to-Point Encryption」（ポイントツーポイント暗号化の検証要件）という仮題が付けられたドキュメントも発表する計画だ。このドキュメントでは、カード会員データの保護に使われるポイントツーポイント暗号化ソリューションを効果的に検証するための要件とプロセスを定義することを目指すという。このドキュメントは来年発表される見込みだと、PCI SSCのゼネラル・マネジャー、ボブ・ラッソ（Bob Russo）氏は語る。

　ポイントツーポイント暗号化については、「明確な定義を行う必要がある」とラッソ氏は述べ、PCI SSCは、ラボベースの製品検証への道筋を定めるとともに、カード会員データのポイントツーポイント暗号化の利用が、組織におけるPCI基準準拠の対象範囲の設定方法にどのように影響するかについて、情報を提供しようと考えていると説明する。

　この対象範囲設定は、PCI基準準拠の取り組みで常に論議を呼んできた問題だ。PCI基準に準拠するには、クレジットカード処理に関連する組織のネットワークとプロセスに何らかの境界を引かなければならないが、それは困難な場合があるからだ。

　クレジットカードでの支払いを受け入れる企業は毎年、PCI DSS（Payment Card Industry Data Security Standards：PCIデータセキュリティ基準）に準拠していることなどを証明しなければならず、ポイントツーポイント暗号化の利用は将来的に、 PCI基準の対象範囲設定に関する考え方の変更につながるかもしれない。

　PCI SSCの今回のガイダンス・ペーカーには、次のように記されている。「ポイントツーポイント暗号化では、カード会員データが暗号化されている場合、暗号文を所有する組織が単独で暗号化プロセスを逆転することができない限りにおいて、伝送中のカード会員データは保護されると想定されている」

　しかし、同ペーパーは、ポイントツーポイント暗号化の利用は、適切な鍵管理システムなど、関連する複雑な技術的ファクターにかかわる新たな問題を呼び起こすとも指摘している。さらに、PCI SSCは、“ベンダー・ロックイン”に関する懸念も示している。

　 PCI SSCのチーフ・スタンダード・アーキテクト、トロイ・リーチ（Troy Leach）氏は、PCI SSCは、「できるだけ技術中立的に」、ポイントツーポイント暗号化のサポート方法を検討することを目指しており、PCI基準準拠の対象範囲と評価に対して、製品がどのような影響を与えうるかを理解することに重点を置いていると話している。

▽EMV

　5日に発表されたもう1つのガイダンス・ペーパー「PCI DSS Applicability in an EMV Environment（PDF）」（EMV環境におけるPCI DSSの適用性）では、EMVという技術が取り上げられている。この技術は米国よりも欧州で広く使われているが、米国でも導入への関心が高まっている。

　リーチ氏は、EMVは、数年前から存在するグローバル・スタンダードであり、カード提示の際の詐欺対策に有効だと説明する。

　しかし、EMVでは、機密情報が平文でやり取りされる。このため、PCI SSCは同ペーパーで、「EMVは、カード会員データと機密認証データの保護を目的としたPCI DSSのすべての要件を、自動的に満たすものではない」との見解を示している。今こそ着手すべきケータリングならここ

　「われわれは基本的に、これらは補完的な技術であり、EMVだけでは不十分だと考えている」（ラッソ氏）

(Ellen Messmer／Network World米国版)

【関連記事】
PCI SSC、暗号化に関するガイダンス・ペーパーなどを発表
【解説】PCI DSSの効能を理解する
PCI SSC、PCI DSSの改訂サイクルを「3年ごと」へと延長
PCI SSC、カード支払装置に関する要件の改訂を発表
PCI DSS改訂版の発行は10月の見込み――同規格策定団体の幹部が明言