インテル® Mashery™ API ゲートウェイ - Tokenization - Intel

製品概要
インテル ® Mashery ™ API ゲートウェイ
- Tokenization
インテル® Services
インテル ® Mashery™
API ゲートウェイ
- Tokenization
情報のトークン化を実現
製品の特長
インテル ® Mashery™ API ゲートウェイ - Tokenization（Mashery Tokenization）
「PCI DSS に課された一番重要な要件は、
カード情報へのアクセスを制限することで
すが、それは実現が非常に難しい課題でも
は、PCI DSS（Payment Card Industry Data Security Standard）の審査範囲を
縮小するために設計された、ソフトウェア・アプライアンスです。平文の PAN（Primary
Account Number）データ処理をする、エンタープライズ・アプリケーションのトークン化
のためのブローカーとして機能します。Mashery Tokenization は、PAN データをオンプ
あります。」
レミスで保守管理する必要がある場合、または自社の決済システム、データ・ウェアハウ
出典 : Ponemon Institute『PCI DSS Trends 2010:
QSA Insights Report』
（2010 年 3 月）
ジットカード加盟店、インターネット通販業者、および幅広い業種の企業向けに設計され
ス、サプライチェーン・アプリケーションの一部として平文のカード番号の処理を行う、クレ
ています。
Mashery Tokenization には以下の利点があります。
●
PCI DSS 審査範囲の縮小：自社の IT 部門が規定し、厳格に管理を行う、システム、
内部グループ、プロセスに PCI DSS 審査範囲を限定します。例えば支払後処理を行
うアプリケーションおよびデータベースを審査範囲から外し、その他のアプリケーション
やデータベースでは審査範囲を縮小します。これにより、企業全体で内部アプリケー
ションへの審査範囲の拡大を、最小限かつ長期的に抑えることが可能になります。
●
管理の強化：高い安全性とセキュリティーを備えた、安全なソフトウェア・アプライアン
スを利用して、PAN データの処理と管理をオンプレミスで実施できます。
●
柔軟性の向上：ビジネスニーズに最適なトークン化手法を選択できます。広範囲にわ
たるトークン化が必要なプログラムの、管理に伴う問題を回避できます。このソリュー
ションはペイメント・プロセッサー（およびペイメント・アクワイアラー）に依存しないため、
要件の長期的な変化に合わせてペイメント・プロセッサーやアクワイアラーを変更できま
す。
●
導入が容易：決済処理の際のデータフローを変更せずに導入できるため、データ処理
が中断されることはありません。E2E（End to End）暗号などの競合するテクノロジー
に比べ、既存のアプリケーションの変更が最小限で済みます。
●
高性能と堅牢性：高性能な処理が可能なため、文書処理を低レイテンシーで実現で
き、多岐に渡る標準フォーマットに対応が可能です。これにより、重要なビジネス戦略
の立案に専念することができます。
1
インテル® Mashery ™ API ゲートウェイ - Tokenization
インテル® Mashery™
API ゲートウェイ
- Tokenization
3285 2348 2348
#2 トークン化
#1 PAN データ
#3 下流側アプリケーション
PCI DSS 審査範囲内
PCI DSS 審査範囲から除外
図1
販売時点情報管理
（POS）
加盟店のITシステム
ストア・コントローラー
ペイメント・
ゲートウェイ
プロセッサー
ペイメント・アプリケーション
ゲートウェイ・
アプリケーション
小売業向けPOS
プロセッサー・
アプリケーション
PCI DSS 審査範囲内の
内部エンタープライズ・アプリケーション
図2
PCI DSS 審査範囲への対処
クレジットカード情報を扱っている企業は、
PCI DSS 規定の遵守に伴うコストと人的負担
要な方法に替わる、現実的な代替案があり
PCI DSS の「審査範囲」の問題に直面してい
に対処する主な方法の 1 つは、企業内の審
ます。トークン化機能を提供する、アプリケー
間接的にカードデータを扱うコンピューティン
査範囲を縮小する唯一の方法は、機密カード
を導入し、内部システムから機密データを排
なければ、すべての関連するシステムを、PCI
システムだけに限定することです。
ます。ここでの審査範囲とは、直接的または
グ・ネットワークのすべての要素を含みます。
これらのネットワーク・コンポーネントは、PCI
DSS 規定、遵守、評価において特に重視され
ます。データベース、Web サーバー、アプリ
ケーション・サーバーなど、クレジットカード番
査範囲全体を縮小することです。そして、審
情報へのアクセスを制限することです。そうし
DSS 規定で定められた仕様に適合させる必
要があります。いずれの方法でも、クレジット
ドの変更、データベースの暗号化の管理、ア
あります。拡散しやすい PAN データが企業全
ません。これには膨大なコストがかかるうえ、
とやり取りする他のシステムやサーバーも審
などの影響まで生じる可能性もあります。こ
体に広がるにつれて、審査範囲内のシステム
査範囲に組み込まれる可能性が出てきます。
除、PCI DSS 審査範囲を少数の主要な情報
カード情報を安全に扱うために、既存のコー
号を処理するすべての情報システムは、審査
範囲に組み込まれ、評価対象となる可能性が
ション・レベルのセキュリテリー・ゲートウェイ
プリケーションの再設計を行わなければなり
組織構造を変更したり、業務手法を変更する
のような、コストのかかるシステム増強が必
2
インテル® Mashery ™ API ゲートウェイ - Tokenization
インテル ® Mashery™ API ゲートウェイ - Tokenization による PCI データ・セキュリティー基準への対応 1
PCI DSS 要件
PCI DSS 下位要件
安全なネットワーク
• カード会員データを保護するために、ファイアウォールをインストー
ルして構成を維持する
• システムパスワードおよびその他のセキュリティー・パラメーターに
ベンダー提供のデフォルト値を使用しない
カード会員データの
• 保存されたカード会員データを保護する
• オープンな公共ネットワーク経由でカード会員データを伝送する場
合、データを暗号化する
脆弱性管理プログラ
• アンチウイルス・ソフトウェアまたはプログラムを使用し、定期的に
更新する
• 安全性の高いシステムとアプリケーションを開発し、保守する
アプリケーションの安全性を強化し、悪意ある添付ファイルの
• カード会員データへのアクセスを、業務上必要な範囲に制限する
• コンピュータにアクセスできる各ユーザーに一意の ID を割り当てる
• カード会員データへの物理アクセスを制限する
クターによって、クレジットカードのトークン化の物理セキュリ
の構築と維持
保護
ムの維持
強力なアクセス制御
手法の導入
ネットワークの定期的
な監視およびテスト
情報セキュリティー・
ポリシーの維持
• ネットワーク・リソースおよびカード会員データへのすべてのアクセ
スを追跡および監視する
• セキュリティー・システムおよびセキュリティー・プロセスを定期的
にテストする
• すべての担当者の情報セキュリティーに対応するポリシーを維持
する
Mashery Tokenization の機能
完全なアプリケーション・レベルのセキュリティー・プロキシー /
ファイアウォール機能を提供
トークン化によってデータを審査範囲から除外し、PAN データ
をセキュアボールト内で保護する
オンプレミスのウイルス・スキャン・サーバーとの統合により、
脅威を軽減
既存の ID 管理機能と統合し、不正操作を防ぐフォームファ
ティーを強化することで、強固なアクセス制御ポリシーをサ
ポート
トークン化、元データへの復元、トークン管理の認証要求を追
跡、監視、記録する。サーバー障害の発生時には、アラート、
統計情報、レポートを生成する
強化された単一のフォームファクターで、監査可能なセキュリ
ティー・ポリシーを維持し、カード会員保護のための容易な審
査と変更管理を実現
特長と機能の詳細
カテゴリー
説明
トークンの生成
• 疑似乱数またはハードウェア・ベースの乱数生成機能を使用してランダムに生成される、フィールドを維持したトークンをサポート
• 設定可能な有効期限を持つシングルユースまたはマルチユース・トークン
• 設定可能なポリシーを使用して、元の PAN の一部を維持可能
• 一方向 PAN マスキング
• XML、Word（97 ∼ 2003）、Word（2007）、PDF、HTTPフォーム、SOAP API コール、テキスト形式でのトークン置換をサポート
トークン管理
• トークン管理機能用の安全な SOAPまたは REST API
• HTTP ベーシック認証、WS-Security、SAML、X.509 証明書を使用するアプリケーションおよびユーザー向けの強固な認証をサポー
ト
セキュアボールト
• スターター・トークン・ボールトが付属（HSQL データベース）
• Oracle、MySQL、Microsoft などのデータベース・アプリケーションをサポート
• 256ビットAESまたはトリプル DES を使用した PAN 保護
• セキュアボールトへのアクセス用の双方向 SSL 通信
脅威からの防御
• XMLリミットチェック、SQLインジェクション、DTD チェック、XPathインジェクション、禁止された RegEx のスキャン、不正な形式の
XML データによる攻撃、XML ボム攻撃、スキーマ・ポイズニング攻撃
• 適応型のサービス拒否（DoS）攻撃に対する保護と制限
• ICAPプロトコルを使用したウイルス対策
認証および承認
• X.509 証明書、CRL、ユーザー名 / パスワード。LDAPまたは Microsoft* Active Directory*、Kerberos、SAML 1.0/1.1/2.0、
Web SSOクッキーおよび STS 認証情報マッピング、Amazon* クラウドAPI
• CA SiteMinder*、Oracle* Internet Directory、Oracle* Access Manager、IBM* Tivoli* Access Managerとの統合
• Axiomatics* Policy Server および Oracle* Entitlements Server を含む XACML ポリシー決定ポイントとの統合
3
特長と機能の詳細（続き）
カテゴリー
説明
データ・セキュリティー • OASIS WS-Security 1.0/1.1。W3C の XML 暗号化および XML シグネチャー、WS-I BSP 1.0/1.1。SOAP with Attachments
• データ検証、スキーマ検証、WSDL 検証、SOAPフィルタリング
• カスタマイズ可能なデータ・セキュリティーをサポート
プロトコル
サポートする
• HTTP、FTP、JMS、MLLP、Raw TCP、File の各プロトコルをサポート
• 複数の SSL ID、相互認証、SSL v3、TLS v1 のサポート
• SFTP
• カスタマイズ可能なプロトコルのサポート
暗号方式のサポート
• DES、3DES、AES、RSA v1.5、RSA-OAEP、SHA-1、SHA-256 をサポート
サービス調停
• データセンター内またはインターネット上の安全な SOAP、REST、JSON、カスタムサービス調停
• 長時間実行トランザクション用の Open Group の X/Open XAトランザクション標準をサポート
• すべての主要ソフトウェア・ベンダーのミドルウェア・ソリューションとの統合の実績
サービスガバナンス
• セキュリティー、SLA、調停および変換用に高性能ランタイムポリシーを適用
• Software | AG* CentraSite、Oracle、SAP のビジネス・サービス・リポジトリーとの統合
• ルーティング、攻撃シグネチャー、検証、変換の実行時に、稼働を停止せずに動的にポリシーを更新
• サービスとポリシーのきめ細かな監視
• メッセージの制限と順序指定
• サービスの公開および検索用の UDDI v2/v3 の統合
ハードウェア要件
• 4GB の RAM 搭載（8GB 推奨）を搭載したマルチコアのインテル ® Xeon®プロセッサー・ベースのサーバー
管理および監視
• クラスターのサポートにより、複数のアプライアンスをグループとして同時に管理および監視可能
• 事前作成済みのテンプレートを含む、Eclipse ベースのインテル ® サービスおよびポリシー・デザイナー
• コマンドラインによる管理（SNMP）と、HP* OpenView、Microsoft* MOMとの統合
オペレーティング・
• Red Hat* Linux* Advanced Server 5（64ビット）、SUSE* Linux* Enterprise 11 SP1（64ビット）、Solaris* 10、VMware*
ESX
パフォーマンス機能
• マルチコアのインテル ® プロセッサーおよび SSE42 ハードウェア命令セットに最適化された、ワイヤスピードの XML 処理エンジン
• 1ミリ秒以下の低レイテンシー
• 高性能マルチステップ処理
• 大きな XMLドキュメントの処理（1GB 超）
• 暗号処理の高速化：Cavium CN1620*（PCI-Express*）
システム
1. PCI DSS の詳細については、PCI Security Standards Council の Web サイト（http://ja.pcisecuritystandards.org/）を参照
してください。PCI DSS イニシアチブの管理にあたっては、必ず認定セキュリティー評価機関（QSA）または他の PCI DSS コン
プライアンスの専門家にご相談ください。
本資料に掲載されている情報は、インテル製品の概要説明を目的としたものです。本資料は、明示されているか否かにかかわら
ず、また禁反言によるとよらずにかかわらず、いかなる知的財産権のライセンスも許諾するものではありません。製品に付属の
売買契約書『Intel's Terms and Conditions of Sale』に規定されている場合を除き、インテルはいかなる責任を負うものでは
なく、またインテル製品の販売や使用に関する明示または黙示の保証（特定目的への適合性、商品適格性、あらゆる特許権、著作
権、その他知的財産権の非侵害性への保証を含む）に関してもいかなる責任も負いません。インテルによる書面での合意がない
限り、インテル製品は、その欠陥や故障によって人身事故が発生するようなアプリケーションでの使用を想定した設計は行われ
ていません。
インテル製品は、予告なく仕様や説明が変更されることがあります。機能または命令の一覧で「留保」または「未定義」と記され
ているものがありますが、その「機能が存在しない」あるいは「性質が留保付である」という状態を設計の前提にしないでくださ
い。これらの項目は、インテルが将来のために留保しているものです。インテルが将来これらの項目を定義したことにより、衝
突が生じたり互換性が失われたりしても、インテルは一切責任を負いません。この情報は予告なく変更されることがあります。
この情報だけに基づいて設計を最終的なものとしないでください。本資料で説明されている製品には、エラッタと呼ばれる設計
上の不具合が含まれている可能性があり、公表されている仕様とは異なる動作をする場合があります。現在確認済みのエラッタ
については、インテルまでお問い合わせください。最新の仕様をご希望の場合や製品をご注文の場合は、お近くのインテルの営
業所または販売代理店にお問い合わせください。本資料で紹介されている注文番号付きのドキュメントや、インテルのその他の
資料を入手するには、1-800-548-4725（アメリカ合衆国）までご連絡いただくか、http://www.intel.co.jp/ を参照してください。
詳細情報 :
インテル® Mashery™ API 製品情報ページ :
http://www.intel.co.jp/api
導入に関するお問い合わせは、インテルの
営業担当者、
インテル® Mashery™リセラー、
または [email protected] までお問い
合わせください。
©2014 Intel Corporation. 無断での引用、転載を禁じます。
Intel、インテル、Intel ロゴ、Mashery は、アメリカ合衆国および /またはその他の国におけるIntel Corporation の商標です。
* その他の社名、製品名などは、一般に各社の表示、商標または登録商標です。
インテル株式会社
〒100-0005 東京都千代田区丸の内3-1-1
http://www.intel.co.jp/
2014年12月
330824-002JA
JPN/1412/200/SE/SnSBD/KN

Download Report