PCI DSS対応 データ暗号化&トークナイゼーションソリューション KeySecure
重要な機密データを暗号化機能・製品を使って暗号化していますか?
Firewall等のネットワーク境界線が破られた場合、データ漏洩をどう防ぎますか?
Gemalto SafeNet KeySecureは、機密データを
- 暗号化/トークン化 し、
- ユーザの アクセス制御 と 監査 を実行し、
- 暗号・複合鍵 をセキュアに管理(FIPS/CC準拠)
- サーバ管理者にも機密データの複合をさせない強力な 職務分掌
- コンプライアンス に準拠した理想的なデータ保護が実現できます。
KeySecureはPCI DSS準拠のための開発された、セキュリティソリューションです。幅広いセキュリティのベストプラクティスや法規制を順守することができます。
暗号化+暗号鍵管理+職務分掌=KeySecure
Gemalto SafeNet KeySecure は、きめ細かいの暗号化機能を持つ唯一のアプライアンスベースのデータ暗号化&トークナイゼーションソリューションです。
暗号処理、鍵、ポリシ管理、ロギングおよび監査を単一のハードウェア・アプライアンスで一元的に行うことにより、システム全体のセキュリティを最大限に高めます。
PCI DSS における DB暗号化
KeySecureは、(1)透過的なDB暗号化、(2)パフォーマンスの高いトークナイゼーションをご選択することができ、お客様の環境やご要望に適した形で、PCI DSSのDB暗号化要件を代替コントロールを利用することなく準拠可能です。
またKeySecureはHSM(Hardware Security Module)を搭載した鍵管理を実現しているため、システムを止めることなく、鍵交換を行うことができ、導入時もシステムを停止することなく導入が可能です。これまでデータ暗号化実装にあたり、システム管理者が頭を悩ませていた問題を解決します。
特長
SafeNet KeySecureはPCI DSSや個人情報保護法などで要求されるデータベースに対する機密データの暗号化・アクセス制御・監査・鍵の管理が可能となるアプライアンス製品です。
鍵管理
KeySecure では、すべての暗号鍵が中央の堅固なアプライアンスに保管されるので、管理を省力化しつつ、より強固なセキュリティを実現できます。
鍵のバージョン管理機能により、時間のかかる鍵のローテーション処理を効率化できます。
ポリシ管理
管理者は、どのユーザがどのアプリケーションやデータベース、ファイル サーバの暗号化したデータにアクセスできるかを認証ポリシーと認可ポリシーで指定できます。
このポリシドリブンのセキュリティと強力な認証機能の組み合わせは、データ保護に不可欠です。
また、KeySecure によるきめ細かいアクセスコントロールは、多くのセキュリティ規定で求められている職務分掌を実現するためにも役立ちます。管理者は、特定ユーザの日常のシステム管理業務を妨げずに機密データへのアクセスを禁止するポリシを作成できます。
ロギング、監査、レポート
企業内のデータを暗号化するとき、複数の場所にある複数のデバイス上で、データ、鍵、およびログのアクセス、暗号化、管理、生成が頻繁に行われます。KeySecure は、データと鍵へのアクセスのロギング、監査、およびレポーティング用の単一の中央集中管理インターフェースを備えており、セキュリティ管理のコストと手間を軽減します。中央集中管理方式によって、セキュリティを向上させ、政府や業界の法令・規格を順守することができます。
データ暗号化とトークナイゼーション
KeySecure では、対象のデータ保護方式を暗号化およびトークナイゼーションの2種類から選択可能です。それぞれの利点を踏まえ、お客様環境にとって最適な方式で機密データの保護をおこなうことが可能となります。
※暗号化とトークナイゼーションの比較については表1をご覧ください。
活用イメージ
個人情報でのトークナイゼーション活用
データ内の個人情報をトークン化で匿名化
- 個人を特定されないようデータを匿名化
- その他データに対する関連性などは残るためBI用データとして解析利用に支障なし
導入メリット
ビジネス面
- PCI DSSのデータベース暗号化&暗号鍵管理要件に準拠
- トークナイゼーションによる監査範囲削減とデータの匿名化
- システム管理者等の特権ユーザからの機密データの漏えい防御
- SQLインジェクション等外部からの不正アクセスから機密データの漏えい防御
技術面
- アプリケーション改修を伴わない透過的な暗号化
- WebUIによるシステム運用の簡易化
- 混在環境(Web/App/DB/オンプレ・クラウド)における同一アプライアンスでの対応
- システムを止めないオンラインでのデータ移行&鍵交換
vs 他社暗号化ソリューションへの優位性
H/Wベースの厳重な暗号鍵管理(FIPS 140 Level-3)
決め細かなセキュリティポリシーが設定可能
拡張性(ファイル暗号化、異種DB暗号化、アプリレベル暗号化、トークナイゼション)
お客様事例
導入ユーザ数は日本を含め世界で約600社以上
導入目的
- 1.PCI DSSへの準拠(特に要件3:データ保護)→ 全導入数の80%以上
- 2.個人情報保護関連法律への準拠
- 3.データベースセキュリティの強化
→ システム管理者等の特権ユーザ、およびSQLインジェクション等からの情報漏えい防御
導入ユーザ
クレジットカード会社、クレジットカード決済代行、銀行、モバイルペイメント、PC関連ECサイト、旅行、鉄道、新聞、ウイルス対策、ソフトEC、石油、エアライン、スーパーマーケット、おもちゃEC、薬EC、通信キャリア、ガス、その他多数。
ECサイトでのPCIDSS準拠のためのDB暗号化
価格・運用サポート
- 1.初回製品紹介
- 2.詳細な技術QA
- 3.概算見積提出
- 4.お客様にて導入可否検討
- 5.実機でのご評価(POC)
- 6.購入
- 7.設計
- 8.導入(機器設定、単体テスト、システムテスト等)
DB暗号化:約600万円から
トークナイゼーション:約430万円から
導入構築:100万円から
導入検討サポート資料一覧
トピックス
暗号化とトークナイゼーション比較
|
|
暗号化 | トークナイゼーション |
|---|---|---|
| 対象保護データ | PII、各種機密情報 | CCN、IDを始めとするPII |
| パフォーマンス | 暗号カラム数、データ数、クエリでヒットする暗号カラムに依存(復号遅延は必ず発生) | トークン読み出しは通常データ読み出しと変わらないため、復号遅延は発生しない |
| データセキュリティ | DBがハックされた際に暗号鍵が悪用されない仕組み(HSMでの鍵管理)が必要 | トークンデータが流出しても元データを復元することは不可能 |
| 導入コスト | 透過的な製品が多く存在。アプリケーションに修正が伴わないものが主流だが、価格は製品によりけり。 | アプリケーションへの修正が必須。開発工数と既存環境への影響を考慮した上での導入が必要。 |
表1:暗号化とトークナイゼーション比較
Gemalto SafeNet データセキュリティ製品ラインナップ
TISプラットフォームサービス
