欧米で進んでいる大手カード加盟店のPCI DSS(Payment Card Industry Data Security Standard)準拠に関連して、HSM(ハードウェア・セキュリティ・モジュール)が特需に沸いている。対して、国内の需要は伸びているのか、HSMを開発・販売する日本セーフネットに状況を聞いた。
PCI DSS関連で急成長するが、日本は?
日本セーフネットの見解はこうだ。「HSMは欧米・アジア地域で需要が伸び、ビジネスのドライバになっている」(エンタープライズセキュリティ事業部 第1営業部の伊地田隆広部長)。同社はHSMを10年以上前から販売し、PKI(公開鍵暗号基盤)ベンダーや電子行政サービスの認証で最も重要な「マスター鍵」保管で主に採用されている。
日本セーフネット 伊地田隆広部長
HSMは簡単にいえば、暗号技術で重要な「暗号鍵」を保管する「金庫」の役割を果たす。暗号鍵が第三者の手元に渡ると、解読され情報が盗まれてしまう。そのため「鍵」は安全に管理することが必要となる。HSMは暗号鍵を生成し、かつ暗号鍵が盗まれないように保管をする。ハードウェアなので、物理的にデータ保持部分が盗難に遭うことも考えられる。だが、HSMは箱をこじ開けられたらデータを消去する「耐タンパ性」をもっている。他のアプリケーションとはAPI連携し、暗号処理を提供することが可能。サーバーでの暗号化/復号化処理を高速化する「アクセラレータ」の役割も果たす。
PCI DSSの認定審査機関(QSA)であるビジネスアシュアランスの山崎文明氏は「米国のセキュリティ市場をけん引しているのはPCI DSS。特にハードウェアセキュリティモジュール(HSM)は何千店舗もチェーン展開している企業が店舗の数だけ購入する特需が起きている」と状況を語る。PCI DSSでは要件3「カード会員データの保護」で、会員データを暗号化することを要請している。保管しているデータベース(DB)の管理ソフトウェアには暗号化や暗号鍵の保管機能をもっているものが多いが、HSMを併せて用いることで、暗号鍵の生成、変更、廃棄といったライフサイクルをセキュアにすることが可能になる。
北米では州法などでPCI DSS準拠が法制化されているため、引き合いや受注が伸びているのだという。一方、日本では「クレジットカード業界のベストプラクティスだが、法で強制されているのではない。もともとアジアパシフィックにおいても、来年10月までに準拠が必要なレベル1加盟店が非常に少なく、また加盟店は自身がPCI DSS準拠対象か否かを公表しなくてもいいため、需要がうまくキャッチアップできていない」(伊地田部長)と実情を話す。同社はオラクルのDBを販売するSIerなどにアプローチすることで、HSMを組み込んだソリューションの展開を視野に入れる。
HSM「Luna PCI」
PCI DSS単体で国内での需要喚起は難しいとされるが、HSM活用の幅が広がっている。「公開鍵暗号技術を応用して『デジタル署名』することで文書データの原本性を証明する時刻認証サーバー、時刻監査サーバーに当社のHSM『Luna PCI』が採用されたほか、ゲーム機を介したゲームソフトダウンロードや対戦認証、SWIFT(国際送金システム)での採用されるなど導入機会は増えている」(伊地田部長)。
HSMの導入は、ひそかに身近なものになり始めているのだ。(鍋島蓉子)
