アプリケーションの改修なしに「PCI DSS準拠のデータ保護」を実現する方法とは

　クレジットカード情報を取り扱う国内企業で、対応が急がれる国際セキュリティ基準「PCI DSS」。中でも重要な要件が、DBなどに保存される「カード会員データの保護」だ。データの保管方法として「一方向ハッシュ」「トランケーション」など4つの手法が定められているが、確実な対応はカード情報を含む個人情報を「暗号化」することだ。

　具体的には、利用者の端末からアプリケーションを経てDBに保管されるまで、通信・格納データを包括的に保護する必要がある。さらに、暗号化に必要な暗号鍵や資格証明ファイルなどを安全に管理できる環境も整備して、同じくPCI DSSが求める鍵管理プロセスの要求事項にも対応することが望ましい。

　ただ、そのためにアプリケーションを改修するのは、移行期間・コストの両面で負担が大きい。本資料では、アプリケーションの改修不要で、PCI DSS準拠の強固なセキュリティを実現する暗号化製品を紹介する。また、TCO削減で考えるなら、ハードウェア刷新という選択肢もある。暗号化対応に最適なDBサーバも併せて紹介する。