お問い合わせ
何をお探しですか?
What’s New
  • ニュースリリース、お知らせ等
  • セミナー&イベント

2024年12月13日

コラム

Hyper-V ワークグループクラスター 2025

2024年12月2日

お知らせ

本社および品川オフィスの集約・移転、ならびに商号変更予定のお知らせ(2025年1月6日)

2024年11月13日

お知らせ

当社社員が翻訳協力した「原則から実践へ:ダイナミックな規制環境における責任あるAI」が公開されました
トピックス一覧へ

2024年12月12日 更新

2025年1月27日 開催

当社主催セミナー「生成AIビジネスの現状 ~最新の機能概要とビジネス化に向けた課題~」を開催

2024年12月10日 更新

2024年12月24日 開催

Hinemosでクラウド運用を実現するメリット (2024年12月24日)

2024年12月10日 更新

2025年1月28日 開催

当社主催セミナー「データ駆動型ビジネスの課題と解決法」を開催
セミナー&イベント一覧へ
ホーム > コラム > セキュリティ >

PCI PIN Security 準拠システムでのクラウドHSMサービス利用について – Part.1: FIPS140-2 レベル3のHSM

はじめに

2020年1月、PCI SSCのPTS PIN Security RequirementsのテクニカルFAQに、クラウド上のHSMに関する以下のFAQ*1が追加されました。その背景には、PCI PIN Security 準拠システムにおけるHSMのクラウド化に関する問い合わせが増加しているためであると考えられます。

英文:
Q 5 January 2020: Can an acquirer use third party hosted HSM services i.e. HSM in the cloud?
A Yes, however the acquirer is responsible for ensuring that all applicable requirements regarding the management of the HSMs are met by the HSM cloud Provider.
和訳:
アクワイアラは、サードパーティがホストするHSMサービス(例:クラウド上のHSM) を使用できますか?
はい、ただし、アクワイアラは、HSMの管理に関する適用可能なすべての要件がHSMクラウドプロバイダーによって満たされていることを確認する責任があります。

クラウド上で決済システムが構築されることが増加しており、クラウド上のHSMサービスは今後の利用拡大が期待されています。本稿では、クラウドサービスのHSMを利用し、PCI PIN Security 準拠システムをクラウド上で実現するために必要なPIN Securityの重要な技術的要件(例:FIPS140-2、Key Block、Dual Controlなど)について、何回かに分けて解説したいと思います。また、実現方法に関しては、AWSおよびAzureを例として説明します。

1. FIPS140-2 レベル3のHSM

今回確認するPIN Security 要件*2は以下の要件1-3です。

英文:
1-3 All hardware security modules (HSMs) shall be either:

  • FIPS140-2 Level 3 or higher certified, or
  • PCI approved.

和訳:
1-3 すべてのハードウェアセキュリティモジュール(HSM) が次のいずれかでなくてはならない:

  • FIPS140-2 レベル 3 以上での認定、または
  • PCI 認定

クラウドサービス上に構築されたPCI PIN Security準拠システムにおいてHSMを利用する場合、クラウドサービスプロバイダが、上記の条件を満たすHSMサービスを提供していることを確認する必要があります。

例えば、AWSが提供するAWS CloudHSM、Azureが提供するAzure Dedicated HSMは、本稿執筆時点(2020年4月)時点で、 FIPS 140-2 レベル 3に準拠しています。

2. 提供されるサービスのFIPS 140-2レベルの違いに注意

クラウドサービスによっては、複数種類のHSMサービスを提供している場合があります。その場合、提供されるサービスのFIPS140-2のレベルに違いがある場合がありますので、クラウド上にPCI PIN Security準拠の環境を構築する時は、 FIPS140-2レベル3を満たすサービスを使用してください。

例えば、AWSでのもう一つのHSMサービスであるAWS KMS(Key Management Service)、Azureでのもう一つのHSMサービスであるAzure Key Vaultは、本稿執筆時点(2020年4月)時点で、 FIPS 140-2 レベル 2に準拠しています。

なお、FIPS 140-2 レベル 3とレベル 2の違いに関して興味ある方は、以下の文書のP12辺りの「Table 1 summarizes the security requirements」をご参照ください。
https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.140-2.pdf

今回はクラウドサービスで提供されるHSMのFIPS140-2 レベル3に関して説明しました。
次回は技術的要件Key Blockに関して確認していきます。

引用元:

  • ※1: PCI PTS PIN Security Requirements Technical FAQs for use with Version 3
    https://www.pcisecuritystandards.org/documents/PTS_PIN_Technical_FAQs_v3_Feb%202020.pdf
  • ※2: PCI PIN Security Requirements and Testing Procedures Version 3.0
    ドロップダウンリストより「V3.0-AUG2018」を選択してください。
    https://www.pcisecuritystandards.org/document_library?category=pci_pin&document=pcipinpin__sec_req_pdf

Writer Profile

セキュリティ事業本部 セキュリティコンサルティング事業部
コンサルティングサービス担当 チーフコンサルタント
崔 炳南 Cui Bingnan
(CISSP、CISA、QSA、QSA (P2PE)、QPA)

主にPCI DSS、P2PE、PIN Securityの準拠支援などに従事。日・中・韓・英 言語でコミュニケーション可能。


関連情報

PCI PIN Security 準拠システムでのクラウドHSMサービス利用について – Part.1: FIPS140-2 レベル3のHSM