セキュリティ

AWS Payment Cryptography で実現するクラウド決済処理 - 暗号鍵管理と PIN 検証

Payment Cryptography による決済用暗号鍵の管理、PIN ブロックの暗号化・復号、PCI DSS 準拠を解説します。

約 1 分で読めます

Payment Cryptography の概要

Payment Cryptography は PCI PIN Security と PCI P2PE に準拠した決済処理用の暗号鍵管理と暗号化操作をクラウドで提供するサービスです。従来、決済処理の暗号化にはオンプレミスの HSM (Thales payShield、Futurex など) が必要でしたが、Payment Cryptography でクラウドに移行できます。PCI PIN Security Requirements と PCI P2PE に準拠しています。

決済暗号化操作

Control Plane API で AES-128/256、TDES、RSA-2048/4096 の暗号鍵の作成、インポート、エクスポートを管理し、Data Plane API で暗号化操作を実行します。PIN Translation はアクワイアラーの鍵で暗号化された PIN ブロックをイシュアーの鍵で再暗号化する操作で、決済ネットワークのスイッチング処理に使用します。CVV の生成と検証はカード発行時と決済認証時に使用し、カード番号と有効期限から暗号学的に検証値を計算します。TR-31 鍵ブロック形式で鍵をインポート・エクスポートし、他の HSM や決済ネットワークとの鍵交換が可能です。

鍵管理と決済ネットワーク統合

Payment Cryptography は BDK (Base Derivation Key)、 IPEK (Initial PIN Encryption Key)、 KEK (Key Encryption Key) など決済固有の鍵タイプをサポートします。 TR-31 鍵ブロック形式で鍵のインポート・エクスポートを行い、既存の決済インフラとの相互運用性を確保します。 DUKPT (Derived Unique Key Per Transaction) でトランザクションごとに一意の鍵を導出し、鍵の漏洩リスクを最小化します。 Visa 、 Mastercard 、 American Express の決済ネットワークで要求される暗号化操作 (PIN ブロックの変換、 MAC の生成・検証) をクラウドで実行できます。 Payment Cryptography のベストプラクティスを網羅的に学ぶなら、技術書 (Amazon)を参照してください。

Payment Cryptography の料金

Payment Cryptography の料金は鍵の管理 (1 鍵あたり月額約 1 ドル) と暗号化操作 (1 万オペレーションあたり約 0.85 ドル) で構成されます。オンプレミスの HSM (ハードウェア購入、データセンター設置、保守契約) と比較して、初期投資が不要で従量課金のため、トランザクション量に応じたコスト管理が可能です。PCI DSS の準拠維持コスト (年次監査、ペネトレーションテスト) もクラウド移行で削減できます。トランザクション量が少ない場合は鍵管理の固定費が主要なコスト要因になります。

まとめ

Payment Cryptography は決済用暗号鍵の管理と暗号化操作をクラウドで提供するサービスです。PCI 準拠の環境で DUKPT や TR-31 鍵ブロックをサポートし、PIN ブロック変換や MAC 生成・検証を実行します。オンプレミス HSM の購入・設置・保守が不要になり、従量課金でトランザクション量に応じたコスト管理を実現します。

関連するサービス

AWS Payment Cryptography決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービスAWS CloudHSM専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービスAWS KMSデータの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス

関連する記事

AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。Amazon DocumentDB で MongoDB ワークロードをマネージドに運用 - ドキュメントモデルとクエリ設計MongoDB 互換 API でドキュメントデータを管理し、最大 15 のリードレプリカとグローバルクラスターで読み取りスケーリングと DR を実現する。エラスティッククラスターによるシャーディングの活用法を解説します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Payment Cryptography決済処理に必要な暗号鍵の生成・管理と PIN 検証・カード認証などの暗号演算をクラウドで提供するマネージドサービスAWS Payment Cryptography の HSM アーキテクチャ - PCI DSS 準拠の決済暗号化基盤を深掘りするAWS Payment Cryptography は決済業界に特化したマネージド HSM サービスであり、PCI DSS 準拠の暗号化・トークナイゼーションをサーバーレスで提供する。本記事では PIN ブロック生成、DUKPT キー管理、CloudHSM との使い分けなど、決済暗号化の技術的な仕組みを掘り下げて解説する。ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。