AWS Payment Cryptography
決済処理に必要な暗号鍵の生成・管理と PIN 検証・カード認証などの暗号演算をクラウドで提供するマネージドサービス
概要
AWS Payment Cryptography は、クレジットカード決済やデビットカード決済に必要な暗号処理をクラウド上で実行するフルマネージドサービスです。従来はオンプレミスの HSM (Hardware Security Module) で行っていた PIN ブロックの生成・検証、カード認証値 (CVV/CVC) の生成・検証、MAC (Message Authentication Code) の計算などの暗号演算を API 経由で利用できます。PCI DSS や PCI PIN Security の要件に準拠した環境で鍵管理が行われ、決済事業者が自前で HSM インフラを構築・運用する負担を大幅に軽減します。鍵のライフサイクル管理 (生成、ローテーション、廃棄) も自動化でき、コンプライアンス監査への対応工数を削減します。
決済暗号鍵の管理とライフサイクル
Payment Cryptography の鍵管理は、決済業界固有の鍵階層に対応しています。KEK (Key Encrypting Key) で暗号化された状態で鍵を安全にインポート・エクスポートし、カードネットワーク (Visa、Mastercard) との鍵交換プロトコルに準拠した TR-31/TR-34 形式をサポートします。鍵の種類として、PIN 暗号化鍵 (PEK)、PIN 検証鍵 (PVK)、カード検証鍵 (CVK)、MAC 鍵など決済処理の各段階で使用される専用鍵を管理できます。鍵のローテーションは、有効期限の設定と自動ローテーションポリシーで管理し、旧鍵での復号と新鍵での暗号化を並行して行うグレースピリオドを設定できます。鍵の使用状況は CloudTrail で全て記録され、PCI DSS の要件 3 (保存されたカード会員データの保護) に対する監査証跡として活用できます。鍵エイリアス機能により、アプリケーションコードを変更せずに鍵のローテーションを透過的に実行できます。
PIN 処理とカード認証の暗号演算
Payment Cryptography の Data Plane API は、決済トランザクションで必要な暗号演算をリアルタイムに実行します。PIN ブロックの変換 (ATM から受信した PIN ブロックをイシュアーの鍵で再暗号化)、PIN 検証 (IBM 3624 方式や Visa PVV 方式での照合)、CVV/CVC の生成・検証、ARQC (Authorization Request Cryptogram) の検証など、カード決済のライフサイクル全体をカバーします。API のレイテンシは数ミリ秒で、リアルタイムのオーソリゼーション処理に十分な性能を提供します。決済システムの関連書籍 (Amazon) でカード決済の暗号処理を体系的に学べます。EMV チップカードの暗号処理にも対応し、ICC (Integrated Circuit Card) との相互認証に必要な暗号演算を実行できます。
コンプライアンスとオンプレミス HSM からの移行
Payment Cryptography は PCI DSS Level 1、PCI PIN Security、PCI P2PE の認証を取得しており、決済事業者の準拠性評価 (QSA 監査) で AWS の責任共有モデルに基づく統制を活用できます。オンプレミス HSM からの移行では、既存の鍵を TR-31 形式でエクスポートし、Payment Cryptography にインポートする手順が標準的です。移行期間中は並行稼働 (オンプレミス HSM と Payment Cryptography の両方で処理) を行い、段階的にトラフィックを移行することでリスクを最小化します。コスト面では、オンプレミス HSM の購入費 (1 台数百万円)、保守契約、データセンター費用、運用人件費が不要になり、API 呼び出し回数に応じた従量課金に移行できます。月間数百万トランザクション規模の決済事業者で、年間数千万円のコスト削減事例が報告されています。高可用性はマルチ AZ 構成で自動的に担保され、HSM の冗長化設計を利用者が意識する必要がありません。