Entrustトークン化ソリューション

企業側はデータを難読化して、機密データを保護するとともにコンプライアンス監査の範囲を縮小する必要があります。データを盗む側からすれば迷惑な話です。しかし、企業側はデータ形式を維持しなければならないことが多いため、平文データの一部またはすべてを必要としないやり方なら盗む側はデータを操作できます。従来のデータ暗号化は、元のデータ形式を保持できません。また、データマスキングにも対応していません。

これらの課題への対処法として急速に普及しているのが、機密データのトークン化です。データをクラウドに送信する前に保護できるため、トークン化はクラウドアプリケーションで特に有効です。トークン化すると、データ所有者は個人データ保護規制を遵守しながら俊敏性を維持できます。

Entrustデータ保護ソリューションプロフェッショナルサービスチームが提供するEntrustトークン化ソリューションは、プレーンテキストデータを型式保持型トークンに変換します。このトークンは、安全にデトークン化しない限り、元のデータに戻せません。基盤となる暗号鍵は、FIPS140-2およびコモンクライテリア認定のEntrust nShield®ハードウェア・セキュリティ・モジュール（HSM）によって保護されており、ソリューションは個人データ保護法のコンプライアンス要件に準拠しています。

Entrustトークン化ソリューションは、元の形式を保持しながらデータを仮の姿に変え、データマスキングもサポートします。

データマスキングは、データを第三者にエクスポートする必要がある場合に有用です。 データは、ユーザ定義のマスクデータ形式ルールに従ってマスキング処理されます。 マスキングを形式保持型暗号化（FFE）と組み合わせると、トークンの出力形式を定義できます。

たとえば、FFEを使用してクレジットカード番号をトークン化し、クレジットカードのような形式の番号を生成できます。 たとえば、4321-1234-1234-6789のようなクレジットカードは、元のカードの最後の4桁を保持するルールを使用して、4623-3221-5316-6789にトークン化できます。 同じカードをマスキングして、xxxx-xxxx-xxxx-6789という結果を生成し、レシートまたは取引レジに印刷することもできます。 いずれの場合も、出力結果はルールと要件に基づいて決まります。

Entrustトークン化ソリューションは、WindowsプラットフォームとLinuxプラットフォームの両方で実行できるRESTful Webサービスです。 管理者はWeb UIを使用してトークン化プロファイルを構成できます。アプリケーション開発者はソリューションをRESTful APInと統合できます。 マイクロサービスとして実装されたこのソリューションは、展開、管理、保守が簡単な自己完結型のパッケージで、パフォーマンスとスケーラビリティを提供できるサーバ数に上限はありません。

さらなるセキュリティ制御として、このソリューションは、一般操作（トークン化、デトークン化、マスキングなど）の詳細ログと、重要操作（失敗の試行やトークン化設定の修正など）の監査ログを提供します。

Entrustトークン化ソリューションは、クラウド対応のアプリケーションです。マイクロサービスアーキテクチャのおかげで、運用に必要なリソースは最小限で済みます。また、より多くのシステムリソース（CPUコアなど）を割り当てることで、簡単にパフォーマンスを上げることができます。ロードバランサー/APIゲートウェイの助けを借りると、RESTAPIリクエストを処理するために、Entrustトークン化ソリューションの複数のインスタンスをクラスターとして構築できます。