Azure Payment HSM とは

Azure Payment HSM は、Thales payShield 10K 支払いハードウェア セキュリティ モジュール (HSM) を使用して提供される「ベアメタル」サービスであり、Azure クラウドでのリアルタイムの重要な支払いトランザクションに暗号化キー操作を提供する物理デバイスです。 Azure Payment HSM は、サービス プロバイダーと個々の金融機関が、支払いシステムのデジタル トランスフォーメーション戦略を促進し、パブリック クラウドを採用するのに特に役立つように設計されています。 これは、ペイメント カード業界 (PCI) による最も厳しいセキュリティ、監査コンプライアンス、低遅延、および高パフォーマンスの要件を満たしています。

Payment HSM はプロビジョニングされ、ユーザーの仮想ネットワークに直接接続されて、ユーザーの単独の管理制御下に配置されます。 高可用性を確保するために、HSM をデバイスのペアとして簡単にプロビジョニングして構成することができます。 このサービスのユーザーは、Thales payShield Manager を利用して、Azure ベースのサブスクリプションの一部として HSM への安全なリモートアクセスを実現します。 幅広いパフォーマンスと複数のアプリケーション要件を満たす複数のサブスクリプションオプションが用意されており、エンド ユーザーのビジネスの成長に合わせて迅速にアップグレードできます。 Azure Payment HSM サービスは、最高のパフォーマンス レベルである 2500 CPS を実現しています。

Azure Payment HSM ソリューションでは、ベンダーとして Thales のハードウェアを使用します。 お客様には、Payment HSM への フル コントロールと排他アクセス権があります。

重要

Azure Payment HSM は、高度に専門化されたサービスです。 Azure Payment HSM の価格ページと「Azure Payment HSM の概要」を確認することを強くお勧めします。

Azure Payment HSM のアーキテクチャ概要

決済用 HSM がプロビジョニングされた後、完全なリモート HSM 管理機能を備えた HSM デバイスが、Thales payShield Manager と payShield Trusted Management Device (TMD) を介して、お客様の仮想ネットワークに直接接続されます。

2 つのホスト ネットワーク インターフェイスと 1 つの管理ネットワーク インターフェイスが、HSM のプロビジョニング時に作成されます。

プロビジョニングされた決済用 HSM とネットワーク インターフェイスを示すアーキテクチャ図。

Azure Payment HSM プロビジョニング サービスにより、お客様は決済用 HSM 上の 2 つのホスト ネットワーク インターフェイスと 1 つの管理インターフェイスにネイティブにアクセスできます。 このスクリーンショットは、1 つのリソース グループ内の Azure Payment HSM のリソースを示します。

決済用 HSM の所有者が 2 つのホスト ネットワーク インターフェイスと 1 つの管理インターフェイスにアクセスできることを示すスクリーンショット。

Azure Payment HSM が選ばれる理由

金融機関が決済アプリケーションの一部またはすべてをクラウドに移行し、従来のオンプレミス アプリケーションと HSM から、一般的に直接管理されていないクラウドベースのインフラストラクチャへの移行が必要になるにつれて、モメンタムが構築されています。 これは、多くの場合、物理的な機器やソフトウェアの永続的な所有権の獲得ではなく、サブスクリプション サービスの利用を意味します。 効率性と物理的プレゼンスのスケールダウンを推進する企業イニシアチブがこの移行の原動力となっています。 逆に、クラウド ネイティブの組織では、オンプレミスのプレゼンスなしでクラウド ファーストを導入することが、基本的なビジネスモデルです。 理由はどうあれ、クラウドベースの支払いインフラストラクチャのエンド ユーザーは、ITの複雑さの軽減、セキュリティ コンプライアンスの合理化、ビジネスの成長に合わせてソリューションをシームレスに拡張できる柔軟性に期待しています。

クラウドには大きな利点がありますが、従来のオンプレミスの決済アプリケーション (決済用 HSM を含む) をクラウドに移行する際の課題に対処する必要があります。

  • 責任と信頼の共有 - 一部の分野で失われる可能性がある管理のうち、許容されるものはどれか。
  • 待機時間 – アプリケーションと HSM 間で効率的で高性能なリンクをどのように実現するか。
  • すべてをリモートで実行する - 調整する必要がある既存のプロセスと手順は何か。
  • セキュリティ認証と監査コンプライアンス - 現在の厳格な要件をどのように満たすか。

Azure Payment HSM は、これらの課題に対処し、次の特徴を活かして、サービスのユーザーに説得力のある価値提案を提供します。

強化されたセキュリティとコンプライアンス

サービスのエンド ユーザーは、Microsoft のセキュリティとコンプライアンスの投資を利用して、セキュリティ態勢を強化することができます。 Microsoft は、Azure Payment HSM ソリューションが格納されているデータ センターを含む、PCI DSS および PCI 3DS 準拠の Azure データ センターを運営しています。 Azure Payment HSM ソリューションは、検証済みの PCI P2PE および PCI PIN コンポーネントまたはソリューションの一部としてデプロイでき、継続的なセキュリティ監査コンプライアンスを簡素化するのに役立ちます。 セキュリティ インフラストラクチャでデプロイされた Thales payShield 10K HSM は、FIPS 140-2 レベル 3 および PCI HSM v3 の認定を受けています。

Azure での顧客管理 HSM

Azure Payment HSM はサブスクリプション サービスの一部であり、サービスの顧客が HSM に対して完全な管理制御と排他的アクセスを行うことができるようにシングル テナント HSM を提供します。 顧客は、複数の金融機関に代わって手続きを行う支払いサービス プロバイダー、または Azure Payment HSM サービスに直接アクセスする必要がある金融機関である可能性があります。 HSM がお客様に割り当てられると、マイクロソフトはお客様データにアクセスできなくなります。 同様に、HSM が不要になった場合は、HSM がリリースされるとすぐに顧客データがゼロ化および消去され、完全なプライバシーとセキュリティが維持されます。 顧客は、オンプレミス HSM と同程度のパフォーマンスを実現するために、バックアップ、ディザスター リカバリー、および回復力の要件を満たすのに十分な HSM サブスクリプションがアクティブであることを確認する責任があります。

クラウドにおけるデジタル トランスフォーメーションとイノベーションを加速する

Azure Payment HSM ソリューションでは、クラウド オプションの追加を求めている既存の Thales payShield の顧客のために、オンプレミスの payShield HSM を介して、これまでと同様の低待機時間で、Azure での決済用 HSM へのネイティブ アクセスを実現します。 このソリューションでは、ミッション クリティカルな支払いアプリケーション向けの高性能トランザクションも提供します。

顧客は、クラウドの技術革新を利用して、デジタル トランスフォーメーション戦略を継続できます。 既存の Thales payShield の顧客は、既存のリモート管理ソリューション (payShield Manager と payShield TMD、および関連付けられているスマート カード リーダーとスマート カード) を利用して、Azure Payment HSM サービスを利用できます。 payShield を初めて使用する顧客は、サブスクリプション サービスの一部として HSM をデプロイする前に、Thales またはそのパートナーの 1 つからハードウェアアクセサリを調達できます。

一般的なユース ケース

クラウド サービスは、低待機時間や必要に応じて HSM 容量を迅速に追加できる機能などの利点を備えており、次のような幅広いユースケースに最適です。

  • 決済処理
  • カードとモバイルの支払いの承認
  • PIN と EMV の暗号文の検証
  • 3D セキュアで保護された認証

支払い資格情報の発行:

  • カード
  • モバイル セキュリティ要素
  • ウェアラブル コンピュター
  • 接続されたデバイス
  • ホスト カード エミュレーション (HCE) アプリケーション

キーと認証データのセキュリティ保護:

  • POS、mPOS、SPOC のキー管理
  • リモート キーの読み込み (ATM と POS/mPOS デバイスの場合)
  • PIN の生成と印刷
  • PIN ルーティング

機密データの保護:

  • ポイントツーポイントの暗号化 (P2PE)
  • セキュリティ トークン化 (PCI DSS コンプライアンス用)
  • EMV 決済トークン化

既存および新規の両方の決済用 HSM ユーザーに適しています

このソリューションは、従来のオンプレミス HSM フットプリントを使用している Payment HSM ユーザーと、サポートするレガシ インフラストラクチャを持たず、最初からクラウドネイティブ アプローチを選択できる新しい決済エコシステムの参入者の両方に明確なメリットを提供します。

既存のオンプレミス HSM ユーザーの利点:

  • 既存のアプリケーションを Azure ソリューションに移行するために、支払いアプリケーションや HSM ソフトウェアを変更する必要がありません
  • HSM の使用における柔軟性と効率が向上します
  • 地理的に分散した複数のチーム間での HSM の共有を簡素化できます
  • レガシー データ センターの物理的 HSM フットプリントを削減できます
  • 新しいプロジェクトのキャッシュ フローを改善します

新しい決済参加者の利点:

  • オンプレミスの HSM インフラストラクチャの導入を回避できます
  • Azure サブスクリプション モデルを使用するため、先行投資を削減できます
  • 最新の認定ハードウェアおよびソフトウェアへのアクセスがオンデマンドで提供されます

用語集

期間 定義
3DS 3D セキュア
ATM 現金自動預け払い機
EMV ユーロ マスターカード ビザ
FIPS 連邦情報処理標準
HCE ホスト カード エミュレーション
HSM (HSM) ハードウェア セキュリティ モジュール
mPOS モバイル ポイント オブ セールス
P2PE ポイントツーポイント暗号化 (P2PE)
PCI ペイメント カード業界
PIN 個人識別番号
POS Point of Sale (POS)
SPOC 市販デバイス (COTS) ソリューションでソフトウェアベースの PIN 入力
TMD payShield Trusted Management デバイス

次の手順