サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

トークナイゼーション

トークナイゼーション
目次
  • トークナイゼーション(Tokenization)とは
  • どのように利用されている?
  • 仕組みとメリット
  • 活用上の留意事項

トークナイゼーション(Tokenization)とは

機密情報をトークンと呼ばれるランダムな文字列に置き換えて保管・利用する技術です。

トークン化された情報はそれ単独では意味のない文字列であり、情報漏洩時のリスクを大きく低減する効果が期待できます。

どのように利用されている?

トークナイゼーションの活用が特に進んでいるのはクレジットカード業界です。

現在、クレジットカード情報を取り扱う企業は業界のセキュリティ基準である ”PCI DSS” に準拠し認定を受ける必要がありますが、トークン化されたクレジットカード情報についてはその監査スコープから除外されます。これにより、カード情報の漏洩リスクを低くしつつ、認定取得に必要なコストの大幅な削減が見込める手段として注目されています。

また、トークン化された情報は個人情報保護法の仮名加工情報となります。個人情報保護法では「個人情報」の管理義務とともに、「仮名加工情報」の取り扱いの指針が示されています。これにより社内での利活用の柔軟性を向上でき、ビッグデータ等における有効活用が期待できます。

仕組みとメリット

トークナイゼーションによって作成されるトークンは以下の特徴を持っています。

1. 復号できない

トークン化には数学的な変換法則がないため、変換後の情報から元の情報を復元することはできません。 代表的な情報変換技術としては”暗号化”がありますが、こちらは元に戻すことを前提にした仕組みとなっており、暗号鍵の漏洩等により元の情報が解読される可能性があります。変換された情報の安全性はトークンがより高いと言えるでしょう。

2. 変換前後のフォーマットが同じ

クレジットカードは16桁の数字で構成されていますが、トークン化後も同様の文字種・桁数を維持することができます。 この性質により既存システムへの影響を最小限にし、改修コストを抑える効果が期待できます。

3. トークン化の範囲を指定できる

トークン化は対象情報の特定の箇所のみに施すことができます。 クレジットカードの場合、ユーザへ開示するために下4桁を元の値のまま残しておきたい場合もあるでしょう。その時は冒頭の12桁のみをトークン化することも可能です。これにより、実務への影響を考慮した実装を実現することができます。

4. 様々な情報に応用できる

クレジットカード以外にも、上記1〜3の性質により様々な情報の機密性を向上させるために活用することができます。 マイナンバー、各種証明書番号など、多くの情報に応用することが可能です。

活用上の留意事項

多くのメリットがある機密情報のトークン化ですが、変換前後の情報がセットで漏洩することには注意が必要です。

例えば、変換前の情報を管理するためのデータベース(Token Vault)への不正アクセス等により第三者に情報が漏洩するとトークン化が意味を成しません。また、データベースと該当サービスから取得したトークン化情報を紐づけることで、ユーザの特定や別の情報漏洩にも繋がるかもしれません。

導入に際しては、トークン化前の情報に対しても十分なセキュリティ対策を考慮することが大切と言えるでしょう

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 内田 亮一

大学を卒業後、金融業界にて営業と企画業務に従事。その後キャリアチェンジを目的とした海外留学にて情報技術を学び、2020年に株式会社SHIFTSECURITYに入社。各種脆弱性診断サービスを経験した後、それらの標準化業務に携わる。現在は情報処理安全確保支援士の取得を目指し学習中。娘のハリネズミを溺愛している。

\ 記事をシェアする /

サービスに関する
お問い合わせ