市販デバイスを決済端末に使用する「SPoC」と「CPoC」 国内での普及やセキュリティのポイントは?

2021年3月1日8:00

国内では、スマートフォンを決済端末と連携させるmPOS(モバイルPOS)ソリューションがここ数年すっかり定着した。今後は、AndroidやiOSといった市販のデバイスとなる「COTS」を決済端末として使用するSPoC(Software-Based PIN Entry on COTS)やCPoC (Contactless Payments on COTS)の国内での普及が期待されている。今回は、スマートフォン決済サービスのセキュリティに詳しい、ネットムーブ ペイメント事業部長 高田理己氏に、COTSデバイスの国内普及に向けたセキュリティ面でのポイントについて、解説してもらった。

※書籍「キャッシュレス・セキュリティガイド」より

mPOSの次世代サービスとしてCOTSを調査中

ネットムーブは、2019年4月に住信SBIネット銀行の100%子会社となった。現在は住信SBIネット銀行に対し、スマートフォンでのログイン時にFIDO(Fast IDentity Online)での生体認証を行う機能を提供している。また、住信SBIネット銀行は、VisaとMastercardのプリンシパルメンバーであるため、決済のパッケージサービス等で協業していく可能性もある。高田氏は「クレジットの決済代行のファンクションだけではできないことを検討しています」と話す。

同社では、2015年からmPOSソリューションとして「SaATポケレジ」の名称でスマートフォン決済サービスを展開していたが、2020年にはスピーディ、シンプル、セーフティなサービスとして「Spayd(スペイド)」にリブランディングした。

ネットムーブ ペイメント事業部長 高田理己氏

ネットムーブの強みとして、iOS のJailbreak(ジェイルブレイク)、Androidの Root化検知をはじめとしたセキュリティ関連SDK(ソフトウェア開発キット)を金融機関向け販売しており、インターネットバンキングの利用者に組み込んでもらうと脆弱性が検知できる仕組みを提供しているが、「スペイドにもサービス提供当初より同エンジンが入っており、脆弱性がある段階では決済させない機能を搭載しています。COTSは PCISSC でセキュリティ仕様を規定していますが同様の機能が要求されていることから弊社でも取り組みやすいのではないか?と考えたのが調査を進めるきっかけになりました」と述べる。

スペイドでは、決済時のクレジット番号は端末で読み取り時にすぐに暗号化している。暗号化はいろいろな方式があるが、単純に固定のカギを使った場合、1つの鍵が漏洩した時にシステム全体の暗号鍵がわかり、搾取した人に読み取れてしまう懸念がある。その対策として、決済の都度、暗号鍵を変える方式「DUKPT(Delivered Unique Key Per Transaction)」の仕組みがあり、現在は、mPOSのプレイヤーが標準的に採用している。それを国内でいち早くモバイルPOSで採用した。鍵を配布する大元の鍵はThales(前Gemalto)のHSM(ハードウェア・セキュリティ・モジュール)を使用し、端末側とセンター側をPKI(公開鍵暗号基盤)を使って相互認証したうえでセキュアな鍵を配布している。こういった部分をスクラッチで1から作ると、コスト面を含め、事業に影響が出るが、同社が仲介することでMIURA Systems製の端末を使用して早期に事業を開始可能だ。同社では、mPOSの次世代のサービスを調査しており、COTSデバイスの導入を検討している。

また、2017年10月に「PCI P2PE ソリューション」 および 「PCI P2PE コンポーネント」 のプロバイダ認定を国内で初めて取得し、2020年10月に更新している。

SPoCはSCRPで読み取り後にPIN入力を汎用デバイスで実施

COTSには、SPoC(Software-Based PIN Entry on COTS)とCPOC(Contactless Payments on COTS)の2種類ある。SPoCは、SCRP(Secure Card Reader for PIN)でカード番号を読み取ってから、AndroidやiOSといったCOTSデバイス上でPIN入力させる仕組みだ。店舗は、専用のアプリケーションを汎用デバイスにダウンロードして使用する。SPoCを世界で初めて商用展開したのは日本でもビジネスを展開している米国・Squareとなり、数多くのOSで認定を取得し、米国でサービスをスタートしている。また、グローバルでは、Soft Space、MYPINPAD、Ingenico、PAX Computer Technology (Shenzhen)などが認証を取得している。

PCISSCのサイトに掲載されている認定リストの「Solution Details(詳細)」をクリックすると、認定されたデバイス、OSのリストが確認できます。すなわち、オペレーション上の課題として「OSのバージョンごとに認定を取得する必要があり、使用しているOSを監視する必要があります。実働でいうと、Androidは癖があるため、メーカーは端末も検証する必要が出てくるでしょう」と説明する。また、仕様書では健全なデバイスでないと使わせないことがレギュレーションで定められている。高田氏は「決済時にJailbreak、Root化されていないか、また、PINを入力する際のアプリケーションが改竄されていないかをトランザクション毎に都度確認する必要があります」と話す。

OSのバージョンアップ対応が普及の課題に
非接触決済を汎用機で可能にするCPoC

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP