「Tap to Phone」などのCOTSやアプリ決済のセキュリティのポイントは?

2023年6月1日9:00

近年、スマートフォンやタブレットなどの汎用端末に活用する「COTS(commercial off-the-shelf)デバイス」、スマートフォンアプリなどのSDKを利用する決済が注目されており、今後さらなる広がりが期待される。クレジット取引セキュリティ対策協議会は、「クレジットカード・セキュリティガイドライン」の附属文書16として「スマートフォン・タブレット等のアプリを利用した決済に関するセキュリティ対策の技術要件について」を附属文書として作成した。同文書は限定的に公表されており、加盟店や事業者はアクワイアラ(加盟店開拓事業者)経由で取得することとなるが、同ガイドラインの策定の背景やCOTSやアプリ決済のセキュリティのポイントについて三菱UFJニコスとフライトシステムコンサルティングに解説してもらった。

左から三菱UFJニコス イノベーション推進部長 矢嶋浩明氏、フライトシステムコンサルティング 代表取締役社長 片山 圭一朗氏

汎用端末の決済アプリに関する附属文書を作成
必要であればアクワイアラ経由で取得可能に

クレジットカードセキュリティ対策協議会では、2020年の東京オリンピック・パラリンピックに向けて、国際的な水準に合わせたクレジットカード取引のセキュリティ環境を整備する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)を2016年3月に策定し、発行カードやクレジットカード決済端末のIC化で大きな成果を上げた。実行計画は2020年4月より「クレジットカード・セキュリティガイドライン」(以下、セキュリティガイドライン)に継承されたが、「セキュリティガイドラインではmPOS(モバイルPOS)のような、汎用端末の決済アプリを使用する方式を想定した書き方となっていませんでした」と三菱UFJニコス イノベーション推進部長 矢嶋浩明氏は説明する。

近年は「Tap to Phone」「Tap on Phone」「Tap On Mobile」といった対面取引において汎用端末を決済端末に活用するソリューションが登場している。また、決済代行事業者が非対面取引においてWebブラウザを経由せずにオンラインのアプリ決済を提供するケースが増えている。セキュリティガイドラインでは非対面取引におけるJavaScript型の非保持、PCI DSS準拠については記載されているが、アプリ決済については説明がなかった。

協議会では、年に1回のセキュリティガイドライン、および附属文書の改訂があるが、3月15日の発表に合わせ、今回の附属文書16として「スマートフォン・タブレット等のアプリを利用した決済に関するセキュリティ対策の技術要件について」が策定された。なお、同附属文書は協議会の会員のみに公表しており、加盟店やサービス事業者は必要であればアクワイアラ経由で取得できる。

協議会のテクニカルグループで議論
「PCI MPoC」や国際ブランドの基準を参考に作成

同附属文書は、三菱UFJニコスが議長会社となるクレジット取引セキュリティ対策協議会のテクニカルグループで議論された。専門性が高いテーマのため、すでにCOTSとして「Tapion」サービスを提供するフライトシステムコンサルティングをはじめ、決済端末メーカー、決済処理センター、決済代行会社、セキュリティ会社などの有識者によるプロジェクトを組成し策定を行った。

スマートフォンを活用した決済端末としては、2010年以降、ジャックを挿入したり、Bluetoothと連携するモバイルPOS端末(mPOS)が登場している。日本クレジットカード協会では2011年にスマートフォン等によるクレジットカード決済端末の必要最低限の安全基準を定義した「スマートフォン決済の安全基準等に関する基本的な考え方」を取りまとめ発表した(参考)。例えば、mPOSにおいて、ICカードリーダで認証する場合は、EMV4.2 Book2-Security and key Management“11.1 Security Requirements”以上の要件に準拠していること、PINパッドはPCI PTS認定要件に準拠することが記載された。マグストライプでのカード情報の読み取りはSRED(エスレッド)と呼ばれる技術を使用し、カードをスワイプした瞬間に情報を暗号化することを記載している。今回の附属文書は、同ガイドラインと見比べても齟齬が出ない内容となっているそうだ。

附属文書の内容は、対面取引におけるmPOS並びに「Tap to Phone」のような汎用端末を利用した決済端末を開発するにあたって求められる事項を取り纏めており、PCI SSCの定める「PCI MPoC」(Mobile Payments on COTS)、およびVisa、Mastercardといった国際ブランドの基準を参考に作成した。「PCI MPoC」は「PCI CPoC」等からの改定が進められていたため情報は少なかったが、すでに同基準をウォッチしているフライトシステムコンサルティングなどの意見を参考に、盛り込んだそうだ。

アプリ開発や配信方法、遠隔監視、Wi-Fi基準等を記載
ハッカー対応など、COTS参入の難易度は高い?

具体的には、アプリケーションの開発時に関する要件、アプリの配信方法に関する要件、さらに、遠隔監視など端末管理に関する要件、Wi-Fiを使う場合の基準などが記載されている。

「Tapion」を提供するフライトシステムコンサルティング 代表取締役社長 片山 圭一朗氏は、「例えば、AppleのApp StoreやGoogleのGoogle Playにアプリをあげるよりも、直接ユーザーに配布した方が安全に思われるかもしれませんが、両社は第三者証明が付いており、改ざんされていないことを証明してくれます。そのため、基本両社のアプリストアで提供し、そうしないのであれば相応の証明書を使うことが必要です」と説明する。

フライトシステムコンサルティングは国内で初めてタッチ決済を市販のAndroid端末で実現する技術「Tap to Phone」を使って開発された新しい決済ソリューション「Tapion」を展開。カフェ、カジュアルレストラン、キッチンカー、屋台、朝市などの小・中規模事業者、並びにオフィスや家庭などへの訪問販売を行っている加盟店に向け、今後本格展開を予定する

また、Wi-Fiに関しては、ガイドラインでは使用を認めているが、Tapionではユーザビリティの観点から利用しない方向だ。その理由として片山氏は「PCI DSSの観点として、3カ月に1回のパスワードの変更、ログを3カ月保持するなど、店舗の運用負荷が高くなり、それを考えると課題は大きいです。PCIのMPoCは禁止していませんが、PCI DSSの運用通りに行うと現実的に難しいです」と経緯を述べる。Wi-Fiも以前は脆弱性が指摘されたが、現在はセキュリティも強化されているため、現行のPCI DSSの基準のままでは使いづらいとした。

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP