2014年3月19日10:00
覚えておきたいカード決済のセキュリティのキーワード
クレジットカード等のペイメントカードは、1枚のカードで世界中どこでも利用できるメリットがある一方で、セキュリティが重要となります。そこで、ペイメントカードのセキュリティ対策で重要なキーワードについて紹介します。ペイメントナビ編集部では、2014年3月25日に「ペイメントカード・セキュリティフォーラム2014」を開催しますが、ぜひ来場前の参考にしていただければ幸いです。
●トークナイゼーション
データベースの暗号化以上に強固なセキュリティ技術であると言われます。国内ではジャパンネット銀行、ゴルフ・ダイジェスト・オンラインが同技術を採用しています。トークンを「関係のない数列」に置き換えて利用する方法で、最近ではクレジットカード等のペイメントカード番号(16ケタ)の情報を置き換えて利用するケースも見受けられます。VisaやMasterCardは、モバイルペイメントで「セキュアエレメント(Secure Element)」ではなくクラウド内に保持する機能を発表しましたが、同技術はトークナイゼーションの技術が利用されています。
●3-Dセキュアなどの認証手段
インターネットのセキュリティ対策として、国際ブランドやカード会社が推奨するのが「3-Dセキュア」です。これは、ネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みとなっており、Visaが「VISA 認証サービス」、MasterCardが「SecureCode(セキュア・コード)」、JCBが「J/Secure(ジェイセキュア)」の名称で展開しています。
3-Dセキュアを導入しない場合は、通常のカード番号、有効期限だけの決済になりますが、3-Dセキュアはパスワードを入力することによる安全性、信頼性が向上すると言えるでしょう。また、3-Dセキュアを導入しているECサイト加盟店で発生した不正被害に関しては、基本的にカード会社側が被害額を負担してくれるメリットもあります。
ただし、第三者が推測しやすいパスワードを設定した場合、3-Dセキュアのパスワードそのものが盗まれる可能性は否定できません。そのため、トークンやモバイルのワンタイム・パスワードと併用した3-Dセキュアのソリューションをカード会社に提案する企業もあります。
また、海外では「ZIPコード」による認証、IPアドレスによる認証等、クレジットカード利用者の属性情報を活用した認証方法も行われています。
●動的認証
今後はワンタイム・パスワードなどの動的認証の導入も含めて、検討していく必要があるでしょう。ワンタイム・パスワードは、1回限りのパスワードを利用することにより、不正のリスクを軽減する方法が用いられています。最近では、ペイメントカードの世界でも動的な番号を利用するケースが増えてきました。ジャパンネット銀行では、1 回限りの使い切りカード番号である「ワンタイムデビット」の利用を呼び掛けています。また、MasterCardは、アフリカのエアーテル、スタンダードチャータード銀行と協働し、携帯電話を利用した世界初のバーチャルカードを発行しています。また、カード券面にディスプレイが搭載された「ディスプレイ・カード」により、1回限り有効なセキュリティコードを表示させるソリューションも登場しています。
●PCI DSS
PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際ペイメントブランド5社が定めた、カードのセキュリティ基準です。2013年末現在、国内80社が準拠しているそうです。
●PCI PTS
PCI PTSは、POSベンダーや決済端末ベンダーなど、PIN入力を行う端末開発事業者が対象の基準で、例えば端末のセキュリティ強度、操作時に発生する信号のガード、情報の暗号化などが検査されます。PCI PTSについては、国内で審査を行える機関が現状でないことがまず課題となっています。また、端末業界では低価格な端末を求められることが増えているため、PCI PTSの厳しい基準に対応しながらコストを抑えるのは難しいという問題も出てきています。
●DUKPT
スマートフォン決済における暗号鍵管理としてPCI PTSの関連規格である「DUKPT(Derive Unique Key Per Transaction)」が注目されています。DUKPTはANSI X9.24-1で標準化されており、決済のトランザクションごとにユニークな鍵を派生することで、例え、鍵が解読されても以降のトランザクションには影響を与えない仕組みとなっています。
●Point to Point Encryption
データを保護しなければならない最初の段階でデータを暗号化する技術が「Point to Point Encryption」です。加盟店POSやmPOS(モバイルPOS)、ATMなど、加盟店のITシステム内でセキュアな運用が可能な技術として注目されています。すでにPCI DSSの運営団体であるPCI SSCがガイドラインを策定しています。
●EMV、ライアビリティシフト
EMVは、国際ブランドのEuropay、MasterCard、Visaが策定した、ICカードを利用した決済のための国際的なデファクトスタンダードの仕様です。国内では約60%のイシュアがEMV ICカードに対応しているそうです。また、欧州では、32カ国が加盟するSEPA(Single Euro Payments Area)によるICカード化が進められ、主要国では大きな成果を見せています。その一方で、米国ではEMV IC化がそれほど進んでいません。Visaでは、ガソリンスタンドの自動給油機を除き、ICカード対応のPOS・決済端末を未導入の加盟店におけるカード偽造の債務責任がアクワイアラに課せられるようになるライアビリティシフトが2015年10月以降行われると発表しました。また、MasterCard、American Express、Discover、Dinersも同様のライアビリティシフトの導入を予定しています。これにより、磁気カード決済が主流の世界各国でEMV ICカード化が進むきっかけになると期待されています。
