2016年6月27日8:00

■ジェムアルト(Gemalto)
動的認証カード、トークナイゼーション、HSM等で強固なセキュリティを実現

カードセキュリティにとって、盗難、偽造、非対面取引(CNP)の対策とインフラ側の漏洩対策は重要です。特にCNP(Card Not Present)での不正利用は年々増えてきていますが、ジェムアルト(Gemalto)ではカード内で生成されるセキュリティコード3桁で動的認証を行う新しい技術を提供しています。また、カード情報の流出を防ぐための具体的かつ実効的な標準としてPCI DSSおよびトークナイゼーションが求められます。今回は、カードセキュリティの全体説明と、重要となる個別の対策について具体的に解説します。

EMV IC化が進むと同時に、CNPでの不正リスクが高まる
2014年の出荷カードの40%が非接触ICカードに

セーフネット(Safenet)は、デジタルセキュリティベンダーのGemalto(ジェムアルト)の傘下となりました。ジェムアルトはヨーロッパに本社を置き、全世界で約1万4,000人の社員を有し、欧州で進むEMV ICカードやSIMなどのソリューションを提供しています。また、日本では大手携帯会社にも導入されています。セーフネットは、ジェムアルト傘下になったことにより、認証、カード発行、キーの払い出し、トークナイゼーションなど、カード及びデータ保護にかかわるセキュリティサービスをエンド・ツー・エンドでカバーできるようになりました。

今、世界中のクレジットカードが、磁気カードから、高セキュリティなEMV IC化に切り替わっており、アメリカでも大規模な情報漏洩事件を機に、その流れは加速しています。アメリカでは、2017年までに(POS端末のIC対応化)98%を目指しています。ジェムアルトでは、なりすまし防止として、認証の仕組みおよび、カード型のワンタイムパスワード(OTP)も手掛けています。

また、今日、CNP(Card Not Present)と呼ばれる非対面取引が注目されており、セキュリティ強化策として、本人認証技術の「3Dセキュア」などの技術が求められる社会背景があります。

「対面取引における安全確保」として、欧州などでは、カードを店舗の従業員に渡さすことなく決済が行われています。たとえば、ファーストフードで商品を購入する際にも、自らカードリーダーにカードを挿入し、4桁のPINコードを入力して決済が行われています。アジアでは対面取引の33%がEMV取引ですが、日本でも今後さらにIC化の動きが進むと思われます。

国内では、「Suica」などのFeliCaカードを使ってスマートフォンやカードによる非接触決済が普及していますが、この動きは海外も同様で、2014年に出荷されたカードのうち40%が非接触カードを付帯しています。

非接触カードの多くは、PIN入力無しで決済が可能ですが、イギリス(UK)では20ポンドから30ポンドに限度額を増やしたところ、5カ月間でユーザーの利用額が倍増しました。オーストラリアでは100AUS$までPIN入力が不要で普及が進んでいます。

ペイメントセキュリティ対策に特化したさまざまなサービスを提供
PANの情報漏洩をトークナイゼーションにより回避

携帯電話の高度化が進み、従来はドコモ、KDDI、ソフトバンクといった通信会社の独壇場のところ、現在はSamsung、Appleをはじめとした埋め込み型のセキュアエレメント(Secure Element)を利用して、その中に携帯会社のプロファイルをダウンロードして使用する動きが広がっています。この中には、10個以上のプロファイルを格納可能ですが、アプリだけは外出しして、携帯会社のプロファイルをまたがずに、クラウド事業者を介して決済などのアプリケーションを管理できます。その際に重要なのは、クレジットカードのPAN情報がネットワークに露呈しないように、トークナイゼーションを前提にした、新しいPANコードに変換する仕組みとなります。また、Samsungのウェアラブルなどにもセキュアエレメントの仕組みが実装されており、セキュアエレメントや、ウェアラブルなどの「eSIM」を使用して、クラウド上で機密データを管理する「HCE(Host Card Emulation)」が広がろうとしています。その際は、トークナイゼーションを併用することで、セキュリティを担保可能です。さらに、指紋などの認証技術、ソフトウェアにセキュア領域が確保されるTEE(Trusted Execution Environment)などにより、HCEの世界が広がろうとしています。

ジェムアルトでは、偽造防止として「EMV化/ICカード」、情報漏洩対策として「PCIDSS/トークナイゼーション・暗号化」、なりすまし対策として「オンライン決済の二経路認証やワンタイムパスワード」等を提供しています。

gemalto1

カード情報を整理すると、PANはPCI DSSの要件となり、PCI DSSの要件を監査する「QSA」の審査の対象となります。PANの漏洩のリスク回避の対策として、トークナイゼーションにより、16桁の番号を違う数値に変換して使っていただくことにより、番号が仮に盗まれたとしても認証に使用することはできません。カードの持ち主の名前、住所、サービスコード、有効期限は、サーバサイドの漏洩対策となります。さらに、磁気ストライプやICチップの情報は、カード会社は基本、保管してはいけないルールです。また、お客様の指紋等の情報は、銀行や金融機関が保有できない個人情報になりますので、カードのICの中に保管するような仕組みが用いられています。

⇒⇒後編へ続く

※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のジェムアルト(日本セーフネット株式会社)IDP事業本部 ソリューションコンサルタント 長高 史朗氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
gemaltoジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
ソフトウェアマネタイゼーション事業本部:03-6744-0222
http://www.safenet-inc.jp/

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP