2016年7月20日8:00
タレスジャパン株式会社/マクニカネットワークス株式会社
HCEのスキームの中で重要性を増すHSM
決済取引でPIN・アカウント情報を安全に管理
HCEのさまざまなスキームにおいて、重要なコンポーネントとされるものがあります。それがHSMです。HSMには通常2つのタイプがあります。1つが汎用タイプ、もう1つがさらに特化した決済専用のHSMであり、タレスではそれぞれnShieldとpayShieldという名称で提供しています。いずれも多くのイシュアによるHCEのソリューションで一般的に使われるものになっています。
なぜ現在、各国際カードブランドで、HSMが決済の場において不可欠なものとみなされているのか。それはHSMが単に暗号処理を行うためのコンポーネントではなく、セキュリティを確実かつ実践的な方法で行うために使われるものだからです。つまり、人と決済処理と技術をすべて組み合わせるのがHSMなのです。
HSMでは承認されたプロセスに準拠して鍵生成プロセスが行われ、また、モバイルデバイスに対するプロビジョニングもセキュアに行うために承認されたプロセスに準じて行われます。このようなプロビジョニングなシステムが、セキュリティ侵害を受けた場合には、最終的にその根底にあるセキュリティそのものが破たんしてしまうことになります。その意味から、HSMは非常に重要なコンポーネントとして存在しており、どのカードベースの発行インフラストラクチャでもそのような理解を持っていただいているのです。
HCEのスキームにおけるセキュリティでは、バックエンドセキュリティという考え方がベースとなっており、イシュアはこの考え方の下で初めてHCEが行えることになります。その実行の際には、どのように決済のID情報が管理されているか、どのようにユーザーおよび決済のID情報が認証されているか、そして、いかにしてデータを携帯電話の中で無効にすることができるか、などをすべて確認する必要があります。
バックエンドセキュリティの仕様は、カードブランドによってそれぞれ異なるのですが、その仕様を始めてつくったのがVisaとMasterCardです。ここで重要なのは、イシュアではこれらのシステムの大半の部分がアーキテクチャとしてすでに存在しているということです。したがって、これらのアーキテクチャを大きく変更しなくても対応できることが重要となります。ただ、モバイル決済のための新たな機能はきちんとつくり込んでサポートできるようにしないといけませんが、そのあたりは既存のソリューションで十分対応できるようになっているはずです。
世界中の企業で活用されるタレスのHSM
CreditcallはmPOSゲートウェイの開発工数を大きく削減
具体的なケーススタディとして、まず、Creditcallについてお話しします。CreditcallはEMV対応の決済ゲートウェイを持っており、ヨーロッパや北米を中心に決済サービスを提供しています。
Creditcallが解決しなければならなかった課題がいくつかあります。まず、初めてカード決済を実施するような小規模な加盟店が採用し得る低価格で安全性の高いソリューションが必要となりました。また、そうした小規模加盟店は長期契約で縛ることが困難なため、彼らの運用コストを低減するような効率的なサービスを申し込める仕組みが必要でした。
Creditcallが実際に適用したソリューションでは、まずCreditcallがリーダを提供して、加盟店が決済にスマートフォンやタブレットを利用できるようにしました。この仕組みの中でP2PEを実装することで、加盟店側が決済データを復号化することが不可能となることから、加盟店はデータを“持たない”ことになり、PCI DSSの監査対象から外れることとなります。このソリューションの中でタレスのHSMは、カードリーダの発送後にリモートから鍵生成と鍵投入を行うことを可能とし、また、Miura Systemsのカードリーダとの統合を非常に速くすることで、mPOSゲートウェイの開発工数を大きく減らすという付加価値を提供しています。
次に、日本を拠点に活躍されているロイヤルゲートの例を紹介します。ロイヤルゲートは安全で柔軟かつ拡張性の高いモバイル決済デバイスやソリューションを、その技術をもって提供しています。
ロイヤルゲートでは、まず、すべての加盟店をカバーするような柔軟性のあるモバイル決済ソリューションを必要としていました。また、接触・非接触のタイプを問わず、すべての発行カードに対応するソリューションを必要としていました。ロイヤルゲートの取り組みの重要なポイントは、世界で初めて非接触型カードに対応するmPOSのソリューションを提供したことです。
ロイヤルゲートがタレス製品の活用により獲得した付加価値は、DUKPTやP2PEを採用して厳格な鍵管理と高いセキュリティを実現できたこと、日本をはじめとするさまざまな国際基準に対応したセキュリティを実現したということ、さらに非常に高いパフォーマンスと拡張性を実現できたということです。ロイヤルゲートはこれにより、カードデータのアクセプタンスからモバイルのアプリケーション、データセンターに至るまで、ほぼすべてのポイントにわたる保護を確実に実現しました。
新しい技術を使ってビジネスを変革することは不可欠に
タレスとマクニカネットワークがmPOSやHCE導入に向けた展開をサポート
タレスはHCEのインフラのセキュリティを高めてきた経験から、HCEがイシュアにとってビジネス上の大きなメリットをもたらすと考えています。モバイル決済の仕組み全般を自社でコントロールできるということがまぎれもなく最大のメリットとなります。多数のキャリアや携帯事業者と連携・統合することなく、迅速かつ容易に複数端末やデバイスへのデプロイメントができますし、これをさまざまなプラットフォームでサポートして全ユーザーに対してフルカバレッジを提供する柔軟性を持つこともできます。
モバイル決済システムの成功の鍵はもちろん利便性、セキュリティ、すぐれたデザインを追求することにあります。その目標に向かって必要なのは、シンプルな見地から考え、モノを見て、サービスをゼロからつくることだと思います。金融サービス業界で働いている方々は、これまでと違うアプローチをとるのは危険ではないかと思いがちですが、それは間違った考えだと思います。これまでずっと使ってきたメソッドが、今後もずっと利便性があって安全であるとなぜ言えるのでしょうか。今日の世界において、ある企業が競争力をずっと持ち続けようとするならば、新しい技術を使ってビジネスを変革することは不可欠です。そして、新しい技術の活用によってお客様に付加価値を提供していかなければ、その企業が競争力を持ち続けることはできません。
タレスおよびマクニカネットワークスには、この分野の専門家が数多くおり、HSMの導入を支援していますので、お気軽にご相談ください。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のタレス e‐セキュリティ APAC シニアプロダクトマネジャー ジロウ シンドウ氏の講演をベースに加筆を加え、紹介しています。
お問い合わせ先
■タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com
■マクニカネットワークス株式会社
Thales 製品担当
〒222-8562 横浜市港北区新横浜1-5-5
マクニカ第2ビル
TEL 045-476-2010 FAX 045-476-2060
Email:thales-sales@cs.macnica.net
URL:http://www.macnica.net/thales/
