2017年9月11日8:00
本人認証サービス「3-D Secure2.0」の開始を見据え、動的認証を採用
ジェーシービー(JCB)は、 ネットショッピング認証サービス「J/Secure」において、スマートフォンアプリを用いた「J/Secureワンタイムパスワード」を2016年9月14日より導入した。同社では、動的なパスワードの導入により、非対面決済の本人認証を強化するとともに、国際ブランドが推進する本人認証サービス「3-D Secure(セキュア)2.0」の開始を見据え、動的認証を採用したそうだ。
1回限り有効なパスワードを使って認証可能に
「MyJCB」のパスワードに代えてサービスを利用できる
「J/Secureワンタイムパスワード」は、専用のスマートフォンアプリを用いて発行される、 1回限り有効なパスワードを使って認証するサービスだ。J/Secure導入加盟店でネットショッピングをする際、JCB会員専用WEBサービス「MyJCB」のパスワードに代えてサービスを利用できる。
今回のサービスは、1回限り有効なパスワードのため、第三者に利用されるリスクを回避できる。また、 利用の都度パスワードが発行されるため、パスワードを覚える必要がない。
JCBでは、2004年からJ/Secureによる本人認証サービスを実施しているが、「MyJCB」のパスワードと3-D Secureのパスワードが共通であり、「3-D Secureに登録しているユーザー比率は低くはありません」と、ジェーシービー 信用管理本部 セキュリティー推進部 次長 豊福一貴氏は話す。しかし、ショッピングモールなど、他サイトと同様のパスワードで登録しているケースもあり、漏えいしたパスワードを悪用され、不正が発生することもあった。ただ、現状、国内において3-D Secureで決済できるEC加盟店が少ないため、大きな問題となっていない。
「ワンタイムパスワードの導入を検討したのは、2014年からであり、なりすまし被害に対して、抜本的な解決方法と考えています。また、実態として3-D Secure 2.0では、ワンタイム・パスワードとのセットになると想定されます」(豊福氏)
なお、JCBでは、2017年度中にブランドとして、3-D Secure 2.0に対応したJ/Secureの機能をリリースする予定だ。
外部評価を参考にスマートフォンアプリを採用
不正被害に遭った人、遭う懸念のある会員の登録率が高い
「J/Secureワンタイムパスワード」の導入に向け、ハードウェアなども検討したが、外部評価でセキュリティレベルが高いというお墨付きを得た、スマートフォンアプリで対応した。ソフトウェアトークンは大日本印刷が提供。一定の時間のみ利用可能なトークンをソフトウェアで生成している。
なお、JCBにとっては、ハードウェア型のトークンに比べ、コストを削減することもプラスとなったが、「今後、3-D Secure 2.0がリリースされた際は、より多くの方がワンタイムパスワードを利用されますので、アプリ以外のサービスも検討していきたいです」と豊福氏は構想を口にする。
(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりジェーシービー事例の一部を紹介)
