2018年11月7日9:00
フランス・Thales(タレス)は、銀行/カード会社やプロセッサーに対し、決済システムを守るためのセキュリティ製品を提供している。近年、ブロックチェーンの活用、銀行のAPI開放などが話題となっているが、Thales eSecurityの決済戦略担当ディレクター ホセ ディアス(Jose Diaz)氏に、最新の決済動向とセキュリティ対策の重要性について話を聞いた。
ブロックチェーン技術に対する関心が高まる
――まずは、決済ビジネスにおけるトレンドからお聞かせください。
ホセ ディアス:決済サービスで重要な点は、購買体験の一番全面でてくるものではなく、消費者の購買時に心配せずにいられる透明性を担保することです。さらに、クレジットカードなどのペイメントに加え、資金の移動による支払い時に、消費者の口座から加盟店の口座にシンプルに移動させることができれば、加盟店のコスト低減につながります。
たとえば、決済が消費者とのやり取りなく透過的に行われるためには、暗号化に加え、デバイス上でのセキュリティ技術が必要です。もう1つは、エレクトロニクスの世界になると、電子情報保護の重要性はより高まります。これまでのように紙ベースであれば、保護はしやすいと思いますが、電子データはハッカーがよりアクセスしやすい環境にあります。重要なのは、情報が格納されたモノであれ、転送されたモノであれ、きちんと保護することです。
世界ではビットコイン(Bitcoin)などをはじめとする、ブロックチェーン技術に対する関心が高まっています。現在、ブロックチェーンは、さまざまなテストが行われており、金融機関に加え、他の業界でも重要な技術となっています。これまで、国をまたいだり、銀行間での資金のやりとりは時間がかかるプロセスでしたが、この技術を使うことで大きなメリットを得ることができるでしょう。また、金融機関においては、資金の移動速度を速めるなど、業務の改善につながります。さらに、ブロックチェーンは物の追跡を行うこと等でも使われ、市場でもかなり大きな影響を与えると思われます。一部のアナリストによると、ブロックチェーンの与える影響は、インターネットが出てきた当時と同等規模であるという話もあります。
VisaとChianの「VISA B2B connect」、LedgerXでHSMが採用
――今後ブロックチェーンが決済市場に与える影響は大きくなるということですか?
ホセ ディアス:ブロックチェーンのアルゴリズム、鍵を管理するためのプロセスは、他の金融サービスと違っている点があります。ブロックチェーンのトランザクションは、チェーンということで、お互いに鎖でつながれており、各鎖をつないでいるところに暗号化技術が使われています。そして、デジタル署名を使って、その全体の認証を取る仕組みになっています。それが他の決済と環境が異なる点です。他の決済手段は、常に情報を部分的に暗号化していますが、暗号化されている各部分の関係性がありません。ブロックチェーンは監査証跡をつくっており、そのトランザクションの全てにおいて、必ず前のトランザクションとの関連づけが行われます。そして、プロセス全体の真贋性を担保するのがデジタル署名となります。仮想通貨は、お金を格納するウォレットを保護するところで暗号化技術を使っていますが、それに加え、交換所において資金がウォレット間でやり取りをする部分でHSM(Hardware Security Module)が用いられており、取引の確認を行い、また取引に関して署名をして次の交換所に渡していきますので、入り口から、受ける側、中間のプロセスまで保護が可能です。
ブロックチェーン技術を使った仮想通貨では、漏えいや侵害の例もありましたが、その中でわかってきたことは、実際に漏えいした理由の1つとして、トランザクションで使われている鍵の保護が適切ではなかったことです。暗号化技術が使われていたとしても、暗号鍵の保護を行っていなければ、問題があります。ただ、金融機関では、仮想通貨のセキュリティに関するセキュリティ意識は高いため、鍵の保護や利用の検討はされています。
――ブロックチェーンにおけるThales様製品の採用事例についてお聞かせください。
ホセ ディアス:私どもはHSMにより、鍵の管理を行うプロセスを保護するアプリケーションをお客様と一緒に構築しています。仮想通貨の世界に加え、そのほかの金融取引として、海外支払いについてもニーズが出てきています。VisaとChain 社が協業して展開している「VISA B2B connect」は、タレスのHSMでブロックチェーンの安全性を確保しています。また、LedgerXという仮想通貨の交換所もHSMを使用しています。さらに、アクセンチュアでは、HSMと統合して、より広範な金融向けのアプリケーションとして展開しています。考えるべきなのは、ブロックチェーンは取引のプロセスをスピードアップし、セキュリティを高め、取引をよりシンプルにするための技術という位置づけであることです。
バックエンドシステムはそのほかにもいろいろな変化が生まれています。たとえばオープンバンキングとして銀行がAPIを開放することで、加盟店やサードパーティが、銀行口座にアクセスしやすくなります。プロセス改善という意味で大きな影響が出ますし、イノベーションとして、第三者がモバイル決済を導入しやすくなるなど、購入体験を提供する意味でも重要です。たとえば、加盟店が私の銀行口座に送金したり、銀行から加盟店に送金するといったことがオープンバンキングの影響の1つとして挙げられますが、それ以外にも私が大型テレビを買った場合、加盟店から私の口座に対してアクセスすると、10回払いで支払えるというオプションが提供できます。つまり、オープンバンキングにより、加盟店と銀行とのコミュニケーションとして、これまでのクレジットカードでは構築できなかったコミュニケーションを持つことが可能です。
ThalesがAPIアプリケーションで担っている役割は、まず情報をセキュアにすること、情報のやり取りをしている当事者が適切な人であることを担保することです。バックエンドでやることが増えれば増えるほど、セキュリティは重要となります。そこでデジタル証明書など、当事者が確認できるような技術が重要であり、Thalesが提供するHSMやデータ保護のソリューションの役割が増しています。
グローバルでPCI DSSの準拠率が低下した点についての見解は?
――暗号化製品であるVormetricの販売状況についてはいかがでしょうか?
ホセ ディアス:Vormetricは、トランザクションの安全性を高めたり、公開鍵インフラの保護などを行うタレスの製品を補完する目的となるデータ保護製品となります。より多くの企業がクラウド側にデータを移行する中、クラウド内で使われている情報を保護する目的として採用されています。
――セキュリティベンダーの調査によると、グローバルでPCI DSSの準拠率が下がっているというデータもありますが、Vormetric製品の販売状況について、影響はございますか?
ホセ ディアス:PCI DSS基準をとりまく課題として、データ侵害が後を絶ちません。加盟店にしろ、プロセッサーにしろ、世界中で侵害が起きています。国や市場によってペイメントシステムに課せられた規制は異なります。その理由として、お客様もデータ保護の重要性とカード情報流出の対策をよく理解しているからです。ペイメント業界ではカード情報保護の重要性が増しており、仮に情報漏えいが起きた場合の損失も大きいため、むしろVormetric製品の需要は高まっています。
PCI DSSの準拠率が下がっている点については、2つの理由が考えられると思います。1つは新規参入の会社が増えていますが、そういった企業の対応が遅れている点です。また、(トークナイゼーションやP2PE、非保持化などの)新たな技術によって、PCI DSS準拠をせずにカード情報の保護が可能になったことも考えられます。データ保護はサービス側で対応することで、部分的にPCI DSSは対象外になるためです。
――最後に、日本の決済システムに対する期待についてお聞かせください。
ホセ ディアス:日本は取引の多くがまだ現金払いですが、しかしながら海外向けの支払いの重要性も2020年の東京五輪に向けて高まっています。リオ五輪のブラジルなど、他国の例と同様に、ペイメントのインフラをさらに進化させて、来日された方が普段から慣れた支払い手段で決済できるように強化されると思います。そういった中でデータ保護としてHSMやVormetric製品の重要性はさらに高まると考えています。
