市販デバイスを決済端末に使用する「SPoC」と「CPoC」 国内での普及やセキュリティのポイントは?

2021年3月1日8:00

国内では、スマートフォンを決済端末と連携させるmPOS(モバイルPOS)ソリューションがここ数年すっかり定着した。今後は、AndroidやiOSといった市販のデバイスとなる「COTS」を決済端末として使用するSPoC(Software-Based PIN Entry on COTS)やCPoC (Contactless Payments on COTS)の国内での普及が期待されている。今回は、スマートフォン決済サービスのセキュリティに詳しい、ネットムーブ ペイメント事業部長 高田理己氏に、COTSデバイスの国内普及に向けたセキュリティ面でのポイントについて、解説してもらった。

※書籍「キャッシュレス・セキュリティガイド」より

mPOSの次世代サービスとしてCOTSを調査中

ネットムーブは、2019年4月に住信SBIネット銀行の100%子会社となった。現在は住信SBIネット銀行に対し、スマートフォンでのログイン時にFIDO(Fast IDentity Online)での生体認証を行う機能を提供している。また、住信SBIネット銀行は、VisaとMastercardのプリンシパルメンバーであるため、決済のパッケージサービス等で協業していく可能性もある。高田氏は「クレジットの決済代行のファンクションだけではできないことを検討しています」と話す。

同社では、2015年からmPOSソリューションとして「SaATポケレジ」の名称でスマートフォン決済サービスを展開していたが、2020年にはスピーディ、シンプル、セーフティなサービスとして「Spayd(スペイド)」にリブランディングした。

ネットムーブ ペイメント事業部長 高田理己氏

ネットムーブの強みとして、iOS のJailbreak(ジェイルブレイク)、Androidの Root化検知をはじめとしたセキュリティ関連SDK(ソフトウェア開発キット)を金融機関向け販売しており、インターネットバンキングの利用者に組み込んでもらうと脆弱性が検知できる仕組みを提供しているが、「スペイドにもサービス提供当初より同エンジンが入っており、脆弱性がある段階では決済させない機能を搭載しています。COTSは PCISSC でセキュリティ仕様を規定していますが同様の機能が要求されていることから弊社でも取り組みやすいのではないか?と考えたのが調査を進めるきっかけになりました」と述べる。

スペイドでは、決済時のクレジット番号は端末で読み取り時にすぐに暗号化している。暗号化はいろいろな方式があるが、単純に固定のカギを使った場合、1つの鍵が漏洩した時にシステム全体の暗号鍵がわかり、搾取した人に読み取れてしまう懸念がある。その対策として、決済の都度、暗号鍵を変える方式「DUKPT(Delivered Unique Key Per Transaction)」の仕組みがあり、現在は、mPOSのプレイヤーが標準的に採用している。それを国内でいち早くモバイルPOSで採用した。鍵を配布する大元の鍵はThales(前Gemalto)のHSM(ハードウェア・セキュリティ・モジュール)を使用し、端末側とセンター側をPKI(公開鍵暗号基盤)を使って相互認証したうえでセキュアな鍵を配布している。こういった部分をスクラッチで1から作ると、コスト面を含め、事業に影響が出るが、同社が仲介することでMIURA Systems製の端末を使用して早期に事業を開始可能だ。同社では、mPOSの次世代のサービスを調査しており、COTSデバイスの導入を検討している。

また、2017年10月に「PCI P2PE ソリューション」 および 「PCI P2PE コンポーネント」 のプロバイダ認定を国内で初めて取得し、2020年10月に更新している。

SPoCはSCRPで読み取り後にPIN入力を汎用デバイスで実施

COTSには、SPoC(Software-Based PIN Entry on COTS)とCPOC(Contactless Payments on COTS)の2種類ある。SPoCは、SCRP(Secure Card Reader for PIN)でカード番号を読み取ってから、AndroidやiOSといったCOTSデバイス上でPIN入力させる仕組みだ。店舗は、専用のアプリケーションを汎用デバイスにダウンロードして使用する。SPoCを世界で初めて商用展開したのは日本でもビジネスを展開している米国・Squareとなり、数多くのOSで認定を取得し、米国でサービスをスタートしている。また、グローバルでは、Soft Space、MYPINPAD、Ingenico、PAX Computer Technology (Shenzhen)などが認証を取得している。

PCISSCのサイトに掲載されている認定リストの「Solution Details(詳細)」をクリックすると、認定されたデバイス、OSのリストが確認できます。すなわち、オペレーション上の課題として「OSのバージョンごとに認定を取得する必要があり、使用しているOSを監視する必要があります。実働でいうと、Androidは癖があるため、メーカーは端末も検証する必要が出てくるでしょう」と説明する。また、仕様書では健全なデバイスでないと使わせないことがレギュレーションで定められている。高田氏は「決済時にJailbreak、Root化されていないか、また、PINを入力する際のアプリケーションが改竄されていないかをトランザクション毎に都度確認する必要があります」と話す。

OSのバージョンアップ対応が普及の課題に
非接触決済を汎用機で可能にするCPoC

関連記事

ペイメントニュース最新情報

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP