2021年3月1日8:00
国内では、スマートフォンを決済端末と連携させるmPOS(モバイルPOS)ソリューションがここ数年すっかり定着した。今後は、AndroidやiOSといった市販のデバイスとなる「COTS」を決済端末として使用するSPoC(Software-Based PIN Entry on COTS)やCPoC (Contactless Payments on COTS)の国内での普及が期待されている。今回は、スマートフォン決済サービスのセキュリティに詳しい、ネットムーブ ペイメント事業部長 高田理己氏に、COTSデバイスの国内普及に向けたセキュリティ面でのポイントについて、解説してもらった。
※書籍「キャッシュレス・セキュリティガイド」より
mPOSの次世代サービスとしてCOTSを調査中
ネットムーブは、2019年4月に住信SBIネット銀行の100%子会社となった。現在は住信SBIネット銀行に対し、スマートフォンでのログイン時にFIDO(Fast IDentity Online)での生体認証を行う機能を提供している。また、住信SBIネット銀行は、VisaとMastercardのプリンシパルメンバーであるため、決済のパッケージサービス等で協業していく可能性もある。高田氏は「クレジットの決済代行のファンクションだけではできないことを検討しています」と話す。
同社では、2015年からmPOSソリューションとして「SaATポケレジ」の名称でスマートフォン決済サービスを展開していたが、2020年にはスピーディ、シンプル、セーフティなサービスとして「Spayd(スペイド)」にリブランディングした。
ネットムーブの強みとして、iOS のJailbreak(ジェイルブレイク)、Androidの Root化検知をはじめとしたセキュリティ関連SDK(ソフトウェア開発キット)を金融機関向け販売しており、インターネットバンキングの利用者に組み込んでもらうと脆弱性が検知できる仕組みを提供しているが、「スペイドにもサービス提供当初より同エンジンが入っており、脆弱性がある段階では決済させない機能を搭載しています。COTSは PCISSC でセキュリティ仕様を規定していますが同様の機能が要求されていることから弊社でも取り組みやすいのではないか?と考えたのが調査を進めるきっかけになりました」と述べる。
スペイドでは、決済時のクレジット番号は端末で読み取り時にすぐに暗号化している。暗号化はいろいろな方式があるが、単純に固定のカギを使った場合、1つの鍵が漏洩した時にシステム全体の暗号鍵がわかり、搾取した人に読み取れてしまう懸念がある。その対策として、決済の都度、暗号鍵を変える方式「DUKPT(Delivered Unique Key Per Transaction)」の仕組みがあり、現在は、mPOSのプレイヤーが標準的に採用している。それを国内でいち早くモバイルPOSで採用した。鍵を配布する大元の鍵はThales(前Gemalto)のHSM(ハードウェア・セキュリティ・モジュール)を使用し、端末側とセンター側をPKI(公開鍵暗号基盤)を使って相互認証したうえでセキュアな鍵を配布している。こういった部分をスクラッチで1から作ると、コスト面を含め、事業に影響が出るが、同社が仲介することでMIURA Systems製の端末を使用して早期に事業を開始可能だ。同社では、mPOSの次世代のサービスを調査しており、COTSデバイスの導入を検討している。
また、2017年10月に「PCI P2PE ソリューション」 および 「PCI P2PE コンポーネント」 のプロバイダ認定を国内で初めて取得し、2020年10月に更新している。
SPoCはSCRPで読み取り後にPIN入力を汎用デバイスで実施
COTSには、SPoC(Software-Based PIN Entry on COTS)とCPOC(Contactless Payments on COTS)の2種類ある。SPoCは、SCRP(Secure Card Reader for PIN)でカード番号を読み取ってから、AndroidやiOSといったCOTSデバイス上でPIN入力させる仕組みだ。店舗は、専用のアプリケーションを汎用デバイスにダウンロードして使用する。SPoCを世界で初めて商用展開したのは日本でもビジネスを展開している米国・Squareとなり、数多くのOSで認定を取得し、米国でサービスをスタートしている。また、グローバルでは、Soft Space、MYPINPAD、Ingenico、PAX Computer Technology (Shenzhen)などが認証を取得している。
PCISSCのサイトに掲載されている認定リストの「Solution Details(詳細)」をクリックすると、認定されたデバイス、OSのリストが確認できます。すなわち、オペレーション上の課題として「OSのバージョンごとに認定を取得する必要があり、使用しているOSを監視する必要があります。実働でいうと、Androidは癖があるため、メーカーは端末も検証する必要が出てくるでしょう」と説明する。また、仕様書では健全なデバイスでないと使わせないことがレギュレーションで定められている。高田氏は「決済時にJailbreak、Root化されていないか、また、PINを入力する際のアプリケーションが改竄されていないかをトランザクション毎に都度確認する必要があります」と話す。
