2023年12月22日8:00 

日本市場でも、Android 端末でタッチ決済を実現する「Tap on Phone」により、カフェ、カジュアルレストラン、キッチンカー、屋台、朝市など、さまざまな小・中規模事業者でのキャッシュレス化を実現するユースケースが出現し、数年経過した。本稿では、「Tap on Phone」で重要な役割を果たすセキュリティ技術に関して俯瞰する。

記事のポイント!
①PCI-PTS等のセキュリティ規格に適用できない
②暗号鍵そのものの保護が必要
③ソースコードや機密データの保護
④OSが正常かを常時監視
⑤開発ライフサイクルの安全性確保

⑥「Tapion」でのアプリセキュリティは?
⑦PCI MPoCでも重要に
⑧COTSに加え、クレジット全般で利用できる技術

「Tap on Phone」アプリのセキュリティ

COTS(Commercial-Off-The-Shelf)と呼ばれるいわゆるスマホ決済を行うための端末では、決済専用の端末のようなPCI-PTS等のセキュリティ規格に適用することができない。適切な保護がない決済アプリケーションは、攻撃者に決済情報や認証情報など、機密データを取得させる可能性があり、不正防止は決済アプリケーションを提供するSoftPOSプロバイダーの主要な責務である。モバイルアプリケーションは、ウェブアプリケーションとは異なるタイプの攻撃を受けるため、開発者は特定のセキュリティ施策を実施する必要がある。これらは後述するPCI-MPoCの認証取得を念頭においた施策である。以下、セキュリティ構成要素を挙げる。

4つのコンポーネントセキュリティ施策

●暗号鍵の保護
攻撃者が暗号鍵にアクセスできないこと、不正利用できないことなど、暗号鍵そのものの保護が必要である。暗号アルゴリズムの実行中であっても、暗号鍵が平文で公開されることがないよう、暗号鍵を隠し、保護すること。
●ソースコード、機密データの保護
SoftPOS決済アプリケーションのリバースエンジニアリングやクローン作成を防止すること。アプリケーションを不正操作できないようにすること。不要なパーミッション権限を持つアプリは正規アプリであっても、顧客情報流出やコンプライアンスを脅かすだけでなく、攻撃者の標的にもなりえる。
●稼働中の脅威を可視化
モバイル決済アプリケーションが実行される環境が信頼できるかどうか、OSのプラットフォームが正常かどうかを、常時監視する必要がある。モバイル決済アプリケーションは、企業のバックエンドサーバから提供されるサービス・APIと通信する必要がある。これらが適切に管理されていない場合、この通信から攻撃される危険性がある。例えば、以下のような脅威についての遠隔測定と分析を実施し、攻撃者ツール、悪意のあるアプリ、ネットワークベースの攻撃から保護を行う必要がある。
・アプリ稼働時に脅威を自動的に検出
・事前定義された動作で脅威に応じた対応
・認証拒否 / アカウントロック
・データ削除 / キャッシュ削除
・モバイル取引を制限
・脅威対策チームにレポート

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP