カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 流通・コマースNavi

NTTデータ　いま、非対面決済で何が起きているのか？ 2026年・クレジット不正利用のリアルとその対抗策〜「CAFISパスキー」で強化するセキュリティ最前線〜（下）

2025年5月19日8:00

3-Dセキュアで期待される、
フィッシング耐性の高いパスキー認証

ここから後半では、不正利用の削減と承認率の向上の両立に向けた、パスキーの活用について紹介します。

パスキーは、公開鍵暗号方式を利用した認証方式です。ユーザーのデバイスに保管される秘密鍵と、認証サーバ側に登録される公開鍵を組み合わせることで、本人認証を行います。認証時には、ユーザーが端末の生体認証やPINなどでロックを解除し、端末内の秘密鍵を用いて電子署名を行います。サーバ側では、その署名を公開鍵で検証することで、登録済みのユーザー本人による認証であることを確認します。

デジタル上の本人認証では、一般に「知識」「所持」「生体」といった要素を用いて、対象者が本人であることを確認します。たとえば、パスワードは本人しか知り得ない「知識」による認証です。しかし、フィッシングなどによって第三者に知られてしまうリスクがあります。SMS-OTPは、本人が持っている携帯電話にワンタイムパスワードを届けることで「所持」を確認する仕組みですが、近年はOTPそのものを狙う不正手口も確認されています。

これに対し、パスキーでは、事前に登録されたデバイスを持っていることに加え、そのデバイスのロックを解除できることを確認します。秘密鍵はユーザーのデバイス側に保管され、認証時にも外部に送信されません。そのため、偽サイトや偽の認証画面に誘導してOTPを入力させるようなリアルタイムフィッシングに対しても、認証情報を盗み取られにくいという特徴があります。

たとえば、不正利用者が別の端末から認証を試みても、登録済みデバイスに保管された秘密鍵を利用できないため、認証は成立しません。このように、パスキーはフィッシング耐性の高い本人認証手段として期待されています。クレジットカード・セキュリティガイドラインでも、EC加盟店における不正ログイン対策の本人認証・認証強化策のひとつとして、パスキー認証が追記されています。

NTTデータでは、2025年11月に、パスキーを活用した認証サービスの提供開始について発表しました。さらに2026年春より、3-Dセキュアのチャレンジ認証手段として、パスキー認証をラインナップに加えます。従来のOTP認証では、SMSやメールで届いたワンタイムパスワードを確認し、認証画面に入力する必要がありました。パスキー認証では、端末の生体認証やPINなど、普段使い慣れた操作で認証を完了できるため、セキュリティと利便性の両立が期待できます。

3-Dセキュアでパスキー認証を利用するにあたって、主にシステム対応が必要となるのはカード会社です。カード会員向けサイトにパスキー登録メニューを追加し、NTTデータACSへのパスキー会員登録機能を実装することで、カード会員がカード会社のサイト上でパスキーを登録すると、ACS側にもパスキー認証会員として登録される仕組みです。

加盟店側では、基本的に大きな追加対応は必要ありません。ただし、3-Dセキュアのチャレンジ認証画面の表示方式によっては、パスキー認証を円滑に利用するための確認が必要となる場合があります。カード会員にスムーズな認証体験を提供するためにも、最新の3-Dセキュア導入要件に沿って、自社の実装方式や必要な対応事項を事前に確認いただくことを推奨しています。

なお、3-Dセキュアにおけるパスキー認証は、Secure Payment Confirmation（SPC）と呼ばれる仕様に基づいて実装されます。詳細な技術説明はここでは割愛しますが、EC決済においてパスキーを活用し、安全性と利便性の高い本人認証を実現するための仕組みと捉えていただければと思います。

決済領域に特化した「CAFISパスキー」で、
認証強化と不正利用対策を支援

最後に、「CAFISパスキー」について紹介します。コンセプトは、「安心・安全な決済環境実現のためのパスキー」です。FIDO認証を活用したサービスは各社から提供されていますが、NTTデータでは、決済領域での利用にフォーカスしたパスキーサービスとして「CAFISパスキー」を提供します。

「CAFISパスキー」は、決済サービスに求められる高い可用性を備えつつ、導入しやすいインターフェースを設計している点が特徴です。また、単に認証機能を提供するだけでなく、不正利用対策を前提とした業務設計や、運用を支援する機能の提供にも取り組んでいます。

利用シーンは、非対面決済に限りません。カード会社における3-Dセキュアのチャレンジ認証や会員向けサイトのログイン強化、EC加盟店における不正ログイン対策、さらに対面領域でポイントサービスや自社ペイメントサービスを展開する事業者の本人認証など、ペイメントに関わる幅広い場面での活用を想定しています。

さらに、CAFISでは属性・行動分析の「CAFIS Brain」をはじめ、複数の不正利用対策ソリューションを提供しています。こうしたソリューションと組み合わせることで、パスキーによる認証強化に加え、取引や利用者の振る舞いに基づくリスク判定など、多面的な不正利用対策につなげられることも「CAFISパスキー」の強みです。

パスキーは、カード会社やEC加盟店、PSPなどにとって、不正利用の抑止と承認率の向上を両立するための重要な認証手段のひとつになると考えています。NTTデータは、3-Dセキュア、属性・行動分析、パスキーなどのソリューションを通じて、企業に必要なペイメントセキュリティを総合的に支援していきます。