2012年11月8日11:31
スマートフォン決済を提供する企業の増加とともに、セキュリティの問題が懸案事項となっている。スマートフォン決済における暗号鍵管理対策として、PCI PTSの関連規格である「DUKPT(Derive Unique Key Per Transaction)」の採用は1つのキーワードになっており、すでにフライトシステムコンサルティングやロイヤルゲートの決済ソリューションで採用されている。HSMを提供する企業として有名なタレスによると、DUKPT対応に向け、同社のHSMの採用が進んでいるそうだ。
DUKPTはANSI X9.24-1で標準化されており、決済のトランザクションごとにユニークな鍵を派生することで、例え、鍵が解読されても以降のトランザクションには影響を与えない仕組みとなる。トランザクションが発生するたびにカードリーダと決済センター双方で新しい鍵を作り出し、セキュリティの保護を実施。その仕組みを実装するため、トランザクションキーを派生する「マスターキー」をセンター側のHSMで安全に保護することが有効である。また、トランザクションキーを派生させるためのプロセスもHSMで保護が可能だ。
HSMを提供する企業として有名なタレスは、2008年にエンサイファー(nCipher)を買収。決済用ハードウェアセキュリティモジュール(HSM)である「payShield 9000」は、暗号化および顧客のPINを生成、保護、および保存するために利用されており、全世界のペイメントカードのトランザクションの約8割の処理を保護しているという。決済用のHSMでは、「payment HSM」を提供しており、EMVにも対応している。同社の「ハードウェアセキュリティモジュール(HSM)」は、暗号鍵を物理的に保護するセキュアなハードウェアで、内部プロセッサで暗号処理を安全かつ高速に実行できるという。すでに、スマートフォン決済ソリューションを提供するロイヤルゲートがタレスのHSMを利用している。
同社のHSMは、ペイメントカードの国際セキュリティ基準「PCI DSS」の管理団体であるPCI SSCが定めた決済システムに求められるHSMのセキュリティ基準「PCI HSM」に準拠している。また、PCI DSS対策やNFC技術を利用したモバイル決済にも有効なソリューションであるという。
ペイメントカード・セキュリティフォーラムでは、タレス トランスポート&セキュリティ香港リミテッド e-セキュリティ事業部門 リージョナル マーケティング ディレクター ジム イップ(Jim Yip)氏が来日し、「カード決済システムに対するセキュリティのグローバルトレンド」について講演する。
■安心・便利なクレジットカード決済に向けて「ペイメントカード・セキュリティフォーラム」 https://paymentnavi.com/paymentnews/26190.html
