2013年1月25日8:00
カード決済システムに対するセキュリティのグローバルトレンド(下)
タレスジャパン
HSMにより暗号キーと機密情報を安全に保護
ロイヤルゲートの「PayGate」でも採用
HSMは暗号キーと機密情報の保護のために存在します。ソフトウェアキーの脆弱性回避として暗号化キーをハードウェアに格納する必要があります。また、決して重要情報を漏えいさせない仕組みとして暗号化、復号化をHSM内部で実行します。さらに、サービス提供者のリスクを簡素化したい要求をかなえます。現在、世界中の銀行が40年にわたりタレスのHSMを使用し続けています。すでに弊社では、世界の基準規格としてFIPS140-2の認定、PCI SSCが認定したHSMに関する基準であるPCI HSMに準拠しています。
モバイル非接触決済で重要な役割を担っているTSM(Trusted Service Manager)については、モバイルの世界になるとイシュアや金融機関だけではなく、モバイルオペレーターや公共交通機関などの関係各社がかかわっています。そのため、関係各社から信頼があり、一貫性ある運用を担保できる存在が必要不可欠となります。新しい分野なのでいろいろな企業や事業体がTSMを目指しています。
発行のプロセスに関してセキュリティがなぜ重要なのかといいますと、そこには金融間で取り扱っているような個人情報が含まれているからです。消費者に使ってもらいたいとすれば、物理的なカードと同じようなセキュリティが確保できているのかという確信が必要です。さらにモバイル決済はOTAで提供されることもあり、脆弱性が存在しうる可能性も否定できません。さらに、PCI DSSやVisaのガイドライン、ISOやANSIのスタンダードも存在します。
POSターミナルを見ると、「Square」や「Intuit」がモバイルデバイスを活用した決済システムを提供しています。2012年に入ってもPayPalやロームデータなどから続々と製品が発表されています。
国内をみると、ロイヤルゲートの「PayGate」は、Bluetoothに対応したクレジットカードリーダで、アップルのiOSとAndroidをサポートしています。また、ANSIで規格化された、トランザクションごとに派生したユニークなキーである「DUKPT」を採用しています。トランザクションごとにユニークな暗号キーを派生することで、セキュリティが著しく高まります。また、カード会員がカードをスワイプするとBluetoothによってスマートフォンに暗号化されたデータが送られ、スマートフォンはクライアント証明書を利用した個体認証が行われます。それがデータセンターに送信され、ペイメントゲートウェイとつながり各カード会社との決済処理を行います。ここでもHSMによってセキュリティが担保されることになります。
モバイル決済において国内外で数多くの実績を誇る
モバイル決済は新しい分野ですが、世界中で急速に伸びていて既存のインフラとの連携が可能です。従来の決済の世界では、イシュア、アクワイアラ、加盟店、コンシューマーが存在しますが、モバイルの世界になりますとPOSやデバイスの種類が一部変わります。日本のペイメントは独自の仕組みがありますが、タレスのHSMは、何十年にわたりグローバルで信頼されるモデルとして機能してきましたので、日本においてもモバイルの領域に深化させることは可能だと考えています。
タレスのHSMは、世界の金融機関から評価されていますが、例えばアフリカにおいて、モバイル決済事業者のほとんどに採用されています。また、南アジアで成功しているモバイル送金事業者の多くが利用しています。さらに、マルチユースのNFC対応おサイフケータイでもタレスのソリューションが利用されています。日本においては、カード決済システムのエキスパートであるジィ・シィ企画と契約を締結し、国内においても決済用HSMの販売を開始しています。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のタレス トランスポート&セキュリティ香港リミテッド e-セキュリティ事業部門 リージョナル マーケティング ディレクター ジム イップ(Jim Yip)氏の講演をベースに加筆を加え、紹介しています。
■お問い合わせ先〒107-0052
東京都港区赤坂2-17-7 赤坂溜池タワー8F
タレスジャパン株式会社 e-セキュリティ事業部
http://jp.thales-esecurity.com/japan.aspx
jpnsales@thales-esecurity.com
TEL:03-6234-8180
