2014年3月19日10:00

覚えておきたいカード決済のセキュリティのキーワード

クレジットカード等のペイメントカードは、1枚のカードで世界中どこでも利用できるメリットがある一方で、セキュリティが重要となります。そこで、ペイメントカードのセキュリティ対策で重要なキーワードについて紹介します。ペイメントナビ編集部では、2014年3月25日に「ペイメントカード・セキュリティフォーラム2014」を開催しますが、ぜひ来場前の参考にしていただければ幸いです。

●トークナイゼーション

データベースの暗号化以上に強固なセキュリティ技術であると言われます。国内ではジャパンネット銀行、ゴルフ・ダイジェスト・オンラインが同技術を採用しています。トークンを「関係のない数列」に置き換えて利用する方法で、最近ではクレジットカード等のペイメントカード番号(16ケタ)の情報を置き換えて利用するケースも見受けられます。VisaやMasterCardは、モバイルペイメントで「セキュアエレメント(Secure Element)」ではなくクラウド内に保持する機能を発表しましたが、同技術はトークナイゼーションの技術が利用されています。

●3-Dセキュアなどの認証手段

インターネットのセキュリティ対策として、国際ブランドやカード会社が推奨するのが「3-Dセキュア」です。これは、ネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みとなっており、Visaが「VISA 認証サービス」、MasterCardが「SecureCode(セキュア・コード)」、JCBが「J/Secure(ジェイセキュア)」の名称で展開しています。

20140319security3-Dセキュアを導入しない場合は、通常のカード番号、有効期限だけの決済になりますが、3-Dセキュアはパスワードを入力することによる安全性、信頼性が向上すると言えるでしょう。また、3-Dセキュアを導入しているECサイト加盟店で発生した不正被害に関しては、基本的にカード会社側が被害額を負担してくれるメリットもあります。

ただし、第三者が推測しやすいパスワードを設定した場合、3-Dセキュアのパスワードそのものが盗まれる可能性は否定できません。そのため、トークンやモバイルのワンタイム・パスワードと併用した3-Dセキュアのソリューションをカード会社に提案する企業もあります。

また、海外では「ZIPコード」による認証、IPアドレスによる認証等、クレジットカード利用者の属性情報を活用した認証方法も行われています。

●動的認証

今後はワンタイム・パスワードなどの動的認証の導入も含めて、検討していく必要があるでしょう。ワンタイム・パスワードは、1回限りのパスワードを利用することにより、不正のリスクを軽減する方法が用いられています。最近では、ペイメントカードの世界でも動的な番号を利用するケースが増えてきました。ジャパンネット銀行では、1 回限りの使い切りカード番号である「ワンタイムデビット」の利用を呼び掛けています。また、MasterCardは、アフリカのエアーテル、スタンダードチャータード銀行と協働し、携帯電話を利用した世界初のバーチャルカードを発行しています。また、カード券面にディスプレイが搭載された「ディスプレイ・カード」により、1回限り有効なセキュリティコードを表示させるソリューションも登場しています。

●PCI DSS

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際ペイメントブランド5社が定めた、カードのセキュリティ基準です。2013年末現在、国内80社が準拠しているそうです。

●PCI PTS

PCI PTSは、POSベンダーや決済端末ベンダーなど、PIN入力を行う端末開発事業者が対象の基準で、例えば端末のセキュリティ強度、操作時に発生する信号のガード、情報の暗号化などが検査されます。PCI PTSについては、国内で審査を行える機関が現状でないことがまず課題となっています。また、端末業界では低価格な端末を求められることが増えているため、PCI PTSの厳しい基準に対応しながらコストを抑えるのは難しいという問題も出てきています。

●DUKPT

スマートフォン決済における暗号鍵管理としてPCI PTSの関連規格である「DUKPT(Derive Unique Key Per Transaction)」が注目されています。DUKPTはANSI X9.24-1で標準化されており、決済のトランザクションごとにユニークな鍵を派生することで、例え、鍵が解読されても以降のトランザクションには影響を与えない仕組みとなっています。

●Point to Point Encryption

データを保護しなければならない最初の段階でデータを暗号化する技術が「Point to Point Encryption」です。加盟店POSやmPOS(モバイルPOS)、ATMなど、加盟店のITシステム内でセキュアな運用が可能な技術として注目されています。すでにPCI DSSの運営団体であるPCI SSCがガイドラインを策定しています。

●EMV、ライアビリティシフト

EMVは、国際ブランドのEuropay、MasterCard、Visaが策定した、ICカードを利用した決済のための国際的なデファクトスタンダードの仕様です。国内では約60%のイシュアがEMV ICカードに対応しているそうです。また、欧州では、32カ国が加盟するSEPA(Single Euro Payments Area)によるICカード化が進められ、主要国では大きな成果を見せています。その一方で、米国ではEMV IC化がそれほど進んでいません。Visaでは、ガソリンスタンドの自動給油機を除き、ICカード対応のPOS・決済端末を未導入の加盟店におけるカード偽造の債務責任がアクワイアラに課せられるようになるライアビリティシフトが2015年10月以降行われると発表しました。また、MasterCard、American Express、Discover、Dinersも同様のライアビリティシフトの導入を予定しています。これにより、磁気カード決済が主流の世界各国でEMV ICカード化が進むきっかけになると期待されています。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP