2014年3月19日10:00

覚えておきたいカード決済のセキュリティのキーワード

クレジットカード等のペイメントカードは、1枚のカードで世界中どこでも利用できるメリットがある一方で、セキュリティが重要となります。そこで、ペイメントカードのセキュリティ対策で重要なキーワードについて紹介します。ペイメントナビ編集部では、2014年3月25日に「ペイメントカード・セキュリティフォーラム2014」を開催しますが、ぜひ来場前の参考にしていただければ幸いです。

●トークナイゼーション

データベースの暗号化以上に強固なセキュリティ技術であると言われます。国内ではジャパンネット銀行、ゴルフ・ダイジェスト・オンラインが同技術を採用しています。トークンを「関係のない数列」に置き換えて利用する方法で、最近ではクレジットカード等のペイメントカード番号(16ケタ)の情報を置き換えて利用するケースも見受けられます。VisaやMasterCardは、モバイルペイメントで「セキュアエレメント(Secure Element)」ではなくクラウド内に保持する機能を発表しましたが、同技術はトークナイゼーションの技術が利用されています。

●3-Dセキュアなどの認証手段

インターネットのセキュリティ対策として、国際ブランドやカード会社が推奨するのが「3-Dセキュア」です。これは、ネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みとなっており、Visaが「VISA 認証サービス」、MasterCardが「SecureCode(セキュア・コード)」、JCBが「J/Secure(ジェイセキュア)」の名称で展開しています。

20140319security3-Dセキュアを導入しない場合は、通常のカード番号、有効期限だけの決済になりますが、3-Dセキュアはパスワードを入力することによる安全性、信頼性が向上すると言えるでしょう。また、3-Dセキュアを導入しているECサイト加盟店で発生した不正被害に関しては、基本的にカード会社側が被害額を負担してくれるメリットもあります。

ただし、第三者が推測しやすいパスワードを設定した場合、3-Dセキュアのパスワードそのものが盗まれる可能性は否定できません。そのため、トークンやモバイルのワンタイム・パスワードと併用した3-Dセキュアのソリューションをカード会社に提案する企業もあります。

また、海外では「ZIPコード」による認証、IPアドレスによる認証等、クレジットカード利用者の属性情報を活用した認証方法も行われています。

●動的認証

今後はワンタイム・パスワードなどの動的認証の導入も含めて、検討していく必要があるでしょう。ワンタイム・パスワードは、1回限りのパスワードを利用することにより、不正のリスクを軽減する方法が用いられています。最近では、ペイメントカードの世界でも動的な番号を利用するケースが増えてきました。ジャパンネット銀行では、1 回限りの使い切りカード番号である「ワンタイムデビット」の利用を呼び掛けています。また、MasterCardは、アフリカのエアーテル、スタンダードチャータード銀行と協働し、携帯電話を利用した世界初のバーチャルカードを発行しています。また、カード券面にディスプレイが搭載された「ディスプレイ・カード」により、1回限り有効なセキュリティコードを表示させるソリューションも登場しています。

●PCI DSS

PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際ペイメントブランド5社が定めた、カードのセキュリティ基準です。2013年末現在、国内80社が準拠しているそうです。

●PCI PTS

PCI PTSは、POSベンダーや決済端末ベンダーなど、PIN入力を行う端末開発事業者が対象の基準で、例えば端末のセキュリティ強度、操作時に発生する信号のガード、情報の暗号化などが検査されます。PCI PTSについては、国内で審査を行える機関が現状でないことがまず課題となっています。また、端末業界では低価格な端末を求められることが増えているため、PCI PTSの厳しい基準に対応しながらコストを抑えるのは難しいという問題も出てきています。

●DUKPT

スマートフォン決済における暗号鍵管理としてPCI PTSの関連規格である「DUKPT(Derive Unique Key Per Transaction)」が注目されています。DUKPTはANSI X9.24-1で標準化されており、決済のトランザクションごとにユニークな鍵を派生することで、例え、鍵が解読されても以降のトランザクションには影響を与えない仕組みとなっています。

●Point to Point Encryption

データを保護しなければならない最初の段階でデータを暗号化する技術が「Point to Point Encryption」です。加盟店POSやmPOS(モバイルPOS)、ATMなど、加盟店のITシステム内でセキュアな運用が可能な技術として注目されています。すでにPCI DSSの運営団体であるPCI SSCがガイドラインを策定しています。

●EMV、ライアビリティシフト

EMVは、国際ブランドのEuropay、MasterCard、Visaが策定した、ICカードを利用した決済のための国際的なデファクトスタンダードの仕様です。国内では約60%のイシュアがEMV ICカードに対応しているそうです。また、欧州では、32カ国が加盟するSEPA(Single Euro Payments Area)によるICカード化が進められ、主要国では大きな成果を見せています。その一方で、米国ではEMV IC化がそれほど進んでいません。Visaでは、ガソリンスタンドの自動給油機を除き、ICカード対応のPOS・決済端末を未導入の加盟店におけるカード偽造の債務責任がアクワイアラに課せられるようになるライアビリティシフトが2015年10月以降行われると発表しました。また、MasterCard、American Express、Discover、Dinersも同様のライアビリティシフトの導入を予定しています。これにより、磁気カード決済が主流の世界各国でEMV ICカード化が進むきっかけになると期待されています。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP