2014年6月30日8:30

「スマートビューロ」がVisa/MasterCardのブランド認定とPCI DSSに準拠

大日本印刷は、NFC(Near Field Communication)ビジネスを推進しており、おサイフケータイやNFCを搭載したスマートフォンに、クレジットカードや会員証、電子マネーなどの機能を追加するサービス「スマートビューロ」を提供しています。「スマートビューロ」は高いセキュリティが特徴となっており、VisaとMasterCardのブランド認定、およびペイメントカード業界のセキュリティ基準である「PCI DSS」認定を取得しています。

NFCスマートフォンでセキュアな発行が可能に
3つの認定を同時に取得

「スマートビューロ」はBtoB向けのサービスとなっており、主にクレジットカードのイシュイング(カード発行業務)を行う企業にご利用いただいています。NFCサービスはスマートフォンをタップして使えるサービスで、「カードエミュレーション(Card Emulation)機能」と呼んでいますが、その際に、セキュアな環境で情報を書き込む必要があります。

スマートビューロとは?
スマートビューロとは?

大日本印刷は約20年前から磁気やクレジットカードの発行を行っており、2005年からはおサイフケータイ向けの発行サービスを手掛けています。その技術をベースにNFCスマートフォンに対して、セキュアな発行を行うサービスを追加開発しました。Androidスマートフォンの中にはSIMカードが入っていますが、そこに情報を書き込むサービスとなります。

スマートビューロはクレジットカード情報をお預かりした上で発行するサービスとなるため、ペイメントカードの国際セキュリティ基準である「PCI DSS」への準拠は必須でした。また、Visaの「Visa payWave」、MasterCardの「MasterCard PayPass」を行う上で、それぞれのブランド認定が必要となりますが、DNPは、PCI DSSを含めた3つの認定を同時に取得しています。半年間で3つすべての認定を取得しましたが、事業計画を策定後、販促活動と平行でインフラ、アプリケーションの構築を行い、認定審査を受けました。3つの認定要件は若干基準が異なっており、例えばハードウェアのセキュリティ基準は同じでも、ソフトウェアのセキュリティ基準に対する考えが違うといった苦労もありました。さらに、鍵管理の仕組みや、複数のサービスを仮想化技術を用いて実装した際のセグメントの考え方が、PCI DSS審査の際にQSA(認定審査機関)にご理解いただくのに時間を要しました。

「スマートビューロ」でSP-TSM(サービスプロバイダ・TSM)を構築する際、TSMはICカードの仕様を策定する団体である「Global Platform(グローバル・プラットフォーム)」、NFCの標準化策定団体「NFCフォーラム」で仕様が規格化されており、それに合わせて策定しています。

NFCとFeliCaのリモート発行を世界で唯一対応
カード会社に対し本人認証サービス「SIGN3D」を提供

当然、グローバルな規格のため、海外の大手デジタルセキュリティベンダーと戦わなければなりません。大日本印刷の差別化としては、FeliCaもセキュアに発行できる点です。海外ではTypeA/Bが中心ですが、日本ではそこにFeliCaも加わります。現状、FeliCaに対してもリモート発行ができるのは世界で大日本印刷だけです。

NFCについては、「カードエミュレーション」「リーダライタ」「ピアtoピア」3つのモードがあります。中でも「カードエミュレーション」については関連プレイヤーも多く、エコシステムの構築が複雑なのが課題です。クレジットカードや会員データのセキュアな情報をセキュアエレメントに発行する必要がありますが、その発行方法についても課題となっています。また、サービスを提供する際のインターオペラビリティの問題も解決されていません。

その課題を解決する1つの方法として、Googleは、Androidにおいて「Host Card Emulation(HCE)」のサポートを発表しました。しかし、現時点ではHCEには制限があり、ISO7816には準拠していますが、FeliCaやMIFAREは使えません。また、セキュリティ面の課題も出てくると思います。それらが解決されれば、世界中の至るところでかざすサービスが普及すると考えます。

また、DNPはICカードの即時発行や暗証番号変更などを支援する、ネットワーク型ICカード関連サービス「CDMS(カードデータマネジメントサービス)事業」を展開しており、同事業ではカード会社を対象にインターネット上でのカード決済における本人認証サービス「3-Dセキュア」に対応した「SIGN3D(サインド)」を2008年から提供し、徐々に導入が進んでいます。「3-Dセキュア」のさらなるセキュリティ向上施策としてワンタイムパスワード対応が検討されていますが、すでにネットバンキング等で利用されていますので、一般の方にとって分かりやすいサービスになると思います。

「SIGN3D」はPCI DSSに準拠していますが、サービスを始めたころは社内に有識者がいなかったため、QSAの審査員から宿題をいただきながら対応することで、コストや時間がかかりました。大日本印刷として、内部監査人(ISA)の資格を取得してからは事前に内部監査を行い、問題を洗い出して上で審査を受けることが可能となりました。

※本記事は、2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム」のパネルディスカッションの大日本印刷 デジタルセキュリティ本部 NFCビジネス推進部 小野寺貴弘氏の内容をベースに加筆を加え、紹介しています。

tokysyu

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP