2014年6月30日8:30

「スマートビューロ」がVisa/MasterCardのブランド認定とPCI DSSに準拠

大日本印刷は、NFC(Near Field Communication)ビジネスを推進しており、おサイフケータイやNFCを搭載したスマートフォンに、クレジットカードや会員証、電子マネーなどの機能を追加するサービス「スマートビューロ」を提供しています。「スマートビューロ」は高いセキュリティが特徴となっており、VisaとMasterCardのブランド認定、およびペイメントカード業界のセキュリティ基準である「PCI DSS」認定を取得しています。

NFCスマートフォンでセキュアな発行が可能に
3つの認定を同時に取得

「スマートビューロ」はBtoB向けのサービスとなっており、主にクレジットカードのイシュイング(カード発行業務)を行う企業にご利用いただいています。NFCサービスはスマートフォンをタップして使えるサービスで、「カードエミュレーション(Card Emulation)機能」と呼んでいますが、その際に、セキュアな環境で情報を書き込む必要があります。

スマートビューロとは?
スマートビューロとは?

大日本印刷は約20年前から磁気やクレジットカードの発行を行っており、2005年からはおサイフケータイ向けの発行サービスを手掛けています。その技術をベースにNFCスマートフォンに対して、セキュアな発行を行うサービスを追加開発しました。Androidスマートフォンの中にはSIMカードが入っていますが、そこに情報を書き込むサービスとなります。

スマートビューロはクレジットカード情報をお預かりした上で発行するサービスとなるため、ペイメントカードの国際セキュリティ基準である「PCI DSS」への準拠は必須でした。また、Visaの「Visa payWave」、MasterCardの「MasterCard PayPass」を行う上で、それぞれのブランド認定が必要となりますが、DNPは、PCI DSSを含めた3つの認定を同時に取得しています。半年間で3つすべての認定を取得しましたが、事業計画を策定後、販促活動と平行でインフラ、アプリケーションの構築を行い、認定審査を受けました。3つの認定要件は若干基準が異なっており、例えばハードウェアのセキュリティ基準は同じでも、ソフトウェアのセキュリティ基準に対する考えが違うといった苦労もありました。さらに、鍵管理の仕組みや、複数のサービスを仮想化技術を用いて実装した際のセグメントの考え方が、PCI DSS審査の際にQSA(認定審査機関)にご理解いただくのに時間を要しました。

「スマートビューロ」でSP-TSM(サービスプロバイダ・TSM)を構築する際、TSMはICカードの仕様を策定する団体である「Global Platform(グローバル・プラットフォーム)」、NFCの標準化策定団体「NFCフォーラム」で仕様が規格化されており、それに合わせて策定しています。

NFCとFeliCaのリモート発行を世界で唯一対応
カード会社に対し本人認証サービス「SIGN3D」を提供

当然、グローバルな規格のため、海外の大手デジタルセキュリティベンダーと戦わなければなりません。大日本印刷の差別化としては、FeliCaもセキュアに発行できる点です。海外ではTypeA/Bが中心ですが、日本ではそこにFeliCaも加わります。現状、FeliCaに対してもリモート発行ができるのは世界で大日本印刷だけです。

NFCについては、「カードエミュレーション」「リーダライタ」「ピアtoピア」3つのモードがあります。中でも「カードエミュレーション」については関連プレイヤーも多く、エコシステムの構築が複雑なのが課題です。クレジットカードや会員データのセキュアな情報をセキュアエレメントに発行する必要がありますが、その発行方法についても課題となっています。また、サービスを提供する際のインターオペラビリティの問題も解決されていません。

その課題を解決する1つの方法として、Googleは、Androidにおいて「Host Card Emulation(HCE)」のサポートを発表しました。しかし、現時点ではHCEには制限があり、ISO7816には準拠していますが、FeliCaやMIFAREは使えません。また、セキュリティ面の課題も出てくると思います。それらが解決されれば、世界中の至るところでかざすサービスが普及すると考えます。

また、DNPはICカードの即時発行や暗証番号変更などを支援する、ネットワーク型ICカード関連サービス「CDMS(カードデータマネジメントサービス)事業」を展開しており、同事業ではカード会社を対象にインターネット上でのカード決済における本人認証サービス「3-Dセキュア」に対応した「SIGN3D(サインド)」を2008年から提供し、徐々に導入が進んでいます。「3-Dセキュア」のさらなるセキュリティ向上施策としてワンタイムパスワード対応が検討されていますが、すでにネットバンキング等で利用されていますので、一般の方にとって分かりやすいサービスになると思います。

「SIGN3D」はPCI DSSに準拠していますが、サービスを始めたころは社内に有識者がいなかったため、QSAの審査員から宿題をいただきながら対応することで、コストや時間がかかりました。大日本印刷として、内部監査人(ISA)の資格を取得してからは事前に内部監査を行い、問題を洗い出して上で審査を受けることが可能となりました。

※本記事は、2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム」のパネルディスカッションの大日本印刷 デジタルセキュリティ本部 NFCビジネス推進部 小野寺貴弘氏の内容をベースに加筆を加え、紹介しています。

tokysyu

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP