2014年6月30日8:30
「スマートビューロ」がVisa/MasterCardのブランド認定とPCI DSSに準拠
大日本印刷は、NFC(Near Field Communication)ビジネスを推進しており、おサイフケータイやNFCを搭載したスマートフォンに、クレジットカードや会員証、電子マネーなどの機能を追加するサービス「スマートビューロ」を提供しています。「スマートビューロ」は高いセキュリティが特徴となっており、VisaとMasterCardのブランド認定、およびペイメントカード業界のセキュリティ基準である「PCI DSS」認定を取得しています。
NFCスマートフォンでセキュアな発行が可能に
3つの認定を同時に取得
「スマートビューロ」はBtoB向けのサービスとなっており、主にクレジットカードのイシュイング(カード発行業務)を行う企業にご利用いただいています。NFCサービスはスマートフォンをタップして使えるサービスで、「カードエミュレーション(Card Emulation)機能」と呼んでいますが、その際に、セキュアな環境で情報を書き込む必要があります。
大日本印刷は約20年前から磁気やクレジットカードの発行を行っており、2005年からはおサイフケータイ向けの発行サービスを手掛けています。その技術をベースにNFCスマートフォンに対して、セキュアな発行を行うサービスを追加開発しました。Androidスマートフォンの中にはSIMカードが入っていますが、そこに情報を書き込むサービスとなります。
スマートビューロはクレジットカード情報をお預かりした上で発行するサービスとなるため、ペイメントカードの国際セキュリティ基準である「PCI DSS」への準拠は必須でした。また、Visaの「Visa payWave」、MasterCardの「MasterCard PayPass」を行う上で、それぞれのブランド認定が必要となりますが、DNPは、PCI DSSを含めた3つの認定を同時に取得しています。半年間で3つすべての認定を取得しましたが、事業計画を策定後、販促活動と平行でインフラ、アプリケーションの構築を行い、認定審査を受けました。3つの認定要件は若干基準が異なっており、例えばハードウェアのセキュリティ基準は同じでも、ソフトウェアのセキュリティ基準に対する考えが違うといった苦労もありました。さらに、鍵管理の仕組みや、複数のサービスを仮想化技術を用いて実装した際のセグメントの考え方が、PCI DSS審査の際にQSA(認定審査機関)にご理解いただくのに時間を要しました。
「スマートビューロ」でSP-TSM(サービスプロバイダ・TSM)を構築する際、TSMはICカードの仕様を策定する団体である「Global Platform(グローバル・プラットフォーム)」、NFCの標準化策定団体「NFCフォーラム」で仕様が規格化されており、それに合わせて策定しています。
NFCとFeliCaのリモート発行を世界で唯一対応
カード会社に対し本人認証サービス「SIGN3D」を提供
当然、グローバルな規格のため、海外の大手デジタルセキュリティベンダーと戦わなければなりません。大日本印刷の差別化としては、FeliCaもセキュアに発行できる点です。海外ではTypeA/Bが中心ですが、日本ではそこにFeliCaも加わります。現状、FeliCaに対してもリモート発行ができるのは世界で大日本印刷だけです。
NFCについては、「カードエミュレーション」「リーダライタ」「ピアtoピア」3つのモードがあります。中でも「カードエミュレーション」については関連プレイヤーも多く、エコシステムの構築が複雑なのが課題です。クレジットカードや会員データのセキュアな情報をセキュアエレメントに発行する必要がありますが、その発行方法についても課題となっています。また、サービスを提供する際のインターオペラビリティの問題も解決されていません。
その課題を解決する1つの方法として、Googleは、Androidにおいて「Host Card Emulation(HCE)」のサポートを発表しました。しかし、現時点ではHCEには制限があり、ISO7816には準拠していますが、FeliCaやMIFAREは使えません。また、セキュリティ面の課題も出てくると思います。それらが解決されれば、世界中の至るところでかざすサービスが普及すると考えます。
また、DNPはICカードの即時発行や暗証番号変更などを支援する、ネットワーク型ICカード関連サービス「CDMS(カードデータマネジメントサービス)事業」を展開しており、同事業ではカード会社を対象にインターネット上でのカード決済における本人認証サービス「3-Dセキュア」に対応した「SIGN3D(サインド)」を2008年から提供し、徐々に導入が進んでいます。「3-Dセキュア」のさらなるセキュリティ向上施策としてワンタイムパスワード対応が検討されていますが、すでにネットバンキング等で利用されていますので、一般の方にとって分かりやすいサービスになると思います。
「SIGN3D」はPCI DSSに準拠していますが、サービスを始めたころは社内に有識者がいなかったため、QSAの審査員から宿題をいただきながら対応することで、コストや時間がかかりました。大日本印刷として、内部監査人(ISA)の資格を取得してからは事前に内部監査を行い、問題を洗い出して上で審査を受けることが可能となりました。
※本記事は、2014年3月25日に開催された「ペイメントカード・セキュリティフォーラム」のパネルディスカッションの大日本印刷 デジタルセキュリティ本部 NFCビジネス推進部 小野寺貴弘氏の内容をベースに加筆を加え、紹介しています。
