2016年6月27日8:00

■ジェムアルト(Gemalto)
動的認証カード、トークナイゼーション、HSM等で強固なセキュリティを実現

カードセキュリティにとって、盗難、偽造、非対面取引(CNP)の対策とインフラ側の漏洩対策は重要です。特にCNP(Card Not Present)での不正利用は年々増えてきていますが、ジェムアルト(Gemalto)ではカード内で生成されるセキュリティコード3桁で動的認証を行う新しい技術を提供しています。また、カード情報の流出を防ぐための具体的かつ実効的な標準としてPCI DSSおよびトークナイゼーションが求められます。今回は、カードセキュリティの全体説明と、重要となる個別の対策について具体的に解説します。

EMV IC化が進むと同時に、CNPでの不正リスクが高まる
2014年の出荷カードの40%が非接触ICカードに

セーフネット(Safenet)は、デジタルセキュリティベンダーのGemalto(ジェムアルト)の傘下となりました。ジェムアルトはヨーロッパに本社を置き、全世界で約1万4,000人の社員を有し、欧州で進むEMV ICカードやSIMなどのソリューションを提供しています。また、日本では大手携帯会社にも導入されています。セーフネットは、ジェムアルト傘下になったことにより、認証、カード発行、キーの払い出し、トークナイゼーションなど、カード及びデータ保護にかかわるセキュリティサービスをエンド・ツー・エンドでカバーできるようになりました。

今、世界中のクレジットカードが、磁気カードから、高セキュリティなEMV IC化に切り替わっており、アメリカでも大規模な情報漏洩事件を機に、その流れは加速しています。アメリカでは、2017年までに(POS端末のIC対応化)98%を目指しています。ジェムアルトでは、なりすまし防止として、認証の仕組みおよび、カード型のワンタイムパスワード(OTP)も手掛けています。

また、今日、CNP(Card Not Present)と呼ばれる非対面取引が注目されており、セキュリティ強化策として、本人認証技術の「3Dセキュア」などの技術が求められる社会背景があります。

「対面取引における安全確保」として、欧州などでは、カードを店舗の従業員に渡さすことなく決済が行われています。たとえば、ファーストフードで商品を購入する際にも、自らカードリーダーにカードを挿入し、4桁のPINコードを入力して決済が行われています。アジアでは対面取引の33%がEMV取引ですが、日本でも今後さらにIC化の動きが進むと思われます。

国内では、「Suica」などのFeliCaカードを使ってスマートフォンやカードによる非接触決済が普及していますが、この動きは海外も同様で、2014年に出荷されたカードのうち40%が非接触カードを付帯しています。

非接触カードの多くは、PIN入力無しで決済が可能ですが、イギリス(UK)では20ポンドから30ポンドに限度額を増やしたところ、5カ月間でユーザーの利用額が倍増しました。オーストラリアでは100AUS$までPIN入力が不要で普及が進んでいます。

ペイメントセキュリティ対策に特化したさまざまなサービスを提供
PANの情報漏洩をトークナイゼーションにより回避

携帯電話の高度化が進み、従来はドコモ、KDDI、ソフトバンクといった通信会社の独壇場のところ、現在はSamsung、Appleをはじめとした埋め込み型のセキュアエレメント(Secure Element)を利用して、その中に携帯会社のプロファイルをダウンロードして使用する動きが広がっています。この中には、10個以上のプロファイルを格納可能ですが、アプリだけは外出しして、携帯会社のプロファイルをまたがずに、クラウド事業者を介して決済などのアプリケーションを管理できます。その際に重要なのは、クレジットカードのPAN情報がネットワークに露呈しないように、トークナイゼーションを前提にした、新しいPANコードに変換する仕組みとなります。また、Samsungのウェアラブルなどにもセキュアエレメントの仕組みが実装されており、セキュアエレメントや、ウェアラブルなどの「eSIM」を使用して、クラウド上で機密データを管理する「HCE(Host Card Emulation)」が広がろうとしています。その際は、トークナイゼーションを併用することで、セキュリティを担保可能です。さらに、指紋などの認証技術、ソフトウェアにセキュア領域が確保されるTEE(Trusted Execution Environment)などにより、HCEの世界が広がろうとしています。

ジェムアルトでは、偽造防止として「EMV化/ICカード」、情報漏洩対策として「PCIDSS/トークナイゼーション・暗号化」、なりすまし対策として「オンライン決済の二経路認証やワンタイムパスワード」等を提供しています。

gemalto1

カード情報を整理すると、PANはPCI DSSの要件となり、PCI DSSの要件を監査する「QSA」の審査の対象となります。PANの漏洩のリスク回避の対策として、トークナイゼーションにより、16桁の番号を違う数値に変換して使っていただくことにより、番号が仮に盗まれたとしても認証に使用することはできません。カードの持ち主の名前、住所、サービスコード、有効期限は、サーバサイドの漏洩対策となります。さらに、磁気ストライプやICチップの情報は、カード会社は基本、保管してはいけないルールです。また、お客様の指紋等の情報は、銀行や金融機関が保有できない個人情報になりますので、カードのICの中に保管するような仕組みが用いられています。

⇒⇒後編へ続く

※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のジェムアルト(日本セーフネット株式会社)IDP事業本部 ソリューションコンサルタント 長高 史朗氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
gemaltoジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
ソフトウェアマネタイゼーション事業本部:03-6744-0222
http://www.safenet-inc.jp/

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP