2016年6月27日8:00
■ジェムアルト(Gemalto)
動的認証カード、トークナイゼーション、HSM等で強固なセキュリティを実現
カードセキュリティにとって、盗難、偽造、非対面取引(CNP)の対策とインフラ側の漏洩対策は重要です。特にCNP(Card Not Present)での不正利用は年々増えてきていますが、ジェムアルト(Gemalto)ではカード内で生成されるセキュリティコード3桁で動的認証を行う新しい技術を提供しています。また、カード情報の流出を防ぐための具体的かつ実効的な標準としてPCI DSSおよびトークナイゼーションが求められます。今回は、カードセキュリティの全体説明と、重要となる個別の対策について具体的に解説します。
EMV IC化が進むと同時に、CNPでの不正リスクが高まる
2014年の出荷カードの40%が非接触ICカードに
セーフネット(Safenet)は、デジタルセキュリティベンダーのGemalto(ジェムアルト)の傘下となりました。ジェムアルトはヨーロッパに本社を置き、全世界で約1万4,000人の社員を有し、欧州で進むEMV ICカードやSIMなどのソリューションを提供しています。また、日本では大手携帯会社にも導入されています。セーフネットは、ジェムアルト傘下になったことにより、認証、カード発行、キーの払い出し、トークナイゼーションなど、カード及びデータ保護にかかわるセキュリティサービスをエンド・ツー・エンドでカバーできるようになりました。
今、世界中のクレジットカードが、磁気カードから、高セキュリティなEMV IC化に切り替わっており、アメリカでも大規模な情報漏洩事件を機に、その流れは加速しています。アメリカでは、2017年までに(POS端末のIC対応化)98%を目指しています。ジェムアルトでは、なりすまし防止として、認証の仕組みおよび、カード型のワンタイムパスワード(OTP)も手掛けています。
また、今日、CNP(Card Not Present)と呼ばれる非対面取引が注目されており、セキュリティ強化策として、本人認証技術の「3Dセキュア」などの技術が求められる社会背景があります。
「対面取引における安全確保」として、欧州などでは、カードを店舗の従業員に渡さすことなく決済が行われています。たとえば、ファーストフードで商品を購入する際にも、自らカードリーダーにカードを挿入し、4桁のPINコードを入力して決済が行われています。アジアでは対面取引の33%がEMV取引ですが、日本でも今後さらにIC化の動きが進むと思われます。
国内では、「Suica」などのFeliCaカードを使ってスマートフォンやカードによる非接触決済が普及していますが、この動きは海外も同様で、2014年に出荷されたカードのうち40%が非接触カードを付帯しています。
非接触カードの多くは、PIN入力無しで決済が可能ですが、イギリス(UK)では20ポンドから30ポンドに限度額を増やしたところ、5カ月間でユーザーの利用額が倍増しました。オーストラリアでは100AUS$までPIN入力が不要で普及が進んでいます。
ペイメントセキュリティ対策に特化したさまざまなサービスを提供
PANの情報漏洩をトークナイゼーションにより回避
携帯電話の高度化が進み、従来はドコモ、KDDI、ソフトバンクといった通信会社の独壇場のところ、現在はSamsung、Appleをはじめとした埋め込み型のセキュアエレメント(Secure Element)を利用して、その中に携帯会社のプロファイルをダウンロードして使用する動きが広がっています。この中には、10個以上のプロファイルを格納可能ですが、アプリだけは外出しして、携帯会社のプロファイルをまたがずに、クラウド事業者を介して決済などのアプリケーションを管理できます。その際に重要なのは、クレジットカードのPAN情報がネットワークに露呈しないように、トークナイゼーションを前提にした、新しいPANコードに変換する仕組みとなります。また、Samsungのウェアラブルなどにもセキュアエレメントの仕組みが実装されており、セキュアエレメントや、ウェアラブルなどの「eSIM」を使用して、クラウド上で機密データを管理する「HCE(Host Card Emulation)」が広がろうとしています。その際は、トークナイゼーションを併用することで、セキュリティを担保可能です。さらに、指紋などの認証技術、ソフトウェアにセキュア領域が確保されるTEE(Trusted Execution Environment)などにより、HCEの世界が広がろうとしています。
ジェムアルトでは、偽造防止として「EMV化/ICカード」、情報漏洩対策として「PCIDSS/トークナイゼーション・暗号化」、なりすまし対策として「オンライン決済の二経路認証やワンタイムパスワード」等を提供しています。
カード情報を整理すると、PANはPCI DSSの要件となり、PCI DSSの要件を監査する「QSA」の審査の対象となります。PANの漏洩のリスク回避の対策として、トークナイゼーションにより、16桁の番号を違う数値に変換して使っていただくことにより、番号が仮に盗まれたとしても認証に使用することはできません。カードの持ち主の名前、住所、サービスコード、有効期限は、サーバサイドの漏洩対策となります。さらに、磁気ストライプやICチップの情報は、カード会社は基本、保管してはいけないルールです。また、お客様の指紋等の情報は、銀行や金融機関が保有できない個人情報になりますので、カードのICの中に保管するような仕組みが用いられています。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のジェムアルト(日本セーフネット株式会社)IDP事業本部 ソリューションコンサルタント 長高 史朗氏の講演をベースに加筆を加え、紹介しています。
■お問い合わせ先
ジェムアルト(Gemalto)
〒108-0075
東京都港区港南一丁目6番31号 品川東急ビル5階
代表:03-6744-0220
アイデンティティ&データプロテクション事業本部:03-6744-0221
ソフトウェアマネタイゼーション事業本部:03-6744-0222
http://www.safenet-inc.jp/
