2016年7月19日8:00
■タレスジャパン株式会社/マクニカネットワークス株式会社
世界中でフィンテック革命が進んでいます。スマートフォンを使った新しい決済サービスが次々と生まれ、個人の生活や社会の慣行を大きく変えようとしているのです。今回は、モバイル決済におけるセキュリティ課題やコンプライアンスが今後どう進化するのかについて、また、モバイル決済の3つの分野、「現金決済に取って代わるmPOS」「HCEのビジネス上の利益」「P2PE,トークナイゼーション,クラウドベースのセキュアストレージを利用したPCIコンプライアンスの簡略化」について概要を解説します。
mPOSの普及の中で広がる暗号化技術の活用
PCI P2PEでmPOS向けのトランザクションデータセキュリティが実現
近年、ショッピングのさまざまな場所でモバイルペイメントシステムに対応する加盟店が増えてきています。これによって、消費者はモバイル端末による決済が簡単にできるようになってきました。このようなことは世界中で起きていますし、日本では今後、より一層の進展が期待されています。
このような状況の中で、Mobile Point of Sale(mPOS)が、マイクロマーチャントといわれる加盟店の多くから求められる選択肢となっています。これらの加盟店では、今まさに初めてクレジットカード決済を受け入れようとしており、Payment Service Provider(PSP)にとって非常に大きな新しいビジネスチャンスとなっています。また、従来、一般的なクレジットカード決済をしていたマーチャント加盟店でも、さらに決済が行いやすくなるという判断から、mPOSを決済の仕組みに加える動きが進んでいます。
mPOSでは、信頼レベルが高くないデバイスやネットワーク、つまり、携帯電話ネットワークやWi-Fi、インターネットを通じて決済を行うために、セキュアなインフラストラクチャをつくらなければいけないのですが、これはセキュリティ上、非常に難しい課題となっていました。
その課題の解決のために最も重要なのが、暗号化技術の活用です。暗号化はこれまでも暗証番号の保護などに長年使われてきた技術ですが、近年ではその技術がさらに幅広く使われるようになってきました。決済のためのデータを取得した時点から保護するために暗号化技術を使うことが広まってきているのです。これにより、加盟店、PSPの双方にとって、とり得る柔軟性がこれまでとは異なるレベルになってきています。かつてとは異なり、信頼レベルがあまり高くないデバイスを使って、信頼レベルがあまり高くないネットワーク上で、データをやり取りできる状況がすでに実現されています。この新しい決済技術と、携帯電話やタブレットの普及が組み合わさることで、決済環境そのものが完全に変わってしまっています。
従来は、加盟店、PSPの双方とも、運用上やロジスティック上の問題を抱えていました。POS端末を高度に制御され、また、承認された環境の中で使わなければいけないという制約があったために、そのような問題が生じていたのです。しかし、PCI P2PE(Point to Point Encryption)によって、mPOS向けのトランザクションデータセキュリティが実現できるようになりました。これにより、携帯端末またはマーチャントの環境からカードのデータを取り除くことが可能となっています。これはmPOSのトランザクションを行う際に非常に重要な要素だと言えるでしょう。
複数の国際カードブランドがHCE対応へのサポートを表明
現行のセキュア・エレメントよりも決済の仕組みがシンプルに
モバイル決済におけるセキュリティでは、セキュア・エレメント(Secure Element:SE)とHost Card Emulation(HCE)という主に2つの技術が存在しており、市場のシェアを争っています。その中で、複数の国際カードブランドがHCE対応へのサポートを表明している事実が注目されます。すでに数多くのプロジェクトが展開されており、複数のオプションを使ってソリューションをよりセキュアなものにしようという取り組みも始まっています。
もし、SEモデルで、非接触型のモバイル決済を実現しようすると、TSM(Trusted Service Manager)の存在が必要となります。そして、TSMとのインターフェイスは、MNO(Mobile Network Operator)が提供するものがメインとなります。一方、HCEを使った仕組みでは、TSMやMNOが介在することによる複雑さが、全体像から完全に取り除かれます。カード発行銀行がモバイル・アプリケーションと直接やり取りできますし、それが電話上でできるとなれば、全体の仕組みもかなりシンプルなものになります。
データの保護、トークナイゼーションにより決済データをセキュアに
暗号化技術が解決するモバイル決済の課題
モバイル決済のトランザクション上の新たな課題としては、安全な登録処理、モバイル端末へのID情報の安全な配送、鍵やID情報のライフサイクル管理などがあります。また、発行、プロビジョニングも、今後のモバイル決済を考えたときに新たな成長分野になっていくと考えられます。
決済用IDについては、今後、バーチャルな認証IDをユーザー所有のデバイスに配布するケースが増加することが見込まれます。その中で、暗号化技術の利用が、信頼とセキュリティを高めるためにより一層増加すると思われます。さらに、動的なトランザクションデータの使用が増加することで、暗号化技術を使ったトランザクションも増えてくると考えられます。また、決済認証については、決済取引を阻害しないリスクやコンテクストベースの認証に期待感が高まってきています。つまり、従来の暗号やパスワードを使うものではなく、それにとって代わる新しいメカニズムが求められているのです。
決済処理については、データの保護、そしてトークナイゼーションの使用によって、センシティブな機密に関わる決済データをセキュアにすることがより一層求められます。さらに、その実現にあたっては、これまで以上に追加的な暗号化技術をトランザクション内で使うことが必要です。また、承認処理に関しては、静的なデータの承認だけでなく、動的なデータの承認に対する要件が高まってきます。したがって、さらに複雑な形での暗号化技術での仕様が必要になってくるでしょう。
セキュリティの標準化に貢献するタレス
EMVCo、PCI SSC、GlobalPlatformの市場でも幅広く活用
モバイル決済のソリューションをセキュアに行うこと、またそれを十分に監督することを目的とした、セキュリティを標準化する3つの主要な団体があります。EMVCo、PCI Security Standards Council(PCI SSC)、GlobalPlatformです。
EMVCoは主にチップレベルでのセキュリティの標準化を行う団体でしたが、今日では決済時のトークナイゼーションやmPOS、新バージョンの3-Dセキュアにもより一層幅を広げてきています。PCI SSCはPCI DSSやPIN Transaction Security(PTS)、PINセキュリティに加え、Hardware Security Module(HSM)や決済端末そのものもカバーしています。そして、GlobalPlatformは、モバイル決済のためにセキュアメッセージングやTrusted Execution Environment(TEE)といった環境を確立することに取り組んでいます。
タレスのセキュリティ・ソリューションは、セキュリティ標準化の市場でも幅広く活用されており、主要なカードリーダのベンダーや決済の標準化団体との共同作業によって、ハードウェアベースの鍵管理や暗号化技術の統合に取り組んでいます。具体的には、ドラフト仕様書の内容確認・修正案の提示や、セキュリティ強化のための提言、そして協力企業のセキュリティ基準対応促進・支援などを実施しています。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のタレス e‐セキュリティ APAC シニアプロダクトマネジャー ジロウ シンドウ氏の講演をベースに加筆を加え、紹介しています。
お問い合わせ先
■タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com
■マクニカネットワークス株式会社
Thales 製品担当
〒222-8562 横浜市港北区新横浜1-5-5
マクニカ第2ビル
TEL 045-476-2010 FAX 045-476-2060
Email:thales-sales@cs.macnica.net
URL:http://www.macnica.net/thales/