カードセキュリティ最新情報, カードセキュリティPCI DSS, ペイメントニュース, ペイメント新着情報

「PCI-PTS」の重要性について‐CAFIS Archに対応した安心・安全な決済端末（上）

2016年10月6日8:00

■キヤノンマーケティングジャパン

キヤノンは、ＮＴＴデータの「CAFIS Arch®」に対応し、PCI PTSに準拠した安心・安全な決済端末を提供いたします。

航空会社の機内販売で多数の実績
PCI PEDに対応しPCI PTSにも対応するキヤノン

キヤノンのモバイル端末ビジネスは、1982年に大手飲料ベンダー様から、「印刷ができ、カメラのように屋外で使え、演算機能を持ったモバイル端末が作れないか」というご相談を受け、「HT-3000」というモバイル端末を製造した事をきっかけに始まっています。決済端末ビジネスは、1993年に欧州航空会社の機内販売システムに採用いただいた事が始まりです。今では国内の航空会社を含め、世界で数十社の航空会社にご採用をいただいております。また、国内では他に鉄道会社、百貨店、イベント会社など幅広く実績があります。

2015年6月には、株式会社ＮＴＴデータの新しい決済センターサービス「CAFIS Arch」に対応し、PCI PTSに準拠したセキュリティの高い決済端末を発売するという発表をさせていただきました。
　

訪日外国人旅行者急増の中で
国が重要インフラのひとつに位置付けるクレジットカード取引

一般的にはあまり知られていないと思いますが、クレジットカード取引は国が設置した情報セキュリティ政策会議にて、国民生活に重大な影響を与える重要インフラ13分野のひとつと定義されています。重要インフラというと、電力、ガス、水道や、航空や鉄道といった主にライフラインに関連するものがイメージされると思いますが、クレジットカード取引も重要インフラの1つです。そのため端末を製作するハードウェアメーカーは、重要インフラを脅かす「悪意」からクレジットカード情報を守るための対策を確実に行わなければなりません。

クレジットカード取引を脅かす「悪意」とは、例えばクレジットカード情報の盗難が考えられます。有名な盗難の方法として「スキミング」という方法があります。スキミングは、スキマーとよばれる装置を通すことでカード情報を一瞬にして抜き出す手口です。日本人は慣習的に店でクレジットカード決済をする際、クレジットカードを店員に渡してしまう事に対し抵抗がありませんが、例えば文化・慣習が異なる外国人旅行者がこの慣習を目のあたりにすると、「自分のクレジットカードを渡すなんて信じられない」と皆さん口を揃えていいます。なぜなら自分の見えないところでスキマーに通されて、クレジットカード情報が盗まれると考えているからです。

クレジットの「磁気カード」はスキマーで簡単にスキミングできます。「磁気カード」に対し、「ICクレジットカード」は高度なセキュリティ機能が実装されているため、カード情報を盗難する事が極めて困難です。そのため、安全なクレジット取引を行うためには、「ICクレジットカード」取引が必要ですが、日本ではICクレジットカードは数多く発行されているものの、実際にICクレジットカード取引ができる店舗はまだまだ少ないのが現状です。海外ではICクレジット取引が100％普及している国も多いため、外国人旅行者がこのような意識を持つのも当然だと考えられます。

内閣の「日本再興戦略」では、2013年に東京オリンピック・パラリンピックが決まったことを受けて、2014年に改訂された際に、「キャッシュレス決済の普及による決済の利便性・効率性向上を図る」といった事が盛り込まれています。具体的には面前決済の一般化、クレジットカード番号や個人情報管理等のセキュリティ対策の強化、クレジットカード取引のIC化、POS端末を含むキャッシュレス決済端末のセキュリティ仕様の標準化など、国際的なセキュリティ基準に対応しようという方針です。

訪日外国人旅行者は過去10年前と比較すると、約3倍増になっています。政府は、2020年までに2,000万人という目標を掲げていましたが、2015年に過去最高の1,973万人を達成したことを踏まえて、2020年までに3,000万人にすると目標値を引き上げており、2020年に向けて国を挙げて世界標準の「クレジットカード取引」が実現できる環境を整えようとしています。

日本でも2020年までの100％IC化を目指す方針
キヤノンではお客様目線でグローバルスタンダードのセキュリティに対応

経済産業省ではクレジットカード決済について、「2020年までに流通しているクレジットカードの100％IC化を目指す」「決済端末についても2020年までに100％IC化を目指す」という方針を示しています。また、カード情報の保護、偽造カード防止、なりすまし等の不正使用対策、という3つの課題を中心に検討を進めていくため、クレジット取引セキュリティ対策協議会が2016年に発足しています。

この環境の中、キャッシュレス化を推進するため、決済端末は世界標準の決済仕様に対応していかなければいけません。このような環境下にあるからこそハードウェアメーカーはお客様目線で考え、訪日外国人旅行者にも安心いただけるように面前決済の端末をつくり、世界標準のセキュリティに対応する必要があります。
　

端末メーカーに求められるセキュリティ基準「PCI PTS」
決済を安全に行うためのリスク対策

PCI SSCが策定しているセキュリティ基準の中で、最も有名なものは「PCI DSS」だと思いますが、PCI SSCが策定しているセキュリティ基準には端末メーカーに求められるセキュリティ基準として、「PCI PTS」という規格があります。「PCI PTS」はPIN入力を行う決済端末で確保されるべきセキュリティ要件をまとめた規格であり、PIN入力を行う端末を開発するベンダーに求められる要件です。スキミングやデータ盗難被害に対するリスク対策の基準をまとめたハードウェアとしてのセキュリティ基準が「PCI PTS」です。

「PCI PTS」の施行以前、ハードウェアメーカーは独自にセキュリティを考え、事故事例などを調べて、端末にセキュリティ機能を実装していました。ただ、ハードウェアメーカー独自で情報収集をするには限界があり、また、メーカー毎にどのようなセキュリティ機能を実装しているかは非公開でした。

それに対して「PCI PTS」は、ペイメントブランドに集まった世界中で起きた事故事例に対する対策方法を随時更新しています。一般ユーザーの視点で考えると、この基準に対応した端末を使うことで、一定以上のセキュリティが確保されているため安全です。結果として、安心して端末を使用する事ができるようなります

「PCI PTS」の試験は、PIN入力を行う端末を対象としていましたが、最近では対象範囲が広がっています。決済端末に磁気クレジット機能が備わっていれば、「スキミング配線をつないでスキミングできないか」など、対象範囲が広がっています。実際の「PCI PTS」の試験では、極端な例ですが、「液体窒素に漬けることでCPUが止まり、データを抽出できないか」「CPUを拳銃で打ち抜けば簡単にデータが盗れるのではないか」など、グローバルで発生した事故の事例を元に多様な試験が行われており、それらをクリアしないと「PCI PTS」準拠のハードウェアになれないのです。

「PCI PTS」は、有効期間が定義されています。1つのマイナーバージョンで「PCI PTS」規格として認められる有効期間は9年間で、さらに3年ごとにマイナーバージョンアップが行われ、新しいバージョンがリリースされています。現在の最新規格はPCI PTSの4.x台です。この4.x台でもバージョンが更新されており、現時点では4.1が最新バージョンとなっています。「PCI PTS」はバージョン更新ごとに、実際に発生した脅威に対策するため、セキュリティポリシーが追加されています。

EMVとPCI PTSは何が違うの？という質問をよく受けます。ICクレジット取引を行う際はEMV仕様に準拠する必要があります。ここでいうEMV仕様は大きく2つに分かれており、ICカードリーダーの互換性を確保するための、ハードウェアに依存する部分がEMV Level 1、クレジット取引を行うための各種処理内容や処理方法、ソフトウェアに関連する部分がEMV Level 2と定義されています。このLevel 1、2に対応してEMV準拠の端末ということになります。EMVはあくまでICクレジット決済を行うために必要な規格/仕様です。EMVに対し、PCI PTSは規格/仕様ではなく、クレジットカード取引を安全に行うためのセキュリティ対策です。

キヤノンは端末メーカーとして、お客様に安心・安全な決済を行っていただくために、決済端末はPCI PTS準拠が必ず必要だと考えています。PCI PTSは世界基準のクレジットカード決済における情報漏えいリスク対策であり、決済端末のハードウェアに求められる基準なのです。