2018年5月21日8:00
■タレスジャパン株式会社
近年では、モバイル、クラウド、ブロックチェーンなど、新しい技術が台頭してきています。そうした中、決済手段、決済環境の進化が進行しています。その中でどのようにセキュリティを確保していくのかを紹介します。タレスは過去30年にわたり、決済環境を保護するためにハードウェア・セキュリティ・モジュール(Hardware Security Module)、HSMを提供してきました。また、ANSI、PCI、EMV、Global Platformなどのセキュリティ基準を取りまとめる標準化団体にも主要メンバーとして参加し、意見を提出してきました。さらに、国際ブランドとも協力して、新しい決済手段、新しい要件に対応して、製品に機能を取り込んでいます。タレス(THALES)の決済HSMは決済システムの中でセキュリティを担保するために必要不可欠な部品となっております。
タレスジャパン株式会社 e-セキュリティ事業部 シニア・セールス・エンジニア 山神真吾氏
HSMの暗号処理と鍵管理機能で決済システムを強固に
決済手段は進化し続けています。特にQRコード決済、アリペイなどに対応する決済手段ですが、年間100兆円市場規模に成長しています。実はQRコード決済の裏側でもタレスのHSMが使われています。従来型の磁気カード、IC、NFC非接触、NFCモバイル、バーコード決済、QRコード決済、いずれの決済手段においてもセキュリティは必須要件で、HSMの暗号処理と鍵管理機能で決済エコシステムのセキュリティを確かなものにしています。
進化を続ける決済環境ですが、フィンテック(FinTech)と呼ばれる決済革命も進んでおり、今後は既存の決済インフラを経由しない取引、リアルタイム決済にシフトしていくことが予想されています。金融機関もリアルタイム化を進めていますし、経由する代行サービス手数料などのコストを抑制したいと考えています。また、利用者側も即座に支払い、資産の移動ができるリアルタイム決済に高い期待を抱いています。ヨーロッパでも日本でも、スマホから簡単に出金指示ができるように、金融機関がAPIを公開してきています。国際送金、銀行間の資金移動におけるブロックチェーンなどの技術を採用しようとする動きもありますし、またクラウド環境の積極的な利用も進んでおり、必ずしも安全とは限らない公衆回線で、いかにセキュリティを確保していくかという、新たな課題にも直面しています。
2018年現在、金融機関から承認を必要としない決済手段、いわゆるリアルタイム決済が増加してきています。複数の国内の銀行口座に対して、モバイルアプリから入金・出金指示ができるようになっています。例えば、ペイパル(PayPal)のサービスを思い浮かべていただくとわかりやすいかと思いますが、中継コストを削減できますし、手数料も軽減することができます。2018年からPSD2(欧州決済サービス指令)が完全施行されたので、リアルタイム決済にシフトする傾向はさらに強くなります。
タレスはフィンテック企業、金融機関のセキュリティ実装を支援
API経由で銀行の個人口座に直接アクセスできるようになることで、入金・出金指示だけでなく、口座管理やインスタントローンなど、多彩なサービスが提供されています。日本でもオープンAPIの議論は進んでおり、銀行法の一部を改正する法律が成立して、今年春には施行されます。金融庁が公開している資料を確認したところ、PSD2と同じように、銀行のオープン化によって口座管理サービス、電子送金サービスを推進するために、制度的なものを固めています。前提として金融機関、フィンテック企業の2者が明示的に契約を締結すること、オープンAPI情報提供範囲を特定すること、そしてそれらの方針を公表することなどのルールが決められています。また、フィンテック企業には登録制が導入されており、情報の適切な管理、管理体制の整備といった責任が課されます。今後、オープンAPIによって、消費者が銀行を選ぶ理由が、ATMや支店の数などの地理的要素から、どのサービスと連携しているのか、モバイルで何ができるのか、などのアプリケーションに変化する時代が来ています。
PSD2の基礎的なセキュリティ要件についてご説明します。まずは強力な認証機構です。利用者と金融機関の契約はもちろんですが、認証についても安全なものが採用されなければなりません。しかし、使いにくいのは良くないので、事業者間の認証、金融機関とフィンテック企業の認証には、アクセストークンを利用して、安全かつスムースに認証を完了する方法が採用されています。一方で、入金・出金決済に関わる指示、いわゆる更新系APIに関しては2要素認証の採用が必要です。
認証の次に大事なのは、格納データと通信経路の保護です。GDPR(EUの一般データ規則)にも関連して、あらゆる局面でのデータ保護をしなければなりません。アクセストークン自体の管理も重要です。
3番目の要件ですが、認定を受けた認証局が発行したセキュリティレベルの高いデジタル証明書を使うことが必要です。eIDAS(Electronic Identification and Trust Services Regulation)に準拠し、HSMでデジタル証明書を発行するのですが、要件が厳しく、対応できるHSMベンダーは数社しかありません。
PSD2のセキュリティイメージとして、EBA(金融庁)に届け出をするという点は日本とも共通しています。一方、フィンテック企業と金融機関の双方が、安全性の高いデジタル証明書で相互認証をしているところはユニークかと思います。日本では政府が管理してない証明書を使っても問題ないと思いますが、EUでは政府の管理下にある認証局のデジタル証明書が必要になっています。参照系APIの実行はアクセストークンを利用して安全かつスムースに行われます。一方、決済指示に関しては間違いがあってはいけないので、更新系APIでは取引ごとに2要素認証が必要になります。データ保護に関してはGDPRの影響もあって、あらゆる場面でデータが保護されることが求められています。
PSD2に対応するエコシステムを構築する上で必要なものですが、各プレーヤーが必要とするものとして、技術に関しては、将来的にはオープンIDに移行すると思いますが、現状はOauth2.0 が使われています。Facebookと連携するサービスで利用されているスムースに認証が完了する手段です。それからウェブサービスであるので、認証にあたってJSON Web Tokens とHMAC (Hash-based Message Authentication Code)でアクセストークンの秘匿性を確保しています。また、PKI(Public Key Infrastructure)の技術が各所で採用されています。認証、署名、TLS、乱数生成器、デジタル証明書、データ暗号など、タレスが得意とする言葉が並んでおり、タレスはそうしたところにソリューションを提供することで、フィンテック企業、金融機関のセキュリティ実装を支援しています。
金融サービスにおけるブロックチェーンと、HCEによるクラウドサービス
仮想通貨で注目を浴びたブロックチェーンですが、金融サービスの分野でも実証実験、実際の活用も進んでいます。例えば、銀行間決済取引、クロスボーダーの決済取引、B2B、P2Pの決済取引といったところでの活用が見込まれており、今後3年間で1,100億ドルのコストを削減するのではという期待が寄せられています。特にクロスボーダー決済、国を越えた海外送金では、従来型の中継事業者にかなり大きな打撃を与える、最大600億ドルのコスト削減が見込まれています。
タレスでは、2017年2月に国際ブランドがHCE(Host Card Emulation)に対応することを表明して以来、多くのサービスプロバイダと協力してクラウドベースの決済サービスを実装してきました。2018年もその流れは変わることなく、加速していくと予想しています。HCEでは従来チップに書き込まれていた機密情報がクラウドに安全な形で格納され、管理されます。メリットとしては、デバイスを紛失したときに失効処理をリアルタイムに反映させられます。デバイスに配布される決済資格情報、アカウントナンバーのようなものですが、そこにカード番号を生で入れるわけにはいかないので、トークン化された値が格納されます。トークン化されているので、それを悪用しようとしてもできません。トークン自体もセグメント化されているので、色々な場面でコントロールすることが可能です。トークン化された資格情報ですが、公衆回線経由で配布しているので、安全性を確保するために、配布するときはデバイスとクラウド間でセキュアチャネルを確立した上で、安全に行なっています。
HCEモバイル、NFCの将来的な技術発展についてですが、例えば、新幹線で旅行にでかける際に、あらかじめエミュレーションされたクレジットカード・ポイントカード・チケット・バウチャー類を単一のアプリケーションで管理できたら便利だと思いますが、現状では残念ながらチケットやバウチャーなどを券売機で印刷しなければなりませんし、そのチケットを失くさないように管理しなければいけません。HCEとモバイルの豊富な機能によって、このようなものを作れるのではないかと考えています。また、HCEはパワフルで、モバイルデバイスに配布されたトークンを、非対面のオンライン決済でも安全に利用することができます。事業者から見ても囲い込みやアップセルの機会は増えますし、利用者も便利でワクワクするようなサービスを利用できますので、今後が期待されます。
従来型の金融機関から承認を取得するような決済件数は、長期的に見て減少していく可能性があります。金融機関もコストカットや効率化を進めていますし、リアルタイム決済にシフトしていく流れがあるということはご認識ください。シンプルな手順で直接資産を移動できるようなリアルタイム決済が登場すると、サービス利用者の認証、認可が重要になります。そして、このようなサービスでは、機密情報の保護、個人情報の保護を、最初から設計に含めておかなければなりません。今後、金融サービスのクラウド利用は間違いなく増加します。既存の決済サービスをクラウドに移行させるパターンだけではなく、リアルタイム決済やフィンテックを推進するようなクラウド利用が進んでいくと思います。タレスではそうした金融サービスのクラウド利用をきちんと支援していけるように機能を強化しています。
※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のタレスジャパンの講演をベースに加筆を加え、紹介しています。
お問い合わせ先
■タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8100
URL:https://jp.thales-esecurity.com/
Email : jpnsales@thales-esecurity.com
