2015年5月27日9:00

動的な認証でペイメントカードの不正利用を防止
セキュリティコードを可変させる新カードで加盟店の負担を軽減

NAGRA ID Securityは、国際ブランドのワンタイムパスワードカードを提供する企業の1つである。同社が製造するディスプレイカードを利用すれば、動的な認証でペイメントカードの不正利用を防止可能だ。NagraID Security マーケティングマネージャーのLaval LAW氏に同社の取り組みについて説明してもらった。

ディスプレイカードはバンキング、ノンバンクに分かれる
新カード発行により加盟店のシステム対応が不要に

――まずは、現状のディスプレイカードの発行状況をお聞かせください。
Laval LAW：現在は、ディスプレイカードは複数のセグメントに分かれており、大きくクレジットカード等のバンキング、それ以外のノンバンキングとなります。ノンバンキングは、エンタープライズ、DPN、コーポレート、バーアクセス、ID・パスポート、ドライビングライセンス、健康保険証などとなっております。

バンキングカードは、安全性が高まるため消費者側の受けは非常によいです。ただ、コストだけを見るとイシュア（カード発行企業）側が躊躇する場合もありますが、全体的に受け入れられていると思います。

――たとえば、シンガポールでは、2013年にシンガポールのスタンダードチャータード銀行がEMV取引も可能なディスプレイカードを導入されました。御社のワンタイムパスワードカードは、16桁のカード番号に加え、6桁の数字を利用されていますね。現在のアップデートについてお聞かせください。
Laval LAW：16桁のカード番号に6桁を追加する場合、計24桁となり、ウェブサイトを運営するマーチャント（加盟店）のサイトに手を加える必要がありました。3桁のセキュリティコードを可変させるカードを開発しましたが、こちらはマーチャントが何をしなくても自動的に処理が可能です。

3桁のセキュリティコードを可変させるディスプレイカード

――日本のAmazonや楽天は最初にクレジットカード番号を登録し、ワンクリックで商品を購入できますが、このカードでも可能ですか？
Laval LAW：このカードでは、最初にカード番号を登録すれば、ワンクリック決済が可能です。3桁のセキュリティコードを可変させる新カードは2014年12月にローンチしましたが、テクノロジーやシステムについてよくわからない方も含め評判がよく、引き合いがあります。

MasterCardの認定を取得
テスト期間中に500万のカード発行を目指す

――現在、認定を受けられている国際ブランドについてお聞かせください。また、契約したイシュアについてもお答えください。
Laval LAW：すでにMasterCardの認定は受けています。また、VisaおよびAmerican Expressとも交渉中です。すでに契約しているイシュアもありますが、スタートするまでのテスト期間が必要です。たとえば、フランスはこのカードを国全体として標準にしていきたいという希望を持っています。

NagraID Security マーケティングマネージャーのLaval LAW氏

――新カードの価格、また、販売目標についてお聞かせください。
Laval LAW：確かに通常のクレジットカードよりは発行コストは高いですが、安全性が高く、保険なども含めてトータルに考えれば、コストは削減できると考えています。カードについても有効期限までは確実に使えます。目標としては、テスト期間中に500万の発行を目指していますが、将来的にはすべてのカードがこの形態になればいいですね。

――アジア・パシフィックエリアの展開はいかがでしょうか？
Laval LAW：シンガポールにおいて、16桁＋6桁のカードが発行されていますが、セキュリティコードが可変するタイプはまだローンチされていませんので、これから広めていきたいです。現状、日本の市場には進出していませんが、チャンスがあれば出ていきたいですね。

――ノンバンキングの取り組みについてお聞かせください。
Laval LAW：ノンバンキングカードとしては、HID、VASCO（バスコ）、ベリサイン、シマンテックなどが取引先となります。キーフォブの場合、持ち運びが大変ですが、カード型は財布に入れて持ち歩けるので便利です。ノンバンキングは、スイスエアライン、PayPal（ペイパル）、コナミ、eBay（イーベイ）などで採用されています。

ノンバンクのカードはKONAMIでも採用

※取材はシンガポールで4月22日、23日に開催された「Cards & Payments Asia」のNAGRA ID Securityのブースにて

2015年5月29日7:31

PCI SSCが「PCIアジア太平洋コミュニティミーティング」を10月に日本で開催
「PCI DSS」等のカード決済のセキュリティを普及促進

2006年にJCB、Visa、MasterCard、American Express、Discoverの国際ペイメントブランド5社によって設立されたPCI SSC（The PCI Security Standards Counsil）は、「PCI DSS（Payment Card Industry Data Security Standard）をはじめとするセキュリティ標準の普及・促進を図る標準化団体である。PCI SSCは、2015年10月14日、15日にウェスティンホテル東京で「PCIアジア太平洋コミュニティミーティング」を開催する。PCI Security Standards Council International Director Jeremy King（ジェレミー・キング）氏に、PCI SSCの役割などについて説明してもらった。

日本ではJCBをはじめ関連団体などと連携
決済のライフサイクル全般にわたりカード情報を保護

PCI SSCは、ペイメントカード情報保護のセキュリティ基準「PCI DSS」やPIN入力装置の基準を定めた「PCI PTS」、ペイメントアプリケーションを対象とした「PA-DSS」等に関する認知向上と導入促進を行っている。また、セキュリティプロフェッショナルの育成、決済データセキュリティの重要性をあらゆるレベルの人に理解してもらうことが役割となる。

PCI Security Standards Council International Director Jeremy King（ジェレミー・キング）氏。主に米国以外の地域を担当する

カード決済は拡大しているが、なかでもアジア太平洋地域の伸びは著しい。グローバルでカード決済が拡大するとともにセキュリティリスクも広がっている。国内でもクレジットカード決済の利用は拡大しており、過去10年間でカード決済額は2倍以上に増加。また、2020年の東京五輪に向けて、キャッシュレス化が進行している。政府や業界団体の動きも活発で、決済インフラの整備、セキュリティの強化に向け議論を重ねている。

たとえば、英国でのロンドン五輪の際は、コンタクトレス決済（非接触IC決済）を広げる課題があったが、近年は「Apple Pay」や「Samsung Pay」をはじめ、さまざまな決済手段が登場しており、そういった手段への対応も求められる可能性がある。ジェレミー・キング氏は、「PCI SSCとしても経済産業省などが目指している決済チャネルのアップデートはサポートしたい」と話す。そのうえで、「セキュリティに関しては、PCI DSSの基準をマストにするのではなく、グローバルな基準に準拠することを言及してもらうことを希望している」としている。

日本でのセキュリティの理解・促進に向けては、創業メンバーで国内発の国際ブランドであるジェーシービー（JCB）、10の協力団体、4の内部セキュリティ評価団体と密接に協力。現在、全世界で700の団体がPCI SSCに参加して、39団体がアジア太平洋地域にあるそうだ。たとえば、日本では経済産業省、日本クレジット協会（JCA）、日本カード情報セキュリティ協議会（JCDSC）と連携し、情報交換などを行っている。

PCIのセキュリティ標準では、決済のライフサイクル全般にわたりカード会員データを保護するという。標準の対象は、決済アプリケーション、決済端末、決済カード製造、ポイント・ツー・ポイントの暗号化（P2PE）など、幅広い決済セキュリティの課題を網羅している。

ISA向けのプログラムを実施
加盟店などへの意識向上プログラムも開催

PCI SSCでは、2015年10月14日、15日に「PCIアジア太平洋コミュニティミーティング」を開催するが、トレーニングも実施する予定だ。まず、「内部セキュリティ評価者（ISA）向けのプログラム」を10月22日、23日に東京都内で実施。ISAは、PCI SSCによるトレーニングと証明書を受領して、組織の内部のPCI DSS自己評価を行うことができる内部監査人のこととなる。「内部評価者向けのISAトレーニングは全世界でも人気がある」とジェレミー・キング氏は説明する。加盟店などの社員がシステムとデータを保護する研修を受けることで、コンプライアンス上のリスクを最小化するためのベストプラクティスツールを提供するそうだ。

「意識向上プログラム」は、10月16日に東京都内で実施予定だ。同プログラムは、PCI DSSを遵守する必要がある加盟店やサービスプロバイダに対し、「なぜ対応する必要があるのか？」など、基本的な情報を提供するものとなる。同氏によると、PCI DSSについては、企業のトップから管理職、従業員まで、企業の全社員がそれぞれの役割を果たす必要があるという。

これらのプログラムは、日本語で受講可能となっている。料金はPCI SSCのWebサイトで紹介されているが、メンバーには割引料金が適用されるそうだ。

なお、「PCIアジア太平洋コミュニティミーティング」の開催は3度目となるが、日本では初の開催となる。同イベントでは、ベライゾン PCIセキュリティ担当者のCiske van Oosten氏、NRIセキュアテクノロジーズの矢野淳氏、楽天 情報セキュリティエキスパートのMarat Vyshegorodtsev氏、Astec Information SecurityのGordon McIntosh氏が登壇する予定となっている。

日本でも2020年に向けて、新しいテクノロジーの導入とセキュリティ強化が進められていくと思われる。ジェレミー・キング氏は、「いま日本の加盟店、決済システムの関係者は大きな変革を迎えていますので、お手伝いできればと思っています」と語り、笑顔を見せた。

※2015年7月発行予定の「カード決済セキュリティガイド」では、PCI Security Standards Council International Director Jeremy King氏に、PCI DSS3.1へのアップデート、品質保証プログラムの現状、日本のPCI DSSの準拠状況、PCI PTSのアップデート、P2PEの認証、PCI HSMの概要、PCI DSSのトークナイゼーションガイドラインとブランド準拠のトークンサービスの違いなどについてのインタビュー記事を掲載する予定となっている。

2015年5月29日21:16

Visa Inc.は、米国時間の2015年5月28日、金融機関とテクノロジー企業を相互に接続し、決済・商取引の新サービス導入を簡素化し、導入までの期間を短縮する「Visa Digital Enablement Program（VDEP）」を発表した。同プログラムは、Visaのトークン技術を基盤とし、全世界でVisaの顧客である1万4,500を超える金融機関および世界有数のテクノロジーパートナーからのアクセスを可能にするターンキー型で通信料不要の商取引フレームワークとなる。このほどAndroid Payを展開するGoogleが、同プログラムの最初のインターナショナルプログラムパートナーとなった。

Visa Digital Enablement Programは、パートナー企業による同社のトークン技術へのアクセスを簡素化する設計で、①VDEPを使って相互接続を実現することにより、金融機関とテクノロジー企業は短い期間でスケールメリットが得られ、煩雑な契約や技術導入も不要となる、②テクノロジーパートナーと金融機関間でパススルー費用のかからない、シンプルかつ拡張性のある商取引構造により、金融機関、加盟店、およびテクノロジー企業の成長を加速させる、③VDEPは、セキュアトークンテクノロジー、リスク対策および不正防止のサービス、顧客情報保護を組み込むことで、パワフルなセキュリティを実現、④VDEPは、1万4,500社におよぶVisaのグローバルな金融機関顧客に利用してもらえる。VDEPにより、セキュアなモバイル・デジタル決済のサービスを真に世界規模で実現する、Visaが初となるプラットフォームを金融機関およびテクノロジーパートナーに提供――といった特徴を備えている。

2015年6月2日11:04

NTTデータは、さまざまな決済機能を提供するクラウド型総合決済プラットフォーム「CAFIS Arch（アーチ）」を2015年9月より提供開始すると発表した。

「CAFIS Arch」は加盟店の決済端末、タブレットPOS等に対して、クレジット、デビット、電子マネー等のさまざまな決済機能を提供するクラウドサービスとなる。同サービスは決済手段の追加や機能拡張が容易なため、利用する加盟店は、多様化する顧客ニーズにスピーディーに対応できるようになるそうだ。

「CAFIS Arch」はクレジット決済、デビット決済、電子サインをはじめとした多様な決済手段に対応する。従来サービスでは、多様な決済手段に対応するため複数の端末導入を必要としていたが、同サービスでは一台の端末であらゆる決済手段が利用可能だ。

端末一台で多様な決済手段へ容易に対応（出典：NTTデータ）

また、従来サービスにおいて決済手段の追加には決済端末の置き換えが必要なため、切り替えに期間を要し、代替機の準備も必要だった。一方、同サービスは決済機能をサーバー側で保持して処理を行うため、決済端末を置き換えることなく決済手段の追加が可能となる。これにより「CAFIS Arch」を利用する加盟店は、多様化する顧客ニーズへスピーディーに対応できるようになるそうだ。

また、「CAFIS Arch」では、免税書類発行、多通貨決済、海外カード決済（中国銀聯、シンハンカード）等のインバウンド（訪日外国人）向けのサービスの提供を予定している。2020年東京オリンピック・パラリンピックの開催に向け、訪日外国人観光客は増加すると予測されるが、NTTデータが提供するインバウンド向けサービスを利用することで、加盟店は訪日外国人への販売機会を逃すことなく、売り上げ拡大が見込めるという。

「CAFIS Arch」は決済機能のほかにも電子サイン、ポイント管理等の決済付帯機能へも対応する。さらに店舗売上管理機能等の加盟店が独自に必要とする業務についても利用可能だ。一台の端末で決済から加盟店の独自業務まで完結するため、業務効率化だけではなく、これまで加盟店が構築していた機能をクラウド化できるため運用、保守費用の削減効果も期待できるそうだ。

そのほか、決済サービスにおいて一般的なデータ暗号化等のセキュリティー対策はもちろんのこと、「CAFIS Arch」はクラウド型のサービスのため、決済端末にカード情報を含む取引情報を残さないという。これにより、決済端末の紛失、盗難による個人情報流出等のセキュリティーリスクを低減することが可能だ。

なお、CAFIS Archに接続する端末は、JCCA（日本クレジットカード協会）の定めるクレジット・デビット・ICなどの各種カード決済データ送受信や与信照会などの機能を担う共同利用端末「INFOX（インフォックス）端末」としても利用可能となっている。

今後の予定として、2015年9月より、クレジット決済機能（シンハンカード決済を含む）、免税書類発行に対応する。また、デビット、中国銀聯、各種電子マネー、PayPass・Visa payWave、プリペイドカード等の決済機能、口座振替、領収証発行、電子サイン、ポイント管理等の決済付加機能、中国銀聯、多通貨決済（DCC）、CLO等のインバウンド対応も順次提供するそうだ。

2015年6月2日11:14

キヤノンマーケティングジャパン（キヤノンMJ）は、キヤノン電子製の業務用モバイル端末の新製品として、NTTデータのクラウド型総合決済プラットホーム「CAFIS Arch」に対応したプリンター一体型決済端末（PRea（プレア）決済端末（仮称））を2016年3月より発売する予定であると発表した。

同製品はNTTデータのクラウド型統合決済プラットホーム「CAFIS Arch」に対応しており、クレジットやデビット、銀聯、電子マネー、電子サインなど、同サービスが提供する各種決済を利用できるようになる。また、決済した後に本体に搭載されたプリンターからレシートなどを発行できるため、小売業・飲食店の訪問販売やテーブル決済、金融機関の軒先決済、宅配業の代引き決済など幅広い業種に対応可能だ。

また、今後の訪日外国人観光客の増加を見据え、ICクレジット決済に必要な国際セキュリティー基準の最新バージョンである「PCI-PTS4.0」および「EMV Level1/Level2」に対応している。

さらに、本体のみで利用できる「通信一体型モバイルモデル」と、タブレットと連携して使用する「スマートデバイス連動モデル」の2機種を用意しており、業務用途に合わせて選択可能だ。キヤノンMJはNTTデータと連携し、生命保険・損害保険などの金融機関や物流企業、流通・小売業などに同製品を拡販していく方針だ。

通信一体型モバイルモデル（キヤノンMJのプレスリリース）

スマートデバイス連動モデル（キヤノンMJのプレスリリース）

2015年6月2日19:37

かっこは、リクルートライフスタイルの運営するショッピングモール「ポンパレモール」において、ビッグデータを活用し、クレジットカードの不正利用や詐欺などのあやしい注文者のふるまいを統計技術で検知する不正注文検知サービス「O-PLUX」による審査を開始したと発表した。

「O-PLUX」は、個人情報保護に留意した消費者の氏名などが判別できない取引データを導入企業から取得し、過去に未回収となった取引との類似性をリアルタイムに解析することで、企業が目視審査や未回収の処理に掛けているコストの削減と、審査精度および審査速度の向上を実現させるASPサービスとなっている。

不正注文検知サービス 「O-PLUX」（出典：かっこのプレスリリース）

2015年6月9日19:49

ASJは、同社のカード情報取扱い業務及びシステムにおいて、ペイメントカード業界の国際セキュリティ基準であるPCI DSS（Payment Card Industry Data Security Standard）Level 1の基準に基づき認定審査機関からの正式な審査を受け、PCIDSSVer.3.0 Level 1の完全準拠認定を取得したと発表した。

PCI DSSは、国際5ブランドが共同で定めたペイメントカード情報の安全管理基準であり、カード情報や決済情報を保護するための要件が規定されている。PCI DSSにおいては、カード情報の取扱量や規模に応じて準拠基準を設けており、その中でも最も厳格であるLevel 1基準に完全準拠するためには認定審査機関からの正式な審査及び定期的な脆弱性テストを行うことが要求されている。ASJでは、認定審査機関の審査及びシステムの脆弱性テストを経て、2015年6月1日付でPCIDSSVer.3.0完全準拠認定を取得したという。

2015年6月11日16:05

大日本印刷（DNP）は、世界トップクラスのセキュリティ関連の印刷会社である英国De La Rue plc（デラルー）とセキュリティソリューション分野で業務提携に合意したと発表した。今後両社は、新偽造防止技術を共同で開発し、全世界に展開していくという。

DNPは1982年にホログラムの量産技術を確立し、1987年にはICカードの製造・発行を開始するなど、セキュリティ製品の開発で業界をリードしている。一方デラルーは、世界のトップシェアを持ち、150カ国で採用されている紙幣製造をはじめ、パスポートや運転免許証などのセキュリティ印刷から、紙幣カウンターやATMなどの機器まで、トータルなビジネスをグローバルに展開している。

今後、両社では、DNPの偽造防止技術とデラルーのセキュリティ印刷技術を融合し、新たなセキュリティソリューションをグローバル市場に展開していく。第一弾として、DNPは、リップマンホログラム、エンボスホログラムなどのセキュリティ製品をデラルーに供給することで、海外のセキュリティ市場に参入する。

ホログラム利用イメージ。リップマンホログラム（上）、エンボスホログラム（下）（出典：DNPのプレスリリース）

企業名	所在地	HP	MAIL
大日本印刷株式会社	〒162-8001 東京都新宿区市谷加賀町一丁目1番1号 [TEL] 03 -3266 – 2111（ダイヤルイン案内台）
サービス概要
国内ICカードシェアNo.1を誇る企業として、ICカードの製造・発行にとどまらず、 ASPソリューションとしてICカードに関連する多様なサービスを実現する 「CDMS（Card Data Management Service）」を提供しています。 ICカード・おサイフケータイへの即時発行から、地域通貨やポイントデータ管理、導入コンサルまで、デジタルセキュリティに枠を拡げた総合的なソリューションを提供し、スマートライフの発展に貢献していきます。

2015年6月15日18:42

じぶん銀行は、2015年6月14日から、「じぶん銀行スマートフォンアプリ」において、インターネットバンキングによる不正送金被害を防止するための新しい認証サービス、「スマホ認証サービス」の提供を開始した。「トランザクション認証機能」を、銀行取引用のスマートフォンアプリに組み込んだ認証サービスの提供は邦銀初となるそうだ。Androidスマートフォン向けには同日より、iPhone向けにも近日中にサービスを提供する。

左から、トランザクション認証機能を組込んだ銀行取引アプリのメニュー一覧、「スマホ認証」承認画面（出典：じぶん銀行のプレスリリース）

「スマホ認証」で採用している「トランザクション認証機能」は、利用者が入力した取引内容を含んだワンタイムのパスワードを生成して認証するもので、送金先を書換えるなどの不正が行われた場合に検知できる。

また、「スマホ認証」は、振込みなどの重要な取引の際に利用できる。取引確定前に、同行アプリに表示された取引内容を利用者に確認してもらい、承認された取引だけを実行する。これにより、第三者の成りすましによる不正アクセスや、インターネットバンキングの不正送金指示で見られるマン・イン・ザ・ブラウザ攻撃による取引内容の改ざんによる被害を防止可能だ。なお、「スマホ認証」は、パソコンからの取引だけでなく、同行アプリからの取引でも利用可能だ。

パソコンからの取引の場合、スマートフォンが取引内容を確認する機器となるため、スマートフォンとパソコンの2経路認証となると同時に、ログイン認証（記憶暗証番号）とトランザクション認証による2要素認証にもなるため、より高いセキュリティを実現できるという。

また、「スマホ認証」を、銀行取引アプリ「じぶん銀行スマートフォンアプリ」に組込んでいるため、パスワードカードなどの専用認証機器を使うことなく利用できる。同行アプリからの取引の場合には、トランザクション認証による安全性を確保しながら、別のアプリを立上げるといった手間がなく、1つのアプリで取引内容の入力から認証まで完結できる。

「スマホ認証」では、利用者が同行アプリ上で取引内容を確認して承認することで、取引内容を含むワンタイムパスワードがアプリ内で連携されて認証されるため、ワンタイムパスワードを入力することなく取引できるという。また、「スマホ認証」は、じぶん銀行のインターネットバンキングから申込みでき、24時間対応の自動応答電話による本人確認の後、すぐに利用できる。

2015年6月17日8:02

タレスジャパン株式会社
モバイル決済におけるセキュリティリスク管理の新潮流
NFCのモバイル決済で注目を集めるHCEの運用にHSMは有効

クレジットカードによる決済をモバイルデバイスで行うことが浸透しています。国内でもカード決済の利用率がアップしていますが、同時にセキュリティ面の配慮も増大せざるを得ません。モバイル決済における従来のセキュアエレメント(SE)による決済情報の保全に比べ、カード発行・運用企業側の負担を軽減する新しいセキュリティ手法「ホスト・カード・エミュレーション」(HCE)におけるHSM（ハードウェア・セキュリティ・モジュール）の役割について紹介します。

HCEによるモバイルペイメントが普及の兆し
通信キャリア・TSMなど複数の団体との調整が不要に

決済ビジネスは多様化しています。今後は銀行や発行会社が自らの役割や責務を踏まえつつ、グループ内でのパートナーシップやシナジーを考えてビジネスを進めていく必要があるでしょう。金融機関は、NFCにおけるモバイル決済において「Host Card Emulation（HCE）」により、より多くのお客様にビジネスを広げることができ、モバイルユーザーに対してビジネスを有機的に展開できるチャンスを得ることができます。

Googleは、NFCスマートフォンで利用できる機能「Android4.4（KitKat）」にHCEを採用しました。従来はセキュアエレメント（Secure Element）とやりとりをしながらシングル・ワイヤ・プロトコル（SWP）を使う手法が一般的でしたが、HCEはソフトウェアを利用する方法となります。これにより、セキュアエレメントとやり取りする必要がなくなり、TSM（Trusted　Service Manager）は不要となります。また、イシュア（カード発行会社）はNFCを活用したコンタクトレスの決済システムが容易に提供できます。

ただ、これにより、セキュリティが弱くなるのでは？という懸念もあると思います。PAN（パーソナル・アカウント・インフォメーション）を携帯電話の中に保存する必要があり、リスクがあると思われがちですが、暗号鍵、トークナイゼーション、トランザクション分析を行うことにより、リスクは下がると考えています。

すでに、Visa、MasterCard、American Expressでは、HCEの独自の仕様を発表しており、EMVcoもトークナイゼーションの仕様がありますので、今後はより多くのHCEのソリューションが登場すると考えます。

話題の最新技術- HCE

コンタクトレスペイメントは、特に日本では長年にわたって展開されてきました。海外を見ても、英国ではカードや端末も整ってきたため、本格展開が始まっています。HCEはカードエミュレーションの代替となり、携帯電話ではセキュアエレメント（SE）を使う必要はありませんので、NFCコントローラのダイレクトアクセスが可能となります。その結果、コンタクトレスのPOS端末に対してもダイレクトアクセスが行えます。

実際にHCEの仕様をカードスキームへ実装する場合、プログラムは独占的に提供されています。現状は協業よりも競争する形となっており、EMVの仕様がオープンとなっているのとは対比的な状況となっています。

モバイル決済では、コンタクトレス決済をPOS端末で行うことになりますが、現行のアクワイアラ（加盟店開拓を行うカード会社）の端末が通常のクレジットカードと同様に処理できることになります。

HCEにおいて鍵は短期間のみ利用される
HSMは鍵を生成するプロセス全体をコントロール

HCEとセキュアエレメントは、両方ともコンタクトレスな決済を行うという意味では同じです。ただし、セキュリティのアーキテクチャに目を向けると、セキュアレメントはEMVチップが携帯電話に入っているものになります。したがって、設計の段階から、チップの複製を阻止する目的で考えられており、すべての期間にわたって鍵を保護しなければなりません。一方で、HCEはセキュアな暗号の生成に使われる携帯電話の中に入っている鍵の管理が重要で、鍵は短期間しか使われません。リスクマネジメントの観点からいうとセキュアエレメントとHCEでは全く違ったものとなります。例えば、決済の際のカード詐欺を防ぐため、セキュアエレメントはチップの複製を難しくしています。一方で、HCEは、“モバイルデバイスはセキュアなデバイスではない”という前提で作られています。鍵はモバイルデバイスから盗まれる可能性もあると考えられているため、仮に盗まれた場合にはそのデータの価値をなくすことが可能です。

つまり、カード詐欺が発生した場合、セキュアエレメントでは、より複雑なプロセスを経なければなりません。なぜなら、セキュアエレメントのプロビジョング全体をもう一度やり直す必要があるからです。すべてを無効にして、アプリケーションをブロックし、リロードしてすべてをやり直すことになります。

その点、HCEはシンプルです。取引はリアルタイムで拒否され、鍵に関しても現在および今後の取引に対して無効となります。極端なケースの場合、アプリケーションのリロードが必要ですが、セキュアエレメントよりもシンプルな方法で処理できます。

イシュアでセキュアエレメントのモデルを構築する際、まずTSMが必要になり、メインのインターフェースはMNO（モバイル・ネットワーク・オペレーター）から提供されます。HCEでは、MNOやTSMを使った複雑さがすべてなくなります。イシュアは、直接携帯電話のアプリケーションと通信することが可能となり、シンプルになります。モバイルデバイスを使うためのプロセスはモバイルユーザーが行いますが、イシュアのスキームやプロセスは各ブランドにより異なっても、使い方はより近いものとなります。

HCEのスキームを使うために、1つの重要なコンポーネントとなるのがHSM（ハードウェア・セキュリティ・モジュール）です。HSMはただ単に暗号を処理するだけではなく、人とプロセスと技術を組み合わせ、セキュアな状況を可能とします。HSMは鍵を生成するプロセス全体をコントロールするハードウェアとして認定されていると同時に、モバイルモバイル機器へのプロビジョニングをセキュアな状態で行います。仮にプロビジョニングのシステムが不正アクセスを受けた場合、根本的なセキュリティ機能がすべて壊滅することにつながるため、さまざまなカード技術、イシュイングに対しても重要なコンポーネンツになります。イシュアがHCEを利用する際、決済時の認証情報がどのように管理されているか、ユーザーがどのように認証を受けているか、また、携帯電話を盗まれたり、不正アクセスを受けた場合、その中身のデータを無効にできるのか、という観点で見る必要があります。

タレスのハードウエア・セキュリティ・モジュール

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のタレス e-セキュリティ シニア プロダクトマネジャー ジロウ・シンドウ氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL：https://jp.thales-esecurity.com/
Email ： jpnsales@thales-esecurity.com

2015年6月17日22:36

アシストは、同社提供するBRMS「Progress Corticon」（開発元：米国Progress Software Corporation）が、カード会社のUCSのクレジットカード入会審査システムのビジネスルール管理エンジンとして採用されたと発表した。

UCSでは、スクラッチ開発でクレジットカードの自動審査を構築し、基幹システムに組み込む形で運用していたが、貸金業法などの法改正による審査基準の頻繁な変更により、基幹システム側の改修に多額のコストと時間がかかることが大きな課題となっていた。そのため、あえてシステム改修せず担当者が手作業で審査対応をフォローしたところ業務量が増大し、自動審査率が大幅に落ち込んだそうだ。また、法改正により残高系商品市場が縮小する状況下、審査結果の妥当性を確認することが新たな課題として浮上してきた。そこでプリマジェストより、入会審査ワークフローシステムの更改を機に、「Progress Corticon」をルール管理エンジンとする提案がなされ、新たな入会審査ワークフローシステムを構築することになった。同システムにより、従来基幹システムで行っていた自動審査をサブシステム側で行うことができるようになったという。

具体的な導入効果としては、以前は審査基準の変更によるシステム改修に約1カ月の開発期間と数百万円のコストがかかっていたが、プログラム変更ではなく、与信担当の責任者がGUI画面の操作でこれらの変更に対応できるようになり、大幅なコスト削減に繋がったそうだ。

また、申込データの事前チェック（入会申込書の不備、記入漏れ、書類不足）にもルール管理エンジンを活用したことで、審査前の業務が効率化し、審査業務のミスも減少。また、従来は8%ほどだった自動審査率が実質70～80%へと向上し、人手による審査業務量が約半減した。その結果、審査精度の向上とカード発行期間の2日程度の短縮を同時に実現したという。

2015年6月18日8:00

タレスジャパン株式会社
モバイル決済におけるセキュリティリスク管理の新潮流
NFCのモバイル決済で注目を集めるHCEの運用にHSMは有効

鍵交換技術の実装にHSMが有効
イシュアにとってセキュアな鍵の生成が可能に

HCEは、VisaとMasterCardが最初のイシュア向けの仕様を出しましたが、アカウントマネジメントシステムは、カードベースのシステムの延長となり、トランザクションマネージはカード決済のオーソリのシステムです。デバイスプロビジョニングは、HCEで使う新システムとなり、携帯電話とのインターフェースをとり、鍵や機密データを携帯電話にプロビジョニングする役割があります。イシュアにはさまざまなシステムアーキテクチャが登録されていますが、このような仕組みを利用すれば、既存のシステムに対して大きな混乱はなく、モバイル決済のサポートや構築の手助けになると考えます。

HCEは、鍵を生成する際にカードスキームとしてHSMで行われ、イシュアにとってはよりセキュアな鍵の生成方法がとれるはずです。HCEで使うPANのレンジは実際の物理的なカード環境で使うものとは異なるため、仮にデータが盗まれても、それを使って対面取引で悪用されたり、非対面取引に使うことはできません。また、鍵をどう保管するかという、ストレージの部分については、HSMの内側にのみ存在し、イシュアの環境の中だけでセキュアな形で暗号化されています。

Host Card Emulation

アカウントマネジメントモジュールについては、アカウントのアーキュレーションをサポートします。例えば、あるユーザーがモバイルサービスを使う場合、銀行への登録を行いますが、まずはユーザーのデバイスの適格性をチェックする必要があります。方法は各イシュアにより異なりますが、お客様に対してアクティベーションコードを供給し、アプリケーションのダウンロードを行います。アプリケーションがインストールされ、鍵のプロビジョニングが終わると、ユーザーは店舗で支払いが可能になります。どの程度のセキュリティレベルでアクティベーションさせるかはイシュアに委ねられますが、この場合、考えられるのはPINコードや指紋による認証になります。また、マスターキーはカードから分離されています。鍵交換技術を使用するためにHSMが利用され、モバイルデバイス側に格納されている鍵は暗号化された形式で携帯デバイスに格納されます。

PANについては、HCEは通常のカードは利用しません。物理的なカードで使っているPANとは代替となるPANもしくはトークンが使われます。この場合、鍵は一回限りの仕様となります。すでにプロビジョニングされた鍵が全部使われた場合には、イシュアから再度もう一度鍵をプロビジョニングすることが必要となります。これをどのように実装するかに対してはさまざまなパイロットが行われています。

HCEによりモバイル決済の普及が加速
HSMで「人」「プロセス」「技術」の包括的なセキュリティ強化

現在、モバイル決済の市場についてはAndroid、Blackberryの21％で準備が整っています。実際には世界中の携帯端末の17％にあたり、すでにHCEを使ったNFCをサポートしています。2～3年の間に市場の85％の端末はHCEをサポートするといわれていますが、これに「Apple Pay」を加えると市場の99％をサポートすることになりますので、モバイル決済が普及する時期が間もなくやってくると思います。

従来、セキュアレメントのモデルが使われているのに、なぜHCEが注目されるのかというと、セキュアエレメントモデルがパイロット以上に使われていない状況が挙げられます。HCEを使うことによりプロビジョニングが簡単になり、技術的なアドバンテージがあるはずです。つまり、OTA（Over the Air）の管理をセキュアに行いつつ、アプリケーションを利用することができます。HCEは非常に大きなビジネスの利点をもたらします。特に、セキュアな環境を迅速に、簡単に、複数のモバイルデバイスに対して提供できます。そして、その際に複数のキャリアやモバイルオペレーターとやり取りせずに行えるのは大きなメリットです。金融業界では、従来と違ったやり方の場合、懐疑的な意見もあるかもしれませんが、これまでのやり方が今後も利便性があって安全性があるとは保証できません。HCEのような新しい技術を使ってビジネスを行うことで付加価値を創出しなければ、どの企業も競争力を維持できないと考えます。

今後のモバイル決済・市場分析

最後に、タレスのHSMは、「人」「プロセス」「技術」の包括的なセキュリティ強化を実現します。また、HCEにおいても強力なマスター鍵保護、暗号データの確証、セキュア・チャネルの構築により、ビジネスを支援可能となっています。

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のタレス e-セキュリティ シニア プロダクトマネジャー ジロウ・シンドウ氏の講演をベースに加筆を加え、紹介しています。

⇒⇒前篇へ戻る

お問い合わせ先
タレスジャパン株式会社
e-セキュリティ事業部
〒107-0052 東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL 03-6234-8180
URL：https://jp.thales-esecurity.com/
Email ： jpnsales@thales-esecurity.com

2015年7月1日8:12

■日本ヒューレット・パッカード株式会社
世界の決済サービスを陰から支える「HP Atalla」
米国のカード決済処理の70％を保護するHSM

HPの「HP Atalla」は、さまざまな攻撃から重要な取引を守るセキュリティ製品として、ペイメントカード業界でも35年以上にわたり、強固なセキュリティ構築に役立てられてきました。米国のカード決済処理の7割を保護する「HP Atalla」は、カード情報を保護する砦として、数多くの企業に採用されてきました。

HPは総合セキュリティ製品を提供
業界をリードする「TippingPoint」「Fortify」「ArcSight」

「HP Atalla」は、世界中で利用されているプロダクトとなります。HPは、ハードウェアビジネスに加え、セキュリティビジネスも展開しています。今回は、HP Atallaの歴史、そしてセキュリティの脅威についてご紹介させていただき、最後にHPとしてのAtallaの展開についてご説明します。

まず、「HP Enterprise Security Products」では、ユーザー教育プログラム、侵入防止のソリューション、悪用される前に攻撃者を発見できるソリューションを提供しています。重要な資産を識別し、仮に持ち出されてもダメージを少なくできるソリューション群を有しています。

具体的には、ネットワークの防御を行う次世代IPSの「TippingPoint（ティッピングポイント）」、ウェブアプリケーションやソフトウェアの脆弱性から保護する「Fortify（フォーティファイ）」、ビジネスプロセスの中に潜むセキュリティリスクのリアルタイム監視・管理を実現可能な「ArcSight」、そしてカード会員情報を保護する「HP Atalla」といった製品群を有しています。

「TippingPoint」「Fortify」「ArcSight」はそれぞれ業界をリードするソリューションです。「TippingPoint」は、直近の例でいうと「Windows Server2003」の脆弱性でご評価いただいており、「Fortify」はウェブアプリケーションを突いた攻撃において、事前にソフトウェアの脆弱性がないかをチェック可能です。また、「ArcSight」はどのようなインシデントが起きているかをリアルタイムに可視化できます。

こういった製品に加え、「HP DVLabs」という研究機関があり、実際に世界№1の脆弱性監査能力を持っています。Microsoftによる脆弱性の報告件数は№1であり、50％以上の新しい脆弱性は弊社で見つけて報告させていただいています。また、2015年3月31日時点で、226のゼロディ脆弱性情報を保持しています。こういった情報を各製品にフィードバックすることで、世界のセキュリティに役立つ活動を行っています。

HP エンタープライズ セキュリティ概要

「FIPS 14002 Security Levels レベル3＋」に準拠
決済サービスを利用する企業で35年以上の実績

カード会員情報を保護する「HP Atalla」の歴史としては、最初は銀行のATMの通信の暗号化のために作られました。1973年にマーティン・アタラ（Martin M.Atalla）が銀行のPIN認証の暗号を作るために開発しています。アタラはPIN認証の父と呼ばれる人物で、現在も銀行のATM認証では「HP Atalla」が利用されています。海外はもちろん、国内でもATMの裏側は「HP Atalla」が数多く利用されています。

「HP Atalla」は、研究部隊も独自に構築しており、特許も数多く有しています。セキュリティ認証として、「FIPS 14002 Security Levels レベル3＋」に準拠ので、物理的にも高水準のセキュリティとなっており、35年以上の実績の中で、これまで一度も破られることなくご利用いただいています。かつ実績も豊富で、米国でカード処理の7割以上が「HP Atalla」を経由しています。

「HP Atalla」はHSM（ハードウェア・セキュリティ・モジュール）として提供しており、主な用途は銀行、決済に加え、NFCやポイントカード等でもご利用いただいています。さらに、ウェブアプリケーションの中で利用される機会も増えています。

「FIPS 14002 Security Levels レベル3＋」に対応していますので、鍵は別の鍵で二重化され、不正防止のため、鍵は過剰に揺らしたりこじ開けようとしたら、すべての情報を消去する機能も備えています。

HP Atalla

これまでHPでは、「HP Atalla」の単体の販売は行っておらず、弊社の24時間365日のノンストップの無停止サーバーをご利用いただく企業に対し、止まらないハードウェアとして提供しています。

決済サービスを狙う脅威として、2007年から2014年までの情報を見ると、数多くのサイバー攻撃が発生しています。昨今は、米国の大手流通企業、Target（ターゲット）の情報漏洩などが発生していますが、内訳をみると一件一件の規模が大きくなっています。以前は小規模サイトや物理的に紛失する事件が多く、多くても数百万件規模のものでしたが、億を超える規模の被害も出てきています。

各業種がどのような経路で情報を失ったかをみると、医療・健康の分野は物理メディアや機器の盗難・紛失が多く、教育もその対策が足りていない傾向があります。政府や金融の場合、いろいろな経路で漏洩していますが、マルウェア経由なども増えています。ビジネスや小売りに関しては、全体の件数は少ないですが、カード情報の漏洩に大きくかかわってきます。マルウェアやスキミング、ハッキングなどの対策は随時、行っていかなければいけません。

2014年の一年間の情報漏洩で散見されるのは個人情報関連ですが、より多く漏洩しているのは、決済のカード情報等、お金につながるものとなります。実際、さまざまな角度から対策を行う必要があります。各国による基準に加え、ペイメントカードの国際セキュリティ基準「PCI DSS」によるデータ保護は最たるものですが、実際は準拠しても情報漏洩が発生しています。

Targetの事件では、2013年9月に攻撃者が認証の情報などを奪い取って、早めのアプローチを行っています。2013年11月に外部から攻撃をスタートし、ウェブアプリケーションの脆弱性を突いて侵入する方法を見つけています。そこから内部のPOS端末にマルウェアを送り込んでインストールさせ、加えて外部に持ち出すソフトを注入し、データを奪い取っています。12月12日の時点で外部にデータを送り始めて、15日の時点で攻撃者側がアクセスできなくなっていますので、漏洩はストップしました。別の角度からみると、9月からアプローチをしていますが、11月30日時点で内部のセキュリティソフトが不審な情報を検知しており、その時点で対処していれば被害は抑えることができたかもしれません。改変されたマルウェアのため既存のセキュリティソフトでは検知できず、インストールされてしまいました。その2週間後には不審な行動をセキュリティソフトが検知していましたが、見逃してしまい、司法省がターゲットに通知するまで大量のデータが流出しました。結果的に、その3日後には対応をスタートしましたが、4,000万件以上のクレジットカード情報が漏洩しました。ペイメントカードは、1件1件の再発行となると1枚3～5ドルのコストが発生し、1億数千万ドルから2億ドルのコストが必要です。また、7,000万件以上の個人情報が漏洩していますので、不正に使われているかを調べるだけで追加のコストが発生します。しかも、11月から12月にかけてクリスマス商戦の真っ只中。米国の経済の多くはクリスマス時期に偏っていますが、消費者がカードを利用できないとダメージが大きいです。当然、株価は下落して対前年比の約5割の売り上げ減となり、CIOやCEOも辞職する流れで会社としても非常にダメージを受けています。そういった要素も試算すると10億ドル相当の被害がでているそうです。

⇒⇒後編へ続く

■お問い合わせ先
日本ヒューレット・パッカード株式会社
エンタープライズ・セキュリティ・プロダクツ統括本部
問い合わせ：0120-961-673
Email: HPEnterpriseSecurity-jpinfo@hp.com

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」の日本ヒューレット・パッカード株式会社 HPエンタープライズ・セキュリティ・プロダクツ統括本部 水野令一氏の講演をベースに加筆を加え、紹介しています。

2015年7月1日16:30

大日本印刷（DNP）は、スマートフォンやPC向けアプリケーションの改ざん防止用ソフトウエアの開発・提供を行うハイパーテックの全株式を取得して、完全子会社化したと発表した。また同日、ハイパーテックの社名をDNPハイパーテックに変更した。

DNPは、企業や生活者の重要な情報を守る情報セキュリティ関連の事業を幅広く展開している。なかでもICカード事業は35年におよぶ実績があり、クレジットカードやキャッシュカード、電子マネーや社員証などの国内ICカード市場でトップシェアを獲得しているほか、独自の技術やノウハウを活かした各種ソリューションを提供しているという。また近年、世界的にアプリの改ざんによるフィッシング詐欺や高額請求などの被害が増加していることを受け、アプリの改ざん防止用ソフトウエアも開発・販売している。

一方ハイパーテックは1994年に設立され、アプリの改ざんを防止するソフトウエア「CrackProof（クラックプルーフ）シリーズ」やアプリの安全性診断サービスなど、情報セキュリティ関連のソフトウエアやサービスを提供している。

今回DNPは、両社の技術・ノウハウの融合によるアプリ向け情報セキュリティビジネスの拡大を目指し、ハイパーテック社の全株式を取得して完全子会社化した。

今後DNPとDNPハイパーテックは、DNPがICカード事業で培ったセキュリティ技術をアプリ改ざん防止技術と組み合わせ、企業や生活者が安心してアプリを利用できるようにするための新たな情報セキュリティ製品の開発・販売を推進していくという。両社は、国内外の金融・電力・医療・ゲーム制作会社などに向けて販売し、2019年までに累計約45億円の売上を目指す。

企業名	所在地	HP	MAIL
大日本印刷株式会社	〒162-8001 東京都新宿区市谷加賀町一丁目1番1号 [TEL] 03 -3266 – 2111（ダイヤルイン案内台）
サービス概要
国内ICカードシェアNo.1を誇る企業として、ICカードの製造・発行にとどまらず、 ASPソリューションとしてICカードに関連する多様なサービスを実現する 「CDMS（Card Data Management Service）」を提供しています。 ICカード・おサイフケータイへの即時発行から、地域通貨やポイントデータ管理、導入コンサルまで、デジタルセキュリティに枠を拡げた総合的なソリューションを提供し、スマートライフの発展に貢献していきます。

2015年7月2日7:32

■日本ヒューレット・パッカード株式会社
世界の決済サービスを陰から支える「HP Atalla」
米国のカード決済処理の70％を保護するHSM

金融サービスを保護する4つの「HP Atalla」
決済用HSMとしてNSPを提供

このような事件が起こる中、「HP Atalla」として、どのようにカード情報を保護するかというと、大きく4つのソリューションがあります。1つめが「HP Atalla Network Security Processor（NSP）」と呼ばれる決済用HSMとなり、決済や銀行ATMの裏でPIN番号やオーソリの情報を暗号化して安全にやり取りする製品です。こちらは、一番歴史が古く、35年以上利用されています。

2つめが、「HP Enterprise Secure Key Manager（ESKM）」という鍵管理を行うソリューションです。現在、さまざまな場面で暗号鍵を使用し、毎回新しい鍵を作るのが当たり前になっているため、暗号鍵の作成・保管・保護を行う統合鍵管理ソリューションを用意しています。本製品を使うことで、今まで単純にアプリケーションや暗号の鍵管理を行っていただけではなく、例えば従来はパフォーマンスや鍵管理の複雑さでできなかった鍵のストレージの暗号化も可能になります。実際、HPのサーバーのストレージ、その他の企業のハードウェアの暗号にも標準で対応しています。つまり、ESKMを置いていただき、ハードウェアとやり取りすることで、既存のハードウェアが暗号化される形となっています。

金融サービス向けセキュリティ

3つめが、「HP Atalla Cloud Encryption」です。現在は、決済や金融のお客様がクラウド上でサービスを展開することは少ないかもしれませんが、今後はクラウド上で簡単にサービスを実装する形態が増えると思います。その際の課題として、ハードウェアごと盗まれたり、リモートで侵入され管理者がバックアップをとったデータを持っていかれたりする懸念が想定されます。そのため、クラウド上のデータをすべて暗号化して、かつ暗号鍵を二分割して、1つは外部の企業、1つは自社で持つことにより複合化できない形をとるものです。現在のところAmazonの「Amazon Web Service」やHPのクラウド製品・ サービスのポートフォリオ「HP Helion（エイチピー ヘリオン）」に対応しています。

最後に「HP Atalla Information Protection and Control（IPC）」は、情報を識別して特定の情報を暗号化するソリューションとなっています。世の中のDLPに近いものですが、その前にいろいろな情報を識別して暗号化可能です。

SCAによるセキュアリモート管理を実現
世界最大のプロセッサーのVisaで採用

ファイナンスの分野としては、これら4つのソリューションをすでにお使いいただいています。具体的な利用としては、決済系の処理を行うNSP、または決済の仕組みを踏まえたうえで鍵管理が可能なESKMで管理していただき、入ってくる情報や出ていく情報の識別にIPCをご利用いたいた上で、仮に外部に情報を出す場合はHP Atalla Cloud Encryption で守っていただく、という流れとなります。同一のネットワークのみではなく、さまざまなインターネットとつながる環境を構築する際、多様な環境の中でセキュリティを守っていただけます。

すでにNSPに関しては、いろいろな企業で利用されており、リモートでセキュアに管理できるのが特徴です。HSMの場合、特殊な端末を使って、番号を打ちながら管理する場面も多いですが、NSPについては管理者が点在している環境においてもリモートからセキュアに管理できる仕組み「CUI」を提供しています。リモートで鍵の再発行をすることができますし、簡単に改変できないように管理者の3人のうち2人の管理者が承認しなければ変更できないようになっています。

また、Atalla Secure Configuration Assistant（SCA）による、暗号化されたキーロードによるセキュアなリモート管理を行うことが可能です。

なお、世界中で決済取引を行うVisaが、米国の年間230億以上のデビット取引と、米国およびカナダのプリペイド処理をセキュアに行うため「HP Atalla」を利用しています。Visaからは、「HP Atalla」は、セキュリティソリューションと運用性、パフォーマンスと信頼性の面でご評価いただいています。

⇒⇒前篇へ戻る

■お問い合わせ先
日本ヒューレット・パッカード株式会社
エンタープライズ・セキュリティ・プロダクツ統括本部
問い合わせ：0120-961-673
Email: HPEnterpriseSecurity-jpinfo@hp.com

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」の日本ヒューレット・パッカード株式会社 HPエンタープライズ・セキュリティ・プロダクツ統括本部 水野令一氏の講演をベースに加筆を加え、紹介しています。

2015年7月3日7:38

■東武百貨店
10年間の運用から販売員やお客様がより使いやすい端末に刷新

東武百貨店では2004年にICクレジットカード対応を開始、携帯型のPOS端末も導入しました。また、2013年にはPOSのリプレイスを行い、販売員やお客様がより使いやすい端末やアプリケーションを実現しています。

2013年2月から端末を順次切り替え

東武百貨店は東武鉄道グループに属しており、東武百貨店の池袋店、船橋店、東京ソラマチ店、東武宇都宮百貨店の宇都宮店、大田原店、栃木市役所店と、2社6店舗を展開しております。製品やアプリケーションは、運用を通してお客様、販売員から、教えていただいたことをお返しすることを意識して第二世代の端末に切り替えました。他の百貨店の情報システム部門は、売り場から離れた場所に位置するケースも多いですが、東武百貨店の池袋店は、情報システム部と売り場からの距離が非常に近いです。たとえば、機械が故障したり、問題が発生した際は、情報システム部のスタッフが売り場に出向いて対応できます。この売り場との距離の近さは、利用現場を直接知ることができることであり情報システム部は、これをとても大切にしています。

第一世代（左）と第二世代の決済端末

ICクレジットカードの割合は、開始した10年前は2割でしたが、2015年は7割に近づくと思われます。またPIN入力の比率もここ数年6割弱で推移していましたが、今はこの6割を超えました。

5～6年運用しても問題ない端末に作りこむ
ICクレジットカード化は時代の趨勢

クレジットカード上のICチップとやりとりして、お客様に暗証番号を入力していただく端末は、携帯POSとして使用している無線タイプと、POSにつないで使う有線タイプがあります。無線タイプのアプリは東芝テック、ハードはキヤノン製となっており、有線タイプはハード・アプリともに東芝テック製となっています。いずれもEMVやPCI PTSといった規格や基準に基づいたセキュリティ対応を実現しています。今回の切り替えを行うにあたり、10年間ICクレジットカードに向き合ってきて、お客様や販売員のためには「こうあるべきだ、こうして欲しい」内容を少なからず製品に入れてほしいという思いがありました。

たとえばハード面では、暗証番号入力時のお手元隠しとなる「フタ」を取り付けました。そのフタは開けやすいようにスリットを入れ、開けた時の角度の調整も行いました。また保守性を考えて、フタが壊れても、本体が影響を受けないように着脱方式にして――といった要望を出しました。また、アプリケーション面では、お客様の面前で端末を操作することが多いので、アラーム音といえども優しい音色を選びました。販売員が分かり易く、操作しやすい表示にしていただき、各種の機器的制約をソフトでカバーできるようなアプリケーションを意識して、5～6年後でも満足してもらえることを目指しました。

2013年の切り替え前に、2004年当時と同様に、改めて全てのカード会社と「総合確認試験」を実施しました。約10年ぶりとなる新しい端末とのテスト依頼に、各社濃淡がありました。中にはICカードでの処理に対しシステム的な設備投資を継続して行っていて、今回の試験の時に、多くのテストパターンを持ち込んで、試験をしていただいたカード会社もありました。

2004年の導入当初は、“なぜ食料品売り場で暗証番号を入力しなければならないのか？”というご意見をいただいたこともありましたが、今後ともICクレジットカード化に向かうと考えており、この流れは間違いではなかったと思います。

東武百貨店の情報システム部としては、売り場の支援力やサポート力を向上しつつ、売り場やお客様からいただくICクレジットカードの運用状況を、メーカーやパートナーの皆様にお伝えし、よりよい形になっていくことを希望しています。また、世の中的にもICクレジットカード化を促進させる発表が出始めており、今後ともその流れが進んでいくと考えています。

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」の東武百貨店 情報システム部 部長 井上直樹氏の講演をベースに加筆を加え、紹介しています。

2015年7月6日8:03

■ビザ・ワールドワイド・ジャパン
決済のデジタル化と国際的な取り組み

決済ネットワークを提供する事業者であるビザ・ワールドワイド（Visa）では、非接触決済サービス「Visa payWave」をはじめとする次世代の決済ソリューションの提供、EMV化をはじめとしたセキュリティの強化に積極的に取り組んでいます。今回は、カード決済における昨今の不正動向と傾向に対する国際的な取り組み、および想定される将来像について解説します。

対面での不正利用防止にはEMV ICカードが有効
日本は加盟店で17％、ATMは0％の普及率

近年、スマートフォンやタブレットが急速に普及しており、決済マーケット自体も大きなパラダイムシフトが起きています。その中で、昨年10月に発表された「Apple Pay」ではトークナイゼーションの仕組みが採用されており、スペインで開催された「モバイル・ワールド・コングレス2015」では、Sumsungが「Sumsung Pay」を発表されました。また、NFCモバイルペイメントでは、セキュアエレメントやHCE（Host Card Emulation）など、モバイルを活用したさまざまな決済の手法が生まれているなかで、Visaがどのように取り組んでいるのかをご説明させていただきます。

Visaでは、ペイメントのエコシステムにかかわるステークホルダーの方に、グローバルアクセプタンス、信頼性、利便性、よりよい決済手段、セキュリティなどを約束させていただいています。利便性やよりよい決済手段に対し、セキュリティはトレードオフとなりますが、これをどう融合させるのかは永遠の課題となります。

日本のアクワイアリングにおける不正利用の傾向をみると、2012年第三四半期にキャッシングの磁気カードによる偽造被害が多く発生しました。これは海外の犯罪シンジケートが日本に上陸し、日本のATMでキャッシングによる大規模な犯罪を行ったことによるものです。第四四半期以降は減少しましたが、カードのEMV化により、不正を低減させることができました。また、業界や行政が偽造カードによる犯罪の刑事罰を重くしたことも挙げられます。ただ、偽造団は日本が難しくなると韓国をターゲットとし、甚大な被害が発生しました。

カードには、磁気、EMVに準拠したICカードと、大きく2つのインターフェースがありますが、EMVカードは偽造が事実上できません。磁気に含まれている情報として、CVV（Card Verification Value）は性的なデータとなり、固定値となります。これに対してEMV対応のICチップでは、動的なデータを使って乱数を発生させるため、偽造被害は大幅に減少させることが可能です。たとえば、ATMの場合、EMV対応によりキャッシングの不正被害が減少するため、有効な手段となります。

現在、全世界ではEMV化が進んでいます。日本でも2003年から2004年を境に普及が進んでいますが、歩みとしては遅く、加盟店で17％、ATMは0％の対応となっています。

米国でもEMV化が進むと、次の標的は？
日本では大型加盟店のPOSのEMV対応が課題

加盟店端末が対応し、カードがEMV対応している取引の比率をみると、欧州は90％となっており、カナダやラテンアメリカ、中東なども普及率は高いです。アジア太平洋地域では、端末は76％、チップ同士の取引は75％、ATMは17％となっています。ここで日本は極端に遅れているのが実情ですが、米国も同様です。

米国は世界で最も偽造被害が起きている国ですが、2014年10月17日にオバマ大統領がエグゼクティブオーダーという大統領令を発動しました。今後、政府機関が調達系で使うカードはすべてICカード対応が必須となります。米国では、Targetの事件など、大規模な情報漏洩事件があり、2014年で1億人以上が被害にあったとされています。大統領令が発動されたように、国をあげて動かざるを得ない状況となりましたが、発行側と受入側もIC対応する流れが加速しています。また、すべてのステークホルダーが参加しているタスクフォース（ペイメント・セキュリティ・タスクフォース）も設立されました。

米国でのクレジットカード不正使用動向
出典：Aite Report – EMV: Lessons Learned and the U.S. Outlook (June 2014)

今後米国では、2015年第四四半期までにクレジットカードは70％、端末は47％、デビットカードは41％、カード側も受け入れ側も「Chip on Chip」の比率が29％まで跳ね上がるという予測が出ています。

日本に当てはめて考えると、発行側については遜色ない普及を成し遂げており、カードは65％がEMV対応しています。しかし、加盟店やATMの対応は遅れています。具体的には、中規模以下の加盟店が利用されるCCT（Credit Center Terminal）端末については対応が進んでいますが、大型加盟店でのPOS端末のEMV化は進んでいません。

米国でのPOS端末の年末における普及状況は47％ですが、内訳としては大型のPOS加盟店が年末までに対応します。逆にCAT（Credit Authorization Terminal）端末については時間がかかるとされており、日本とは逆の状況です。トータルに考えた場合、トランザクションは大型加盟店の方が多いため、日本で対応が遅れれば遅れるほどリスクは高まる可能性があります。

Visaでは、EMVのライアビリティシフトを2015年10月１日から実施します。イシュア発行のカードがEMVに対応せず、店舗の端末がEMV対応していない場合、未対応のイシュアに責任が求められます。例えば、イシュアがEMV対応のカードを発行し、アクワイアラが対応していない場合は、ライアビリティが移り、アクワイアラの責任となるため、イシュアはチャージバックをする権利を有することになります。加盟店としても、偽造被害の温床であった米国でEMV化が進むと、そのドアが閉められるにしたがって、シンジケートが移り、日本に被害がシフトする可能性もあります。米国では、2012年のチップ化比率が0.4％でしたが、2013年で4%、2014年には25％まで高まり、2015年には70％となる予測です。その後も2016年に91％、2017年に98％と、IC化が急速に進むと予測されるため、次の標的に日本がならないようにするためにも何らかの対策が必要となります。

米国のICチップ化動向
出典：Aite Report – EMV: Lessons Learned and the U.S. Outlook (June 2014)

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のビザ・ワールドワイド・ジャパン 新技術推進部 シニアディレクター 鈴木章五氏の講演をベースに加筆を加え、紹介しています。

2015年7月7日8:00

■ビザ・ワールドワイド・ジャパン
決済のデジタル化と国際的な取り組み

EMV準拠のペイメントトークンを提供
決済のデジタル化ではトークナイゼーションが有効に

次に決済のデジタル化については、クロスチャネル、オムニチャネルの進行により、対面決済に加え、非対面での充実も図られています。国内でクレジットカードが使われる割合を見ても、対面環境よりも非対面の比率の方がはるかに高いです。経済産業省からは、東京五輪に向けてキャッシュレスの環境を整えるというメッセージが出ています。

近年は、スマートフォンやタブレットを使っている消費者が莫大に増えており、決済業界への新興プレイヤーの進出も目立ちます。これからもさまざまな企業が決済に関わる事業を展開されると思いますが、デジタルを用いた決済の重要性がさらに高まります。カードデータを電子化して、スマートフォンやウェアラブルを使ったサービスをオムニチャネルで提供する。対面決済と非対面決済の垣根がなくなりつつあり、今後は消費者が必要な時に必要なサービスを提供するインフラが求められるでしょう。

たとえば、Peer to Peerの送金としては、「Visa Direct」を海外で提供しています。特定のドメインに参加されている方への決済サービスではなく、Visaでは地球の裏側であろうと、どこでも提供可能です。また、銀行の場合、送金手数料が必要ですが、個人の方が気軽に送金できるサービスを提供しています。

決済のデジタル化におけるセキュリティとしては、トークン化が挙げられます。たとえば、ゲームセンターの場合、現金を当該店舗のみで使えるメダルに変えて遊ぶケースが多いですが、メダルをトークンと考えていただくとわかりやすいと思います。バーチャル環境では決済データを安全に運用する手段が別途必要となりますが、カード番号を別の乱数に置き換えます。Visa、MasterCard、American Expressの3ブランドでは共同で決済環境でのトークン技術のグローバル・スタンダードを策定しており、EMVをつかさどっているEMV Coでは、トークンに関する詳細や仕様を一般公開しています。すでに「Apple Pay」では、トークン化された仕組みを利用しています。

デジタル環境におけるペイメント・トークンの発行

トークンの番号が仮に漏洩しても不正利用を回避
2020年に向け対面、非対面で一気通貫の決済を提供へ

Visaが提供する「Visaトークン・サービス」では、イシュアのカード番号（PAN）をトークンに変更する際、Visaでは4から始まる16ケタの番号の2桁目から16桁目が元々のカード番号から異なる乱数に置き換えます。

「Apple Pay」を例にとると、8～9億件のカード番号を所有していますが、カード番号をトークン化したものが仮に漏洩しても悪用されなければ、安全な運用が可能です。イシュアは、トークン・サービスを利用して、自身のカード番号をトークンに変更し、トークンの情報だけを補完します。また、加盟店ではトークン情報を持っていますが、番号に紐づくトークンは「1対N」の関係となり、加盟店ごとに数値は異なります。そのため、仮に情報流出してもほかの加盟店での利用は不可能で、また、EMVに準拠しているため、オンラインで盗んだデータを磁気ストライプに焼き込んで使うこともできません。すべてのトークンがドメインごとに発行されるため、情報流出の被害は最小限に抑えられるわけです。

エコシステム参加への利点

すでに「Apple Pay」においては、トークンの契約が完了しているイシュアは約700あります。今後は、日本でもトークン・サービスを提供するケースが出てくると思います。

Visaでは、対面、非対面の垣根を分け隔てなく考えており、一気通貫の決済を提供することにより、どこでもストレスなく取引が行える環境を提供していく方針です。日本でも2020年の東京五輪に向けて、デジタル化の動きはスピードアップしていくと期待しています。

⇒⇒前篇へ戻る

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のビザ・ワールドワイド・ジャパン 新技術推進部 シニアディレクター 鈴木章五氏の講演をベースに加筆を加え、紹介しています。

2015年7月8日9:21

ソフトエイジェンシーは、MariaDB Corporation Abとパートナー契約を締結し、MariaDBをパッケージソフトウエアへの組込みを希望する企業へのOEMビジネスの支援プログラムである「MariaDB Enterprise Embedded Program」とエンタープライズ向けのサポートサービスの「MariaDB Enterprise」の販売を2015年7月13日より開始すると発表した。

MariaDBはMySQLと互換性のあるオープンソースデータベースとして利用されている。最近では、独自の機能やクラスタの機能が充実し、エンタープライズ分野での活用も多くなっているそうだ。

ソフトエイジェンシーは2011年までMySQLのOEMライセンス販売で実績を残してきた。その後、オラクル社にOEMビジネスは引き継がれたが、今回、MariaDBの本格的なOEMビジネスへの参入は、商用ソフトウエアパッケージへ組込み可能なデータベースの選択肢が広がると期待している。

MariaDBが提供するクラスタはMaxScaleという接続用コネクタを使用することで完全に無停止のデータベース運用が可能になるという。その導入の容易さから今後、多くのシステムでの採用が見込まれているそうだ。

ソフトエイジェンシーでは長年、MySQLのクラスタシステム構築、サポートなどの販売を行ってきたが、同経験をMariaDBに活用していきたいとしている。

2015年7月10日12:36

ウェブマネーは、ネットワーク型電子マネー「WebMoney」を正しく利用してもらうための安全利用促進ページをオープンした。

昨今、コミュニケーションアプリ上で電子マネーを要求したり、サイト利用料と称して電子マネーを要求する架空請求など、詐欺行為が報告されている。こういった詐欺被害を防止・啓発を目的とし、このほど安全利用促進ページを制作したという。

ウェブマネーでは、インターネットの発展を阻害しかねないこれらの詐欺行為に対し、今後も積極的に啓発活動を行っていきたいとしている。

安全利用促進ページ（出典：ウェブマネー）