2015年7月13日9:24

世界33都市でデータセンターを展開するEQUINIXの強みとは？

EQUINIXは、世界的にデータセンターを展開する企業だ。データセンターやコロケーションサービスからネットワーク接続性や相互接続されたクラウドまで、さまざまな業種にわたる企業に、幅広いサービスを提供しているそうだ。日本でもビジネスを展開する同社の強みついて、Equinix Senior Director Business Development AP David Wilkinson氏、Senior Manager,Enterprise Markets AP　Gareth Bridges氏に話を聞いた。

日本では東京と大阪にデータセンターを有する
さまざまな業種・業界に幅広いサービスを提供

――まずは、貴社のビジネスについてご説明下さい。
Gareth Bridges：私たちは世界的なデータセンタープロバイダーで、33都市で展開しており、105以上のデータセンターを保有しております。今年１月にメルボルンで新しくサービスを開始しました。日本でも東京と大阪にデータセンターを有しています。

さまざまな業種・業態の企業がお客様となり、まずはプラットフォーマーにサービスを提供しています。また、金融機関、クレジットカード会社、FX、ITのセキュリティ会社など、多くのお客様を抱えています。こういったお客様のすべてが、インターネットを介さずに内部で安全、迅速な情報交換が可能です。弊社のサービスを通して、多くのお客様が情報を共有できるのは強みです。決済サービスを提供するお客様も多いですが、そういった企業では、安全かつセキュアな運用を行いたいといった要望があります。

左からEquinix Senior Director Business Development AP David Wilkinson氏、Senior Manager,Enterprise Markets AP　Gareth Bridges氏

中立的な立場でサービスを提供
日本ではFXプライム、マネースクウェア・ ジャパン等が採用

――日本では具体的などのようなお客様とパートナーシップを組まれていますでしょうか？
David Wilkinson：弊社のユニークな点は、中立的な立場でサービスを提供している点です。ネットワークやクラウドは自社で展開してはいませんが、パートナーに対してサービスを提供しています。弊社では、コミュニケーションシステムやエコシステムをお客様が相互に、意思疎通を図るときに提供できます。たとえば、金融市場の場合、為替取引、マーケットデータなどについて、売り買いやセールスの方がお互いに交流することができ、コミュニケーションが図れるため、費用対効果が高いです。ほかの分野でも同じサービスを提供しており、小売業や電子決済などでも1つのコミュニティを使って相互にやり取りが可能です。

――こういったモデルを提供している企業はほかにあるのでしょうか？また、セキュリティ面ではPCI DSSにも対応しているそうですね。
David Wilkinson：世界的にこのモデルを提供しているのは独特であると自負しています。このモデルを5大陸33都市の世界規模で展開しているのは大きな強みです。一番大切なポイントは、中立的にサービスを提供していますので、お客様でネットワークやクラウドサービスやベンダーを選ぶことができます。また、弊社の多くのデータセンターでは、お客様のPCI DSS準拠を支援可能です。私たちのお客様は、安全な環境でデータセンターに直接アクセスできます。

――日本での採用実績についてお聞かせください。また、今後の目標についてはいかがでしょうか？
David Wilkinson：日本での実績としては、国内リテールFX大手のFXプライム、マネースクウェア・ ジャパンなどがあり、多くの企業にご利用いただいています。今後もエコシステムをさらに成長させて、さらにお客様に便利にご利用していただきたいと考えています。

※取材は2015年5月20、21日開催の「Cards & Payments Australia 2015」のEQUINIXのブースにて

2015年7月14日7:30

■日本NCR
世界標準の中でのNCRのPayment Solution
セキュアなPOS決済ソリューション、不正検知システムを提供

PCI DSSなど、セキュリティ基準が世界標準となる中で、まだ各国・地域によってその対応方法はさまざまです。そういった中、NCRでは、各国事情に配慮したペイメントソリューションを提供しています。

オムニチャネルに注目が集まるなか、セキュリティも重要に
POSベンダーとして導入企業が簡単に導入できる仕組みを用意

日本NCRはコンピュータとPOSシステム、金融ATMを中心に展開しており、1920年に国内で初めて外資系企業として事業を開始して、東京五輪の年に創立100周年を迎える予定です。事業範囲はPOSシステム、ATM、レシートなどのサプライを提供しています。また、消費者目線で日々の暮らしをどのように快適にしていくかを標榜しています。

従来、店舗システムの改革は、店舗の効率改善、マーチャンダイジングなどがありますが、Amazonで商品を購入した際にレコメンドされるように、消費者の行動が変化しており、最近は流通業のコンピュータ化はマーケティングに移っています。コンピュータの技術革新はもう一歩先へ進んでおり、昔は大容量のコンピュータを短期間で処理することが求められましたが、最近は大容量のコンピュータから個人個人に落としていく「ワン・トゥ・ワン・マーケティング」が重要となっています。

近年はオムニチャネルに注目が集まっていますが、スマートフォンやインターネットから何を買うかを探して、オンラインショッピングを行う人もいれば、店舗に訪れる場合もあります。店舗では、会員にクーポンを渡して、クロスセル、アップセルを行い、消費者の商品の購買につなげています。このように、消費者の買い物を動機づけさせる方法が変わってきました。また、これまでのタッチポイントは店舗内が中心でしたが、インターネットを含めて広がっており、多様化しています。さらに、安全に買い物できる環境がマストで求められます。海外からのお客様は、クレジットカードで購入するのは当たり前のため、そこに対して安心した決済環境を提供しないと、対象から排斥されてしまいます。

POSビジネスの状況としては、米国の大手流通業のTargetなどで情報流出事件が起き、流通業でどう対処していくのが課題となっています。情報漏洩対策は、社会的な責任から重要となっており、一度事件を起こしてしまうと風評は消えません。さらに、消費者のタッチポイントが増え、「Apple Pay」や電子マネー等が増えており、どう対応していくのかという社会の変化も挙げられます。PCI DSSもVersion3.0がリリースされ、セキュリティの要求はさらに高まっています。

2014年の米国・Retail Technology Studyの調査結果では、ネットワーク、ITセキュリティ及び決済のセキュリティが今後1年半の重要な取り組み事項として上位にランクされています。セキュリティが売り上げにつながるわけではありませんが、セキュリティ要件を満たさなければビジネスが立ち行かなくなることが認知されてきました。そういった中でPOSベンダーとしてどう取り組んでいくかというと、セキュリティを担保し、企業が簡単に導入できる仕組みを用意しなければなりません。POSは１つのPC端末と考えたときに、OSも専用で、動くアプリケーションも特定されます。アンチウィルス対策も行われていますが、NCRが推奨しているのは、動作できるアプリケーションだけを登録するホワイトリストとなります。

さらに、決済アプリケーションとして取引全体を暗号化しています。米国では取り組みを始めていますが、OSやアプリケーションにデータを渡すことなく、チップの中に暗号の仕組みがあり、PINを入れた瞬間、認証の結果をアプリケーションに返します。また、ハードウェアでのセキュリティの担保も進めており、データセンターでもセキュリティを担保しています。

決済アプリケーションによるセキュリティ担保

米国のペイメントセキュリティは日本と近い？
欧州は国に応じて若干ペイメントのターミナルが異なる

日本の特長として、POSそのものを直接インターネットにつないでいる例は少なく、ペイメントアプリケーションとしては米国と似ています。

米国では「Connected Payments（コネクティッドペイメント）」として、POSのパッケージソリューションを展開していますが、ハードウェアの「DUKPT（Derive Unique Key Per Transaction）」、トランザクションの中で暗号化するP2PE（Point-to-Point Encryption）への対応、センターでPCI DSSに準拠する、といった対応を行っています。店舗の仕組みでは、POSから店舗サーバ、センターサーバへのデータ処理の際、トランザクションデータは暗号化して漏れない仕組みとなっています。また、店舗が無線LANやインターネットでつながっていれば、盗聴される危険性がありますが、仮にそうなったとしても暗号化されているので、漏洩を回避できます。クレジットカードでも、トークン方式への対応などを行っており、安全に接続可能です。このような仕組み全体は、利用している技術は違えど、日本とほぼ同様です。NCRとしては、日本から米国や東南アジアへ進出する企業に対し、ペイメントソリューションの構築のお手伝いもさせていただいています。

Connected Payments 概要

一方、欧州では、国と国が隣接していますが、言語や通貨も大切となります。通貨はユーロで統一されていますが、国に応じて若干ペイメントのターミナルが異なります。日本や米国での展開と違い、それらすべてに対応できなければ欧州での展開は難しくなります。また、欧州ではマルチデバイスで、ユーロ圏で使えるように対応しており、EMV取引が基本となっています。

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」の日本NCR 流通ビジネス事業部 リテールマーケティング 部長 池田裕之氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ
日本NCR株式会社
〒104-0033
東京都 中央区新川1-21-2 茅場町タワー
TEL：03-6759-6000
URL：http://www.ncr.co.jp/

2015年7月15日7:00

■日本NCR
世界標準の中でのNCRのPayment Solution
セキュアなPOS決済ソリューション、不正検知システムを提供

「RES ePayment」は日本で初めてPA-DSS v3.0の認定
POSアプリケーションとは独立したパッケージソフトウェア

NCRの「RES ePayment」は2014年末に日本で初めて「PA-DSS Version 3.0」の認定を取得しました。これは、端末で処理された電子マネーやICクレジットカードなどのデータを周辺機器から直接ペイメントアプリケーションが受け、セキュアな処理を行い、その結果を直接アプリケーションに返します。POSアプリケーションとは独立したパッケージソフトウェアとなり、消費者のクレジットカード情報をPOS上に残さず、通信データの暗号化等、多くのセキュリティ要件を満たしています。 NCRでは、2008年にVersion 1.0、2011年に2.0、2014年に3.0を日本ではじめて準拠しています。PA-DSSについては、最初は認知が低かったですが、徐々に理解されるようになってきました。今年1月に米国・ニューヨークで「NRF Big Show2015」が行われましたが、オムニチャネル、ビッグデータと並んでセキュリティが大きなキーワードとなりました。また、日本で行われた「リテールテックジャパン2015」でもセキュリティはトレンドとなっています。

RES ePayment

さらに、「RES ePayment」は、クレジットカード、デビットカード、接触ICカードに加え、主要な電子マネーにも対応しています。

不正検知／防止プラットフォーム「Alaric-NCR FRACTALS」を国内で提供
ルールエンジンと適応型分類エンジンで不正を防止

不正検知・防止ソリューションとしても、最先端のテクノロジーを提供しています。まず、カード会社やオンラインバンキング対応の不正検知／防止プラットフォーム「Alaric-NCR FRACTALS（フラクタルズ）」は、ルールエンジンと適応型分類エンジン（ACE）を利用して、カードの支払いやATMで処理された際に、不正な取引を検知するソリューションとなります。たとえば、ルールエンジンでは、短時間で同じような取引が4回、5回行われるのは不正の可能性が高いですが、そういった取引の際、アラートをあげて不正を防止します。また、適応型分類エンジンは傾向値となり、どういったシーンや頻度で決済が行われたのかを統計データと集計し、スコアリングを行います。たとえば、カード決済の金額がこれまで10万円以下で行われていたのに、いきなり100万円単位の取引が発生したなど、過去のデータとかけ離れた取引や、カードホルダーの消費性向から外れている取引を分析し、不正を防止しています。

不正検知／防止プラットフォーム Alaric-NCR FRACTALS

そのほか、ジェムアルトのオンライン決済ID認証ソリューション EZIOとも協業を行っています。EZIOサーバは、リモート・アクセス/インターネット取引を高度なID認証技術により安全性を確保し、オンライン攻撃から機密データを保護しています。また、特定のトークン・ベンダーに依存せず、マルチ・チャネル、マルチ・トークン、あらゆる認証技術をサポート可能です。NCRでは、Ezioに対応したソリューションの一環として、FRACTALSを提供することで、正規と確認されたトランザクションのみが処理される仕組みを提供しています。

このように、支払いが多様化する中で、流通業者はかつてないほどに情報セキュリティの重要性の認識、その対策に追われています。また、カード会社をはじめとした金融機関の対応も求められます。NCRの提供するサービスにより、セキュリティの向上につながれば幸いです。

⇒⇒前篇へ戻る

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」の日本NCR 流通ビジネス事業部 リテールマーケティング 部長 池田裕之氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ
日本NCR株式会社
〒104-0033
東京都 中央区新川1-21-2 茅場町タワー
TEL：03-6759-6000
URL：http://www.ncr.co.jp/

2015年7月15日11:57

ベライゾンジャパン合同会社は、2015年6月10日に発表した「2015年度データ漏洩／侵害調査報告書（略称：DBIR）」の日本語版エグゼクティブサマリー（要約版）に続き、日本語完全版の公開を7月15日より開始した。

2015年度データ漏洩／侵害調査報告書の日本語完全版のイメージ（出典：ベライゾンジャパン）

回で8年目の発行となる「2015年度データ漏洩／侵害調査報告書」は、ベライゾンを含む世界中の70の組織から提供された約8万件のセキュリティインシデントおよびデータ侵害が確認された2,100件以上の情報を分析して作成されたグローバルな調査報告書となる。ベライゾンでは10年以上にわたって発生した8,000件以上の侵害と約19万5,000件のセキュリティインシデントを収集・記録してきた。

本年度版では、新しいセキュリティ侵害の推定コストの評価モデルが提示された。これは、実際のサイバー損害賠償補償保険金の実際の請求金額情報を分析し、漏洩したデータのタイプと総数によって影響度を評価し、窃取されたデータ（クレジットカード番号、医療記録など）の被害額の範囲を示したものとなる。

同報告書の日本語完全版の他、製造業界と金融業界向けの業種別脅威分析レポートも公開している。

2015年4月23日15:17

新機能「Decision Manager Replay」リリース
過去の取引履歴を用いて、素早い不正対策が可能に

■Decision Managerに新機能追加

世界最大の不正取引検知エンジンを搭載した「Decision Manager」に、「Replay（リプレイ）機能」が追加されました。Replay機能によって、過去の取引履歴を用いた新たな不正検知ルールの検証を即時に行うことが可能になります。

次々と変わる不正手口に対して迅速な傾向分析・ルールチューニングを可能にし、加盟店様の不正取引対策をより強力なものにします。

■ソリューション紹介ページ
http://www.cybersource.com/ja-JP/products/fraud_management/decision_manager/

■お問合せ先
サイバーソース株式会社　Sales & Business Planning
03-3548-9873　/　sales@cybersource.co.jp

―――――――――――――――――――――――――――――――――――――

eコマースがスタートした 1994 年に創立された CyberSource は、中～大規模な加盟店様向けのオンライン決済および不正抑止サービスのパイオニアです。

2007 年、米国の中小企業向け決済の大手プロバイダであった Authorize.Net を買収し、少人数で運営されている個人事業から世界有数の規模を誇るグローバル会社まで事業範囲を広げ、マーケットから広く支持されています。その後、2010 年に買収され、CyberSourceはVisaグループの一員となりました。

拡大し続けるeコマースビジネスの決済インフラを支え、効率的な決済業務運用、セキュアなオンライン取引の実現に貢献いたします。

●海外展開・グローバルな決済管理

ECビジネスは国境を越えて広がっていきます。決済プラットフォームをグローバルで一元管理することで、業務の最適化、キャッシュ・フローの可視化が容易になります。

●不正取引抑止ソリューション「CyberSource Decision Manager」

年間600億件の全世界を流れるVisaトランザクションとサイバーソースご契約加盟店トランザクションを参照して不正な取引を検出、出荷前に損失を未然に防ぎます。ビッグデータを活用した高精度の不正検知ソリューションで、ECビジネス拡大に貢献いたします。

サイバーソース株式会社　https://www.cybersource.com/ja-JP/
We provide bilingual support both in English and Japanese.

2015年7月16日9:23

日本での接触・非接触EMVの本格導入に向けた説明会を開催

ビザ・ワールドワイドジャパン（Visa）は、2015年7月15日、接触・非接触を含むEMV化にむけた世界トレンド、各種要件、日本市場への本格導入に向けた注意点を業界全体として共有する目的で、決済端末ベンダーや印刷会社などに向け、説明会を開催した。

2015年10月から「EMVライアビリティシフト」が適用
世界各国でPOSやATMのEMV対応が進む

Visaは、偽造によるカードの不正利用の削減を目指し、ICカード取引の国際標準規格（EMV）仕様への投資を奨励し、さまざまなセキュリティ施策を牽引してきた。取引の偽造詐欺に関して、アクワイアラやカード発行会社（イシュア）のうち、EMV対応を行っていない会社に対して、ライアビリティー（債務責任）を課す「EMVライアビリティシフト」については、地域ごとの商習慣を反映し、昨年より順次導入が進められている。2015年10月には、IC化が遅れていると言われている米国のPOS取引、日本の国内 POS 取引が新たに対象となり、これをもって全世界のPOS取引でのEMVライアビリティシフトがほぼ完了する節目となる。

冒頭にあいさつしたビザ・ワールドワイド・ジャパン 新技術推進部 シニアディレクター 鈴木章五氏は、国内では、Visaがスポンサーを務める2020年東京オリンピック・パラリンピック開催が節目となり、本格的な決済インフラのIC化が進むと説明。たとえば、経済産業省は、2020年のキャッシュレス化に向けた方策を発表。また、日本クレジット協会が中心となり、クレジットカード会社、決済代行会社、加盟店、国際ブランド、端末会社、情報処理センター、関連団体、経済産業省など、さまざまなプレイヤーが協力して取り組むワーキンググループ「クレジット取引セキュリティ対策協議会」が設立された。

決済業界EMVについて歴史は長く、10年以上前からカードの発行が行われている。世界でEMV化が進む中で、接触・非接触を含む EMV 化にむけた世界トレンド、日本市場の商習慣に即したインプリメンテーションの方法紹介、EMVCo.およびVisaの接触・非接触技術仕様や認定プロセスなどを説明する場を設けたそうだ。

ビザ・ワールドワイド・ジャパン 新技術推進部 シニアディレクター 鈴木章五氏

説明会ではまず、EMV化の世界的トレンドについて、ビザ・ワールドワイド・ ジャパン 新技術推進部ディレクター・福谷大輔氏が紹介。EMVは、取引ごとに異なる動的な暗号文を生成するため、偽造カードによる不正な取引を検知できるメリットがある。また、暗号文は毎回違う値が入り、次回に取引するときは暗号文が変わるため、仮に情報を盗み出しても偽造取引ができないそうだ。

世界のIC化の動向として、POSやATMは、カナダ、欧州でほぼ完了、アジア・オセアニアも主要国ではほぼ完了しており、遅れているのは米国、韓国、そして日本となっている。日本の2014年11月から2015年1月の取引数をみると、POSが17％、ATMが0％となっており、主要国に比べ遅れている。

米国や韓国でも進むEMV
日本では偽造カードによる被害額が増加

米国では、2013年末に発生したカード情報漏洩事件を機に、偽造およびカードを提示しない非対面での「CNP（Card Not Present）」に対する対策が急務となり、EMV化の動きが加速している。2014年10月にはオバマ大統領がカードセキュリティに関する「大統領令」に署名。これは、政府として積極的にチップ＆PINを推進し、政府調達カードや政府関係施設（国立公園）で、ICカードによる決済とPINの入力を求めていくという。また、ホーム・デポ、ターゲット、ウォルグリーン、ウォルマートなどでもEMVへの対応がスタートしている。米国でのIC化推進状況をみると、2015年末には70％のクレジットカードがチップ化を完了し、約半数の決済端末がEMV対応となる予測だ。また、決済端末のEMV化も進むと予測されている。

ビザ・ワールドワイド・ ジャパン 新技術推進部ディレクター・福谷大輔氏

韓国では、2013年3月に政府がチップ付きカード発行の義務化を施行し、2014年2月に完了。ATMについても2015年3月に国内取引のチップ対応義務化が施行された。また、韓国信用融資協会（Crefia）より、「Credit Card POS terminal Information technology protection guideline」が4月29日に発表され、同7月から有効、2018年7月にすべての加盟店でのIC決済が必須となる予定だ。

EMV化が遅れている米国や韓国で対応が進むと予測されるため、不正利用の波が日本にやってくる懸念もある。現状、日本では、業界挙げての努力もあり、偽造被害額は全世界の1％弱となっているが、偽造カードによる被害額は近年増加しているため、EMV化は必要であるとしている。

また、福谷氏は、NFC対応へのグローバルトレンドについても説明。世界でのNFC対応端末の設置台数は2014年からの5年間で年率28.4％の成長が予測されており、2014年には約950万台のNFC対応端末が出荷された。NFC対応端末はまだ少ないと言われているが、世界の主要な端末メーカーは磁気、接触、非接触の3つの仕様を入れ込んだ端末を出荷するのが一般的となってきており、今後NFCは中心的な決済手段となるため、その数がさらに伸びると見込まれる。利用者の決済も接触・非接触にかかわらずEMVで定めたプロセスで行われるメリットもある。

また、Apple Payなどの開始により、モバイル決済に注目が集まっている。Visaが推進するEMVコンタクトレスの非接触決済「Visa payWave」は、2014年9月現在、53の国と地域で利用可能となっている。

続いて、野村総合研究所 金融ソリューション事業二部 上級コンサルタント 宮居雅宣氏が「日本市場の商習慣に即したインプリメンテーションの方法紹介」について説明した。同氏は、①キャッシュレス化の方向性と加盟店影響、②国際ブランド決済サービスの構造と国内外における利用方法の違い、③国内の端末オペレーションが目指すべき方向性――について解説した。

野村総合研究所 金融ソリューション事業二部 上級コンサルタント 宮居雅宣氏

最後に登壇したビザ・ワールドワイドジャパン 新技術推進部 テクニカルデベロップメント ディレクター 今田和成氏は、接触・非接触IC取引に関する仕様の紹介、各種認定、運用方法の注意点について説明した。同氏は、セキュリティの観点から、EMVを推進する理由について解説。また、国内の取引時におけるカード・端末仕様と注意点について、取引拒否の事例などを紹介。さらに、接触・非接触の最新のカード・端末仕様と注意点、EMVとブランド認定などについても紹介した。

ビザ・ワールドワイドジャパン 新技術推進部 テクニカルデベロップメント ディレクター 今田和成氏

同説明会には、据え置き型端末やmPOSといった決済端末ベンダー、印刷会社、SIerなどが参加。登壇者の話に熱心に耳を傾けていた。

2015年7月16日12:03

EMCジャパンは、2015年7月16日、GRC（ガバナンス、リスク管理、コンプライアンス）プラットフォーム　ソフトウェア「RSA Archer GRC」について、日本語をはじめとする9種類の言語に対応してグローバル対応が大幅に向上した「RSA Archer GRC 5.5 SP2（以下、RSA Archer GRC）」の提供を開始した。

企業がガバナンス（企業統治）や、リスク管理、コンプライアンス（法令順守）に適切に対処するためには、特定の拠点や一部の部門だけではなく、全社的あるいはグループ全体の事業リスクを調査して評価することが必要となる。このような調査では、事業継続性、取引先、国内外の法制度、外部脅威など、多様な業務とそのプロセスから事業リスクを評価するために、評価項目を具体的な質問にして社員や協力会社に回答を求めることが重要だ。

ところが昨今は、海外への進出やM&Aによる統合、外部委託等により海外の管理対象拠点が増えると共に、国内拠点でも外国人就業者が増えており、さまざまな母国語や文化背景、リテラシーを持つ社員が就業している。そのため、調査を日本語あるいは英語だけのように単一言語で行うと、回答者の質問言語に対する理解度や言葉の定義の違いにより、質問の解釈が同一では無くなる課題がある。その結果、回答データの信頼性、整合性、評価の有効性が低下。このような回答の質のばらつきは、回答者が得意とする言語を用いて回答させることで解消でき、高い精度と対応の即時性を期待できるようになるそうだ。

「RSA Archer GRC」は今回、グローバル対応として、日本語、英語、フランス語、スペイン語、ドイツ語、イタリア語、ポルトガル語、ロシア語、簡体中国語の9種類の言語に表示画面を切り替えられる機能を追加した。ユーザーは自分の得意とする言語を選択して使うことができる。組織は、各国語の言語パックを言語数に関係なく無償でダウンロードして使用できる。これにより、海外拠点を持つ企業や、外国人が就業する企業のガバナンス、リスク管理、コンプライアンスの実施において、言語に起因する回答の信頼性、整合性、評価の有効性の諸問題を解決可能だ。

例えば、日本法人では、大多数の社員である日本人は日本語で、フランス法人からの赴任社員はフランス語で、南米の工場ではポルトガル語で使用でき、統一されたレベルで、GRCを遂行できるという。

「RSA Archer GRC」は、2011年に国内での提供を開始して以来、金融損保、製造業を中心に導入が進んでいるそうだ。

2015年7月21日7:00

「MasterCard Digital Enablement Service（MDES）」によるセキュリティ強化
トークンによる、安心・安全な決済サービスの実現

Appleの「Apple Pay」やSamsungの「Samsung Pay」には、MasterCardが提供するペイメントトークンサービス「マスターカード・デジタル・イネーブルメント・サービス（MDES：MasterCard Digital Enablement Service）」が利用されています。今回は、カード番号をトークン化するフローやそのメリット、「MasterPass」をはじめとするデジタルウォレットへの適用について紹介します。

実カード番号をトークン化
情報漏洩による不正利用リスクを回避

オンラインにつながるデバイスは、現在も世界に120億台あり、2020年には500億台に達するという予測が米国で発表されています。また、オンラインデバイスをショッピングに利用するニーズも高まりつつあります。カード業界は50年近くの歴史となりますが、磁気に代わる技術として20年ほど前にEMVが導入されました。また最近では、モバイル等のデバイスを決済に活用するデジタル化が急速に進んでいます。

モバイル決済の普及は加速していますが、その一方で安全性に対する不安もささやかれています。MasterCardでは、10年以上前からNFC対応モバイル決済の実証実験を行っており、現在までにも世界各国で様々な取り組みが行われていますが、爆発的な普及に至っていない背景としてはセキュリティの課題も大きいと考えられます。「MDES」では、プラスチックカードに印字された番号とは異なるトークン番号を生成して、デバイスやサーバーに情報を書き込むことを想定しています。

今後は、モバイルデバイスを様々な決済シーンで利用するニーズが高まることが想定されるため、決済端末にモバイルデバイスをかざすNFC非接触決済だけではなく、QRコードを決済やクーポン・オファー等の周辺サービスに利用するなど、新しいテクノロジーも積極的にサポートしていきたいと考えています。

「Apple Pay」等の場合は、モバイルデバイス内にトークン情報を格納していますが、オンラインショッピングでは、利用者のカード情報を預かるネット加盟店も多数存在するため、将来的にはこれらの加盟店が管理するカード情報もトークン化してゆく予定です。

ペイメントトークン

MDESは、セキュアエレメントだけではなく、HCEにも対応可能
既存の決済インフラでトークン決済

また、MasterCardは、セキュアエレメントに依存せずソフトウェアベースで安全な決済を実現する、HCE（ホスト・カード・エミュレーション）ベースのMasterCard Cloud Based Paymentという仕様を昨年発表しました。HCEでは、決済取引時に利用する鍵を格納するセキュアレメントが存在しません。よって、クラウド側とモバイル側で密接なやり取りを行うことで、取引のたびに異なる鍵を利用する設計となっています。MDESはHCE対応決済のクラウド側の機能も備えています。

トークンは、既存の決済インフラとメッセージフォーマットをそのまま活用できるよう設計されています。MasterCardのカード番号は、現状5ではじまりますが、トークン番号も同様にMasterCardに割り当てられた番号帯から発番されます。

トークンの格納先

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のマスターカード　ジャパンオフィスマーケットデベロップメント　エキスパートセールス ディレクター　中原美奈子氏の講演をベースに加筆を加え、紹介しています。

2015年7月21日15:05

国際的な第三者試験認証機関であるテュフズードグループのテュフズードザクタは、このほどJCBの非接触IC決済サービス向けモバイル端末の認証試験所として認定されたと発表した。今回の認定を受け、テュフズードザクタでは、モバイル機器向けサービスを充実させ、開発メーカーに対して認証試験やデバック試験など広範囲なサービスを提供していく予定だ。

「Apple Pay」や「Android Pay」等話題のサービスを始めモバイル端末を使った非接触決済サービスは、世界的にもさらに普及していくと期待されている。テュフズードザクタでは、すでにEMVおよびVisaにおけるアナログ/デジタル試験サービスを展開しているが、このほどJCBの非接触IC決済サービス向けモバイル端末の認証試験所として認定を受けたことにより、モバイル端末の開発メーカーに向け幅広いサポートができるようになったという。

2015年7月22日7:00

「MasterCard Digital Enablement Service（MDES）」によるセキュリティ強化
トークンによる、安心・安全な決済サービスの実現

トークン取引はEMV暗号情報を伴う
オンライン加盟店にもトークンサービスを提供へ

トークンを利用した取引には、EMV暗号情報が伴います。MDESは、通常のEMV取引でイシュアホストが実施しているのと同様に、この暗号情報を検証し、正規の取引であるか否かを判定します。正規の取引であることを確認した後に、トークンを実際のカード番号に置き換えてイシュアに仕向けます。イシュアは、実際のカードが使われたのと同様に承認判定を行います。トークン番号情報が盗聴され、当該番号を入力する方式でネットショッピングの不正利用がなされたとしても、この決済取引には正規の暗号情報が伴っていないため、MDESで不正な取引と検知して拒否応答を返すことになります。このように、トークン化により安全性の高い決済サービスを実現することができます。

MDESは、イシュアの代行でトークンを発行するサービスです。一方、発行したトークンを配布する先としては、デジタルウォレットが中心となります。また、近い将来、利用者のカード番号を預かるオンライン加盟店にも配布先としてトークンサービスを提供していく予定です。

MDESとは?

トークン化により、実際のカード番号はMasterCardとイシュアのみが知り得る情報となり、加盟店やアクワイヤラに知られることはなくなりますので、情報漏洩のリスクは少なくなります。

イシュアは、国際ブランドの提供するトークンサービスを利用することで、世界中のウォレットプロバイダーのサービスに簡易に参加することができます。グローバル規模のデジタルウォレットプロバイダーは、国際ブランドのトークンサービスの導入で、各イシュアと個別に接続することなくグローバルな展開が図れるという利便性があるため、今後も採用するウォレットプロバイダーは増加すると考えられます。

国際ブランドが提供するトークンサービスでグローバルな展開が可能
MDESとデジタルウォレットサービス「MasterPass」との融合も可能

MasterCardでは、デジタルウォレットサービス「MasterPass」を提供しており、現在はネット利用のみですが、実加盟店でも利用可能となる予定です。日本では、ユーシーカードが最初のウォレットオペレーターとして提供される予定となっており、決済代行事業者ではベリトランスが実装することを発表されています。MasterPassは2年前からスタートしましたが、世界で約7万の加盟店で利用でき、大手銀行がMasterPass対応のウォレットソリューションを提供しています。（2015年7月現在の公表加盟店数は22.5万）

MDES は、MasterPassを含む様々なデジタル環境に適用可能

MasterCardでは、現在、AppleやSamsungなど、サードパーティーが提供するウォレットサービスにトークンを提供していますが、当然のことながらMasterPassにも対応いたします。サードパーティウォレットの場合は、ウォレットプロバイダーが仕様を決定し、参加するイシュアはその仕様に従うことを余儀なくされますが、イシュア自身のウォレットを提供したい要望があれば、MasterPassの活用をご検討ください。イシュア各位の意思に基づく自由設計が可能であり、グローバルなMasterPass加盟店で利用可能です。

また、さまざまなオンラインデバイスに対応でき、非接触決済も可能となります。従来、対面、非対面決済は異なるものと考えられていましたが、技術の進歩やウォレットソリューションの普及にしたがって、実店舗での決済とオンライン決済は徐々に融合していくと考えられます。MDESは、ウォレットソリューションを支える次世代決済サービスです。

⇒⇒前篇へ戻る

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のマスターカード　ジャパンオフィスマーケットデベロップメント　エキスパートセールス ディレクター　中原美奈子氏の講演をベースに加筆を加え、紹介しています。

2015年7月23日7:00

ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット
カード番号を乱数に置き換えて、安全なカード情報の管理が可能に

日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン（GDO）では、国内のeコマースサイトで初めてクレジットカード情報を別の数値（乱数）に置き換えて情報処理を進める「Tokenization（トークナイゼーション）」を2010年7月に導入しました。4年間の運用の成果や課題、決済代行事業者の非保持サービスなどとの比較について紹介します。

国内で初めてトークナイゼーションを導入
カード情報が漏洩せず、システムとして非常に安全な仕組みを提供

GDOは、ゴルフ用品の販売、ゴルフ場の予約、ゴルフ関連情報やモバイルコンテンツを提供するメディア事業、ゴルフレッスンを行うフィッティング事業など、ゴルフにかかわるビジネスを多岐にわたって提供しています。日本国内には、約800万人のゴルファーがいますが、450万人と半数以上のお客様が弊社をご利用いただいています。日本は世界第二位のゴルフマーケットとなりますが、GDOでは260万の会員を有しています。アクティブユーザーは約45万人、コアユーザーは40～60代後半の男性のお客様が多くなっています。

現在のeコマースの売り上げは100億円弱ありますが、支払いの約8割がカード決済となっています。一時は、85％がカード決済でしたが、最近はコンビニ決済の比率も増えています。

トークナイゼーションは、2010年に検討を開始し、2011年7月にリリースしました。当時、アプリケーションやインフラを切り替えたので、トークナイゼーションも同時にリリースしています。

GDOでは過去に「SQLインジェクション」による不正アクセスを受け、サイトが改ざんされる被害に遭いました。カード会員情報は漏洩しませんでしたが、当時の強化策として、自社で暗号化して保有するか、外部企業に預けるかの二択で考えていました。ただ、暗号化は、復号化されるリスクがあります。また、当時は、カード会員情報を委託するコストがトークナイゼーションの導入に比べ高かったこと、カード情報を決済代行事業者に預けた場合、仮に情報が漏れた際は弊社側で対応しなければなりませんでした。そのため、トークナイゼーションを国内で初めて採用しました。

過去を振り返る・・・「持つ」か「預ける」か？

たとえば、自社でカード会員情報を保持している場合、暗号化されたデータを複合化してウェブサーバに返してお客様に戻すという流れになります。トークナイゼーションでは、サブシステム間に通信をするときにはEAI（Enterprise Application Integration）というツールがあり、トークンの取得用サーバを介して、トークンを取得した後にカード情報を呼び出す仕組みとなります。また、データを登録する際も同様で、自前で保持しているときには暗号化して自分たちのデータベース内に保存されますが、トークナイゼーションでは、トークンの登録サーバでカード情報に紐づくトークンを生成し、トークンだけを戻します。

これまでの運用の成果としては、カード情報が漏洩せず、システムとしても非常に安全な仕組みを提供できています。コストについても、ロジックの変更やバージョンアップをすること無く、削減できました。また、自社で保持するデータはトークンのみであり、監査上も一切指摘はありません。

障害時にはベンダー頼みになる課題も
今後はカード情報を決済代行事業者に委託する可能性も

逆にデメリットとしては、運用フローが非常に複雑になりました。たとえば、1つの障害で、実際に運用ができなくなり、その対応はベンダー頼みになってしまいます。弊社には複数のサーバがありますが、異なるSSLの証明書が必要となり、証明書の更新作業のフローが複雑化するなど、アプリケーションの技術者を内部で抱えていないと運用が困難になります。また、運用コストは削減できていますが、24時間365日の保守対応については、専用に整えなければならず、高コストとなっています。また、対応時間を短くした場合は、正常動作監視と一時対応に備えるメンバーの待機コストが発生してしまいます。

今後は、①自社で仕組みを開発②トークナイゼーションの製品を導入③決済代行事業者のサービスを利用する――3つが考えられます。ただ、自社開発については、インフラ設計、アプリケーション設計、開発、検証、運用等、考慮しなければならない点が非常に多く、メリットが見出せません。

トークナイゼーションを導入する場合は、ベンダー側の保守体制がしっかりしている点、安定した動作実績があること、カード情報以外の重要な情報も含めて行える体制にあるか、といった点を満たせるかが重要となります。

また、GDOでは、利用する決済代行事業者を切り替えましたが、その際にコストやサービスを比較して、最終的にトークナイゼーションの代わりにカード情報を委託する可能性も含めて決断しています。

⇒⇒後編へ続く

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のゴルフダイジェスト・オンライン 経営戦略本部　本部長CTO 渡邉 信之氏の講演をベースに加筆を加え、紹介しています。

2015年7月24日7:00

ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット
カード番号を乱数に置き換えて、安全なカード情報の管理が可能に

トークナイゼーションは自社の技術者の確保が必要に
5～7年で見ると運用コストを抑制可能

トークナイゼーションの導入と決済代行事業者への委託を比較すると、トークナイゼーションでの運用に関しては、複数の物理サーバ、アプリケーションサーバ、データベースを運用しなければならず、技術者の確保が求められます。その点、決済代行事業者に依頼すれば、接続のインターフェースを管理するのみで、サーバの運用は発生しません。

トークナイゼーションは、5～7年でみるとコストは安いかもしれませんが、保守の金額を算出するのが難しいです。決済代行事業者に預けた場合、保持データn件毎に費用が発生しますし、仮に大規模になった場合は運用費増大につながります。

また、トークナイゼーションにより強固なセキュリティの仕組みを提供できているとはいっても、自社で持つ以上は「流出する」という事象のリスクを負うことになります。その点、決済代行事業者に委託すれば、自社で持つよりはリスク軽減につながるかもしれません。

PCI DSSへの準拠については、今後、基準に大きな制度変更が発生した時に、自身で持っていれば開発などが必要な場合もありますが、決済代行事業者に預ければ軽減される可能性があります。

人員に関しては、自社で仕組みを開発すると、開発工数が20人月と大規模になり、検証コストも大きく、運用もそれなりの費用が発生します。また、“どこまでやったら安全だ”という判断が難しい状況です。一方、決済代行事業者に委託した場合、開発とテストに工数が必要となります。GDOでは、eコマース以外のサービスでもクレジット決済は行っており、横に広いサービスを提供しているため、開発と工数に時間がかかります。その点、トークナイゼーションは、工数はかかりませんが、アプリケーションのライセンス費用が必要となります。また、安全性と構築の容易さを天秤にかけたときにメリットがあります。

未来を予測する・・・今後はどうする？

今後の運用は2016年～17年に決定予定
トークナイゼーションは運用負荷や開発・運用の柔軟性が課題

今後の運用については、2016年から2017年の間に意思決定する予定です。カード決済サービスを提供する企業にとって、カード情報を決済代行事業者に預けられない場合は、ロジックを作って運用するのか、トークナイゼーションのような製品を採用してセキュリティを担保するかが必要となります。トークナイゼーションでは、漏洩リスクや初期・ランニングのコストは削減できますが、その一方で運用負荷や開発・運用の柔軟性が課題となります。逆に決済代行事業者にカード情報を委託した場合は、開発や運用の柔軟性といった点で難しくなるでしょう。

未来を予測する・・・今後はどうする？

実際にトークナイゼーションを導入した感想として、一定の障害は発生する可能性があり、ワン・トゥ・ワンでサポートしてもらえる企業があるか、というのが選定のポイントとなると考えています。また、情報漏洩のリスクに関しては、決済代行事業者もセキュリティを強化している印象が年を追うごとに強くなっているため、どちらでもそれなりに担保できると思われます。

⇒⇒前篇へ戻る

※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のゴルフダイジェスト・オンライン 経営戦略本部　本部長CTO 渡邉 信之氏の講演をベースに加筆を加え、紹介しています。

2015年7月24日15:29

「クレジット取引セキュリティ対策協議会」は、2015年7月23日開催の第2回本会議において、クレジット取引のセキュリティ対策について中間論点整理と今後の検討の方向性について取りまとめたと発表した。

具体的には、クレジットカード取引に関して、IC化対応の遅れ等による日本のセキュリティホール化の懸念、個人情報と同等以上のカード情報の安全管理措置の必要性、インターネット取引における不正使用被害の増加に対するセキュリティ対策の重要性等について認識の共有を行い、①カード情報保護対策、②カード偽造防止対策、③インターネット取引における不正使用対策についてそれぞれ課題の整理を行った。

その中で当面の課題としては、①カード情報保護対策については、インターネット取引加盟店等に対する漏えいリスクの極小化や加盟店におけるカード情報の非保持化のあり方の検討等、②カード偽造防止対策については、加盟店のIC化に係るオペレーションや運用ルール、カード処理端末のIC化に係るコストの低減の方策の検討等、③インターネット取引における不正使用対策については、本人認証手法の普及に向けた方策や本人認証の重要性等に関する消費者啓発のあり方の検討等があげられた。

なお、クレジット取引セキュリティ対策協議会は、「日本再興戦略」改訂2014(2014年6月24日閣議決定)等に基づき、2020年オリンピック・パラリンピック東京大会の開催等を踏まえたキャッシュレス決済の普及による決済の利便性・効率性の向上を図るため、世界最高水準のクレジット取引のセキュリティ環境を整備することを目的に、クレジットカード会社のみならず、学識経験者、経済産業省、国際ブランド会社、加盟店、機器メーカーなど幅広い関係者から構成された協議会。設置は、2015年3月25日で、事務局は、一般社団法人日本クレジット協会が担当している。

■クレジット取引のセキュリティ対策について中間論点整理と今後の検討の方向性を取りまとめました（日本クレジット協会のプレスリリース）