2016年7月28日10:20

「トークナイゼーション」「暗号化」「リスクベース認証」「動的認証」が重要に

ビザ・ワールドワイド（Visa）は、2016年7月27日、国内や海外におけるペイメントセキュリティの現状とVisaのビジョンについて記者説明会を行った。2015年10月からのEMVライアビリティシフト・ルールの適用により、米国等での偽造被害の減少が期待されるが、その一方で、非対面のカード不正が顕在化している。Visaでは、非対面のセキュリティのロードマップとして、トークナイゼーション、P2PE（Point-to-Point Encryption）暗号化、リスクベース認証、動的データ認証への対応を進めていきたいとした。

CNPと偽造による不正被害が全体の8割以上を占める
全世界の61％の不正使用が米国で発生

2020年オリンピック・パラリンピック東京大会の開催等に向けて、キャッシュレス決済の普及によるインバウンド需要の確実な取り込み、さらに、その前提となる安全・安心なクレジットカード使用環境を実現することは、「日本再興戦略」にも掲げられた重要な課題だ。

ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏

国内では、2020年に向け、世界最高水準のセキュリティ環境を整備することを目的として、幅広い関係業界の協同による「クレジット取引セキュリティ対策協議会」が設立された。2016年2月には、同協議会から実行計画が発表され、偽造対策では、2020年までに加盟店およびカードイシュアのクレジットカードの100％IC化が発表された。

グローバルでの過去60年の不正使用の数値を見ると、カード不正は大幅に減少した。ただし、データ流出事件などにより、ここ5年は不正被害が増加傾向にあるという。

過去5年の不正

2011年は5.2bp（basis point＝0.01%）程だったが、2015年は6.9bpになった。つまり1万円の消費額のうち6.9円程が不正となる。特にカードを提示しないCNP（Card Not Present）とカウンターフェイク（偽造）による被害が全体の8割以上を占める。

世界の不正の構成比をみると、全世界の61％の不正が米国で発生。また、Visaの取り引きをみると39％の不正が米国で行われた。その理由として、米国では磁気カードからEMV ICカードへの切り替えが遅れている点が挙げられる。また、偽造カードを作るためのデータ流出事案の7割以上が米国で発生しているそうだ。

世界の不正構成比

米国でも急ピッチでICカード化が進む

ICカード導入はグローバルで進行しており、2015年のデータを見ると、ヨーロッパではPOSとATMで99％の対応を完了。アジア・太平洋は66％、ATMで35％が進んでいる。米国では、POSが22％、ATMが17％であるが、「2015年3月時点では5％未満でしたが、2016年6月時点では28％に伸びています」と、ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏は説明する。現在、米国の消費額の約4分1はチップ取引となっており、急ピッチでIC化が進んでいる。

EMV　ICカード化の進行状況

その理由として、EMVライアビリティシフト・ルールの適用が挙げられる。2015年9月以前は、偽造カードによる不正被害が発生した場合、その損失は原則としてイシュア（カード発行）サイドが負担していた。ライアビリティ・シフトでは、カードがIC化される一方、端末側がIC化されていなかった場合、偽造被害の責任はイシュアからアクワイアラ（加盟店）にシフトするという考え方である。同ルールは欧州では2005年から、CEMEA（中央ヨーロッパ、中東、東欧、アフリカ）では2006年、ブラジル・メキシコでは2008年からスタートしていたが、米国や日本の国内取引については適用されていなかった。今回のグローバルなライアビリティ・シフトの実施により、特に米国でのEMV化は加速している。

EMVへのロードマップ

非対面では国際取引の不正が顕在化

今後は、EMV対応の進捗により、不正使用は対面から非対面へ移行していくとみている。2015年のオンラインでの不正被害をみると、国内が6.9bp、北米が17bp、ヨーロッパが13bpとなっており、平均の6bpを上回った。また、国際取引の不正が顕在化しており、国内は57bp、北米は156bp、ヨーロッパが35bpとなっている。国際間不正取引に対応するため、不正対策はグローバルに展開する必要がある。

オンラインでの不正（国内取引および海外取引）

「グローバルレベルでいうと、非対面取引の15％が拒否されています。その中には（不正ではない）正規の取り引きも入っていますので、各当事者（消費者や加盟店）にとって大きな影響があります」（クロスリー氏）

2020年に向けたセキュリティ対策のロードマップ
データ保護に関する4つのレイヤーとは？

Visaでは、さまざまなセキュリティ対策ソリューションを展開しているが、今後は「トークナイゼーション」「暗号化」「リスクベース認証」「（非対面取引）での動的認証」が重要になるとした。また、データ保護に関する4つのレイヤーとして、「データの無価値化」「データの保護」「カード会員による不正管理」「データの活用」を挙げた。

「データの無価値化」は、例えカード番号が第三者に盗まれても情報に価値がないようにする方法論だ。例えば、動的な番号が生成されるEMVチップはデータの無価値化として効果があるが、非対面取引では「トークナイゼーション」が有効であるとしている。トークナイゼーションは、カード番号をまったく別の識別子であるトークン番号に置き換え、この番号を加盟店からプロバイダ、イシュアへカード情報の代わりに使ってもらう仕組みだ。

「データの保護」に関しては、ペイメントカードの国際セキュリティ基準である「PCI DSS」への対応、カード情報伝送時の入り口から出口まで暗号化する「P2PE（Point-to-Point Encryption）暗号化」も非常に有効である。

「カード会員の不正管理」については、利用者のスマートフォンにリードタイムに決済した情報を通知したり、使用するシーンによって取引を制限するといった対策が挙げられる。

「データの活用」に関しては、取引内容等の高リスク取引のみ本人認証を行う等の制御する方法などにより、不正を抑制することが可能だ。これは、生体認証やワンタイムパスワードの導入、EMVCoで検討中の3-Dセキュア2.0へのバージョンアップなどが挙げられる。

グローバルロードマップの設定

このような取り組みはカード業界全体で取り組む課題でもあるが、Visaでは継続して同分野において、リーダーシップを発揮していきたいとしている。

2016年7月28日19:40

日本電気（NEC）は、2016年8月24日に、無料の個別セミナー「トークナイゼーションによる会員番号保護対策セミナー」を同社本社で開催する。

同セミナーでは、トークナイゼーションによるクレジットカード会員番号の保護対策について説明するとともに、NEC決済パッケージ「PaymentElite」の取り組みについて紹介するそうだ。

なお、NECのPaymentEliteは、決済ネットワークに接続するためのインタフェース/実行環境を提供し、セキュアな決済サーバを構築するためのプラットフォームとなっている。

2016年8月1日8:30

カード情報保護対策としてのデータセキュリティをテーマに、
実装方法・事例を解説

経済産業省やクレジット取引セキュリティ対策協議会が推進する、クレジットカード取り扱いに関する情報セキュリティ対策の具体的な実行計画は対応期限が2018年3月と定められており、関連事業者にとっては対応を本格化する時期となってまいりました。

今回のセミナーでは、関連事業者がPCI DSSの情報セキュリティ基準を満たす上で最大の要件となるカード情報の保護対策としてデータセキュリティを取り上げ、具体的なリスクとそれらに応じた対策の実装方法や対策事例を中心に解説、ディスカッションの機会を提供いたします。

開催概要

名称：「PCI DSS対応事業者向けデータセキュリティ（暗号化・トークン化）実装」セミナー

企画/主催 ：Vormetric, Inc.（ボーメトリック）
共催：タレスジャパン株式会社
　　  キヤノンITソリューションズ株式会社
        東京エレクトロン デバイス株式会社
後援：ペイメントナビ
開催日時：2016年9月2日（金） 13:30-16:40 （受付開始13：00）
参加費：無料 （下のボタンより事前申込みください）

場所：富士ソフトアキバプラザ セミナールーム　会場地図

定員：120名　（定員に到達次第申し込みを締め切らせていただきます）
セミナー事務局

Vormetric, Inc.（ボーメトリック）　 東京オフィス　セミナー事務局
〒108-6028 東京都港区港南2-15-1　品川インターシティA棟28階
E-Mail: kikeda@vormetric.com　　 電話　03-6717-4483

参加申込み

セッション一覧

13:40 | 14:20

基調講演

データの無価値化（デバリュエーション）について                 山崎 文明 氏 会津大学特任教授 PCI DSSの準拠のためには多くの項目が定義されているますが、その中でトークナイゼーションを始めとするデータの無価値化は、単にPCI DSS対応だけではなく、情報セキュリティの対策として重要な位置付けです。しかしながら、昨今の対応は境界防御に終止する感があり、肝心なデータの保護に対して適切な対策が取られているとは言いがたいものです。 当講演にて、データの無価値化がPCI DSSを始めとする情報セキュリティ全般に対して効果を表すだけではなく、内部犯行など表面には出にくいインシデントに対して有効である点を、国内外の事例を通じて解説します。 [プロフィール] 大手外資系会計監査法人にてシステム監査に永年従事。システム監査技術者(経済産業省)/英国規格協会公認BS7799 情報セキュリティ・スペシャリスト。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。 最近では6月21日のNHKクローズアップ現代「追跡！消えた18億円ATM不正引き出し事件」に解説者として出演。事件の真相に迫る解説が話題を呼ぶ。 ■ 委員等就任実績 　（現任）2020年代に向けた教育の情報化に関する懇談会スマートスクール 構想検討ＷＧ委員（文部科学省） 　内閣官房安全保障危機管理室情報セキュリティ対策推進室ＷＧ委員 　警察大学校不正アクセス犯罪等対策専科講師学校セキュリティ検討委員会委員（経済産業省） 　サイバーテロ演習評価委員会委員（経済産業省） 　不正プログラム調査研究委員会委員（警察庁） 　サイバーセキュリティ調査研究委員会委員（警察庁） ■ 著作   「情報立国・日本の戦争 大国の暗闘、テロリストの陰謀」(角川新書）   「PCIデータセキュリティ基準　完全対策」（日経ＢＰ社　監修）   ほか多数

14:20 | 14:50	ソリューション講演　タレスジャパン株式会社
	データ中心型のセキュリティとHSMの重要性                 山神 真吾氏 タレスジャパン株式会社 ｅ－セキュリティ事業部 シニアテクニカルスペシャリスト 境界型のセキュリティを実装していても、止まらない情報漏えい事故。今年になってPCI SSCはサイバー犯罪への対策として、「データの無価値化」を提唱しています。 機密情報を効果的に保護するために、データそのものを暗号化することがもはや当たり前になりました。HSMを配置し、ヒト・モノ・プロセスを厳格に管理し、能動的にデータをコントロールすることは、企業が果たすべき社会的責任の一つになっています。 この講演では、HSMを利用して実現する、データ中心型のセキュリティについて説明します。

15:00 | 15:30	ソリューション講演　Vormetric, Inc.
	トークナイゼーションをセキュアに運用するには                 迎　博 Vormetric, Inc. 東京オフィス シニアセキュリティアーキテクト PCI DSSの適用にあたり多くの企業がトークナイゼーションの導入を検討しています。 しかしながら、トークナイゼーションを導入しても、復号リスクに対する備えが無ければサイバー攻撃や悪意のある管理者によるPANデータの漏洩が発生してしまいます。 本セッションでは、トークナイゼーションで使用する鍵に対する注意点やシステム構成例について解説致します。

15:30 | 16:00	事例講演　キヤノンＩＴソリューションズ株式会社
	「すぐに始められるデータの暗号化、無価値化   ～システム構成例と保守サービスのご紹介～」                 太田 高明 氏 キヤノンＩＴソリューションズ株式会社 基盤・セキュリティソリューション事業本部 基盤セキュリティ企画センター 基盤セキュリティ技術開発部 昨今、標的型攻撃や内部犯行による個人情報漏洩事故により、個人情報保護・管理の厳格性が問われています。 組織として情報セキュリティ対策を行うことにより情報漏えいを 未然に防ぐことは重要ですが、万が一、情報漏えいが発生してしまった時を想定した対策も重要です。 キヤノンＩＴソリューションズは、これまで多くの企業様、官公庁様に対して情報セキュリティシステムの構築、運用支援を手がけてきており、そのノウハウを基に、データの暗号化対策のシステム構成例と保守サービスを紹介します。

16:00 | 16:30	ソリューション講演　東京エレクトロン デバイス株式会社
	「PCI DSSのネットワークではウェブとDNSのセキュリティを押さえよう」                 松永 豊 氏 東京エレクトロン デバイス株式会社 CNカンパニーCN第一営業本部 パートナー第二営業部 プロダクトセールスプロフェッショナル ネットワーク上での情報漏洩対策としてかなめとなる要素がウェブとDNSです。PCI DSSでも重要な要素として記載があり、過去のセキュリティ事故でも度々取り上げられてきました。 注意すべきポイントと、それぞれのエキスパートであるF5 NetworksおよびInfobloxが提供する最新ソリューションを紹介します。

参加申込み

 

お問い合わせ

当セミナーに関するお問い合わせは、以下までメールにてご連絡下さい。

セミナー
事務局Vormetric, Inc.　 東京オフィス　セミナー事務局
〒108-6028 東京都港区港南2-15-1　品川インターシティA棟28階
E-Mail: kikeda@vormetric.com　　 電話　03-6717-4483　

2016年8月2日15:44

東京大学大学院 情報学環は、2016年7月22日、東京八重洲オフィス開設についての記者説明会を実施した。

サイバーレンジを用いた実践的セキュリティ教育を実施
マイナンバー制度のセキュリティなどへの提言も

東京大学大学院 情報学環は、セキュリティをはじめとするサイバー空間に関する課題について学際的研究・人材育成・政策提言を推進することを目的に「東京大学情報学環 セキュア情報化社会研究寄付講座（SISOC-TOKYO：Secure Information SOCiety Research Group in Tokyo）」に関連したオフィスを東京駅前に開設した。同オフィスは、東京駅八重洲口から徒歩3分と絶好のロケーションに立地。学生や企業のセキュリティ担当者を対象にしたトレーニングの実践的演習環境（SiSOCサイバーレンジ）を構築し、高度セキュリティ人材の育成を図る。

東京大学大学院情報学環 グループ長 教授 須藤修氏によると、サイバーセキュリティ対策は社会にとって喫緊の課題であるため、産学官の協力のもとに解決を図っていきたいとした。理工学的なアプローチのみならず、経済、経営、政策も絡めて社会学的な調査研究を行っていくことが重要であり、その検討結果を広く情報発信していくという。

東京大学大学院情報学環 グループ長 教授 須藤修氏

特に、2020年の東京五輪を迎える中で、セキュリティの人材が不足しているため、政府の動きと連携しながら、官民一体で人材を育成していく方針だ。その拠点となるのが同施設で、模擬的な攻撃と防御の演習を行う。施設では、サイバー空間の課題の再定義を行うことで、理工学的なアプローチだけではなく社会学的なネットワークを用いて、対症療法ではない抜本的な対策を実施する。特に今後は人工知能同士が交渉する過程が一般化すると思われるが、そのセキュリティのあり方やリスクについても研究を進める。

研究グループの目的

さらに、マイナンバー制度のセキュリティ、東京五輪を見据えてのサイバーテロに対しての実効性のあるような提言をしていきたいとしている。

施設では、サイバーセキュリティの最前線で活躍する人材、ホワイトハッカーを要請するための実践訓練環境であるサイバーレンジを構築。具体的には、疑似的な攻撃・防御演習（インシデントレスポンス）、マルウェア分析、膨大なログから攻撃の諸端を検知するビッグデータ解析などを行う。

さらに、IoT（Internet of Things）や、ブロックチェーンをはじめとしたFintech（FinanceとTechnologyを掛け合わせた造語）等のセキュリティ検証も実施する。

実践的セキュリティ教育のためのサイバーレンジ

DTRSと連携し、サイバーセキュリティ人材育成プログラムを開催
ブロックチェーンのハンズオンセミナーも

まずは、デロイト トーマツ リスクサービス（DTRS）と連携し、東京大学に所属する学部生、大学院生を対象にしたサイバーセキュリティ人材育成プログラム「デロイト トーマツ x 東京大学 SiSOC サイバーセキュリティトレーニング」を2016年9月に開催。同トレーニングは、オランダ大使館や政府と連携して実施する。デロイト オランダのサイバーセキュリティの専門家が学生に対し、デロイト オランダが企業のサイバーセキュリティ担当者向けに提供しているプログラムをアレンジして、最新のサイバー攻撃手法から対策技術までを解説する。さらに、3日間のトレーニングを通じ優秀と認められた受講者には、オランダ大使館の協力のもとオランダへの研修旅行が提供され、デロイト オランダを含めた先進的なサイバーセキュリティの取り組みを行っている企業などを見学できる。

実施予定のトレーニング

SISOC-TOKYOでは、八重洲オフィスをサイバーセキュリティ人材育成の拠点とすべく、さまざまなトレーニングを継続して実施していく。サイバーセキュリティでは、イスラエル、米国、ロシア、オランダが第一線であるそうだが、中国はそれよりもややレベルは落ちるという。そのため、その一角であるオランダと連携を結ぶことで、中国からの攻撃に対応することができるそうだ。

また、実際に機器を利用したブロックチェーンのハンズオンセミナーも11月に実施する予定であるという。

2016年8月4日8:00

「ポンパレモール」、チャージバック保証制度を出店プランと共に提供
自社でのモニタリングに加え、フラウドサービス導入で不正検知率が向上

オンラインショッピングモールとして成長を続けるリクルートライフスタイルの「ポンパレモール」。同サイトでは、チャージバック保証制度の採用、不正注文検知サービス「O-PLUX」によりクレジットカードの不正利用や詐欺などのあやしい注文者のふるまいを未然に検知するなど、加盟店がより安心して商品を販売してもらうための対策にも力を入れている。

参加店舗は3,500店舗に成長
EC業界で不正利用が増加する中さらなる対策が必要に

リクルートライフスタイルは、2013年3月から、オンラインショッピングモール「ポンパレモール」を展開している。大手モールとしては後発となるが、取扱高は毎年順調に成長を続けており、参加店舗数は3,500店舗まで伸びている。ポンパレモールプロデューサー 山下隆太氏は、「月に100～150店舗ずつ増えており、昨年の2,000店舗から大幅に増えました」と1年間の成果を口にする。

ポンパレモールプロデューサー 山下隆太氏

「ポンパレモール」では、消費者が安心してサイトを利用してもらうことはもちろん、不正利用対策にもサイトの開設当初から取り組んできた。不正利用に対しては自社で独自に実施。ただ、ECマーケットの成長に伴い、業界全体で不正利用が増加する中、同社でもさらなる対策が必要となった。「ポンパレモール」では、総合モールとして、全ジャンル網羅的に商品数を増やしており、高額の家電や化粧品、家具なども販売している。従来、こういった高額商品が犯罪者に狙われるケースが多かったが、最近ではスニーカーなど幅広いジャンルや低価格帯での不正も目立ってきており、どの商品がターゲットとなるかが選別しにくくなっている。

「こうした不正発生パターンが日々変化している状況の中、不正利用対策のロジックを自社で作りこむだけではなく、店舗により安心して販売いただけるように、イーディフェンダーズが提供するチャージバック保証サービスの導入に至りました」（山下氏）

出店料金にチャージバック保証制度を包含
「O-PLUX」により自社では把握できない不正も発見

イーディフェンダーズのチャージバック保証サービス導入に至っては、「ポンパレモール」参加店舗が安心して出店できるようにケアしていくことが大切であると考え、従来の出店料金にチャージバック保証制度の料金を含む形でサービスを導入したそうだ。

ただ、チャージバック保証制度は必ずしも全ての不正利用に対して全額が補償されるわけではなく、特定の条件や上限を超えた金額の場合に適用できないケースもある。

そのため、モールとしてのさらなる不正抑止の精度を向上させる必要があると考え、かっこ株式会社と提携。ビッグデータを活用し、クレジットカードの不正利用や詐欺などのあやしい注文者のふるまいを統計技術で検知する不正注文検知サービス「O-PLUX」による審査を開始している。

「ポンパレモール」。Pontaポイントが貯まるサイトとしてもPR

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月5日8:28

ブロードバンドセキュリティ（BBSec）は、PCI DSSの管理団体であるPCI SSCより、Point to Point暗号化（P2PE）プログラムの監査資格である「P2PE QSA」として認定されたことを発表した。

PCI SSCが提供するPoint to Point暗号化プログラム（P2PE）は、カード情報を安全に加盟店からアクアイアラに伝送することを目的としたプログラムで、クレジットカード読み取り機からプロセッサのサーバまでのすべての経路で暗号化を行い、安全に通信する為のルールを定めている。マルウエアによる攻撃などからこの経路を守るためのセキュリティ対策として注目されているのがP2PEソリューションである。

P2PEソリューションを導入することで、加盟店においてPCI DSS準拠に要する費用と労力を大幅に削減できることから、すでに欧米、オーストラリアでは普及が進んでいる。BBSecは、このP2PEソリューションを提供するために必要なセキュリティ基準「PCI P2PE」準拠の認定評価機関となる。

2016年8月8日9:05

クレジットカードへのEMV接触/非接触チップの搭載を開始
非対面取引では本人認証サービス「American Express SafeKey」を推進

アメリカン・エキスプレス・インターナショナル,Inc.（American Express）は、国際ブランドであるとともに、イシュア（カード発行会社）、アクワイアラ（加盟店開拓企業）としても活動している。同社では、対面での取引の安全性強化に向け、自社発行のクレジットカードへのEMV ICチップの搭載を順次行っている。また、非対面の取り引きをよりセキュアに行うために、オンライン・ショッピング認証サービス「Safekey（セーフキー）」の加盟店への導入を推進するなど、安心・安全な取引に向けたサービスに力を入れている。

新規発行カードにはEMV ICチップを付帯
コンタクトレスの機能も業界に先駆け標準搭載

American Expressでは、カード会員に安心・安全にカード決済を行ってもらうため、クレジット取引セキュリティ対策協議会が目指す方向に沿って、セキュリティ対策を強化している。

アメリカン・エキスプレス・インターナショナル,Inc. 加盟店事業部門 担当 副社長 印南裕二氏

まず、カード発行の観点でいうと、EMVチップが載ったカードを2015年から発行しており、「2020年にクレジットカードの100％IC化を目指す」という実行計画に沿った形で動いている。

「新規発行のカードに加え、有効期限を迎えたカードの更新カードのタイミングでEMV搭載のカードを発行しています。また、弊社のクレジットカードは、基本的にすべてコンタクトレスの機能も一緒に搭載しているため、カードをお持ちの方は、国内外のAmerican Express Contactless加盟店で利用可能です」（アメリカン・エキスプレス・インターナショナル,Inc. 加盟店事業部門 担当 副社長 印南裕二氏）

American Expressは、セキュリティに優れたICカードの発行を始めており、今後発行されるカードは、段階的にICカードに切り替わる

「American Express SafeKey」はワンタイムパスワードを採用
SMSを利用した動的なパスワードで安全な取引を目指す

また、インターネット決済の安全性強化に向け、「American Express SafeKey」によるオンライン・ショッピング認証サービスを2014年から国内でも提供している。印南氏は、「マーケットによっては、本人認証技術の「3-Dセキュア」が浸透していない地域もありますが、日本は比較的早くツールを導入されて、普及している国の1つであると感じています。『American Express SafeKey』も安心・安全なカード利用を促進する目的で推進しています」と話す。

「American Express SafeKey」は、カード会員が導入加盟店でオンライン・ショッピングをする際、カード番号や有効期限などに加えて、登録のSMSへ送信したワンタイムパスワードを入力してもらうことにより、支払いが完了するもの。「弊社は動的なパスワードを導入しており、会員登録していただければ、トランザクションごとにパスワードが変わるため安全に取引ができることに加え、パスワードを覚えていないことを理由に途中でドロップアウトされてしまうリスクも防げると感じています」（印南氏）

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月9日8:00

センシティブ情報をセンター側で保有する強みを生かし、加盟店の準拠を後押し

三菱UFJニコスは、クラウド型マルチ決済システム「J-Mups」の推進を強化しているが、2012年7月のセンター開設当初からPCI DSSに準拠した強固なシステムで運用されている。同社のPCI DSS準拠の取り組みについて、話を聞いた。

センターの開設時から取得を前提に構築
J-Mupsシステム全体がスコープに

「J-Mups」は、三菱UFJニコスとJR東日本メカトロニクスが構築した専用のサーバーに集約したクレジットカード、銀聯カード、各種電子マネーの各決済機能を、加盟店に設置した決済端末やPOSからインターネット経由で利用できる仕組みである。クラウド型の決済サービスに国内でいち早く対応。同社の収益を押し上げる役割を果たしている。

三菱UFJニコス アクワイアリング開発部 ネットワーク開発グループ 開発担当 上席調査役 清水郷太氏、三菱UFJニコス システム基盤・運用部 J-Mupsシステム室 調査役 船戸直氏

同社では、J-Mupsセンターの立ち上げ当初から、PCI DSSの準拠を視野に入れていた。三菱UFJニコス アクワイアリング開発部 ネットワーク開発グループ 開発担当 上席調査役 清水郷太氏は、「カード会社のデータセンターとなりますので、センターの開設時から取得を前提に構築しました。国内初のシンクライアント型のクレジットカードのデータセンターとなりましたので、会員データフロー等はPCI DSSに沿ったものが必要だと考えています」と説明する。J-Mupsは2012年7月にサービスを開始したが、2012年5月24日付けでVersion2.0への完全準拠を果たしている。

クラウド型マルチ決済システム「J-Mups」

J-Mupsセンターはシステム開発ベンダの協力を得て立ち上げた。端末はJR東日本メカトロニクス製となるが、端末からデータセンターの仕組みまでセキュリティを考えて構築した。清水氏は、「システム開発ベンダに構築を委託する中で、コンサル部隊としてご協力いただき、要件を満たしているかを確認しながら対応を行いました」と話す。

基本的に、J-Mupsシステム全体がスコープとなった。準拠に向けて、システムの運用が実態についていけるかがポイントだった。また、セキュリティを重視しなければならない反面、レビューなどの運用コストも必要となる。当然、PCI DSSを意識しなければコストは抑えられるが、基準にすべて対応する方向でWAF（Web Application Firewall）やIPS（侵入検知システム）などを導入している。

PCI DSSの準拠に向けては、要件の解釈に迷うところもあったが、その際は認定審査機関（QSA）のアドバイスを受けながら対応した。また、三菱UFJニコスのシステムにおいて、セキュリティ部門に要件解釈のアドバイスを受けた。

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月10日8:00

強固なセキュリティ基準への対応により、後払い決済の営業でもプラスに

ネットプロテクションズは、2002年よりB to CのEC・通販に照準を当てた後払い決済サービス「NP後払い決済」を提供し、これまでに年間1,000億円を超える流通金額を誇り、2万3,000店、7,000万人の利用実績を上げてきた。同社ではクレジットカード決済環境において、2014年からPCI DSSに準拠している。

カード情報の伝送、処理に加え、一部保管を実施
顧客企業の利便性を考え準拠を決意

ネットプロテクションズは、後払い決済の提供がメインだが、クレジットカード決済の導入を希望する企業もある。現在、クレジットカード決済は、GMOペイメントゲートウェイと連携しているが、カード情報の伝送、処理に加え、一部保管を行っている。

右からネットプロテクションズ ビジネスアーキテクトグループ アーキテクトユニット マネージャー 片山富章氏、同部 相澤雄大氏

PCI DSSの準拠については、従前から継続して検討していたという。ネットプロテクションズでは後払い決済を主軸にサービスを提供しているが、クレジットカード決済事業をその中でどう扱うかを考えた。1つの選択肢として、後払い決済に特化してビジネスを提供することもあったそうだが、「後払い決済とクレジットカード決済を1つの管理画面で利用できるメリットを感じている企業もあるため、準拠することで決定しました」と、ネットプロテクションズ ビジネスアーキテクトグループ アーキテクトユニット マネージャー 片山富章氏は話す。

後払い決済の管理画面もスコープに入れる
NP後払いもPCI DSSの恩恵を受けるシステムに

同社では2013年に準備を開始し、1年半の期間をかけて取得した。すでにプライバシーマーク制度の認証は取得していたが、PCI DSSの要件を初めて目にした時は非常に厳しい基準であると感じていたそうだ。

まずは、後払い決済を提供する中で、社内においてクレジットカード情報をどう扱うかについて、検討した。同部 相澤雄大氏は、「後払い決済とクレジットカード決済を１つの管理画面をご利用いただける利便性を壊さずに、かつセキュリティを担保できるようにシステム全体を設計し直しました」と話す。アプリケーションが複雑になるため、後払い決済システムのすべてがPCI DSSに準拠しているわけではないが、管理画面の準拠は求められた。

「カード環境にアクセスできる人は社内でも限られており、NP後払いのオペレーションやシステム運用全体に影響しているわけではありません。ただ、部分的にはNP後払い事業もPCI DSSで構築したセキュリティレベルの高いシステムの恩恵を受けています」（相澤氏）

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月17日8:06

開発者に対し、利便性が高くセキュアなサービスを提供へ

Eコマースプラットフォーム「BASE（ベイス）」を運営するBASEは、同社が提供するオンライン決済サービス「PAY.JP（ペイドット ジェーピー）」の決済環境において、PCI DSSに完全準拠している。同社では、Amazonがグローバルに提供する「Amazon Webサービス（AWS）」上でサービスを構築した。

開発者向けの決済サービスを提供
PCI DSSの要件に合わせてシステムを構築

「PAY.JP」は開発者が使用しやすいように、RESTfulでJSON-basedなAPIで設計されている。さらに「Ruby」「Python」「PHP」「NodeJS」「Go」「Java」「Perl」などのライブラリを提供しており、開発者は簡易に決済システムをWebサイトに組み込める。

「PAY.JP」は、BASEがオンライン決済サービス「Pureca（ピュレカ）」を子会社化して開始したサービスとなる。ピュレカは2012年7月創業。PCI DSS Version3.0への準拠もピュレカ時代に達成したものだ。同サービスではクレジットカード情報を扱うため、国際ブランドが定めているルールとしてPCI DSSへの準拠はマスト（義務）であると考えた。また、「安心して決済サービスを提供する上で、PCI DSSに準拠しているのと、していないのではまったくビジネスが変わってきます」と、PAY.JP事業部長 高野兼一氏は話す。

右からPAY.JP事業部長 高野兼一氏、PAY.JP事業部セキュリティ・エンジニア クリストファー・スミス氏

ピュレカは、2013年に決済サービスの開発と合わせてPCI DSSへの着手を開始。PAY.JP事業部セキュリティ・エンジニア クリストファー・スミス氏は、「決済サービスは、PCI DSSの要件にしたがった構築を心がけました」と説明する。同社では、クラウド環境でのサービス構築を決意し、Amazonがグローバルに提供する「Amazon Webサービス（AWS）」上でのシステム構築を選択した。AWSでは、グローバルで「PCI DSS Provider Level1」に準拠しているため、実地検査を行わず全体をカバーできる。また、随時機能をアップデートするなど、サービスとしても魅力的だったそうだ。

なお、初回の審査時には、AWS上での運用実績が豊富な「cloudpack（クラウドパック）」を提供するアイレットの協力を得ている。さらに、Payment Card Forensicsからコンサルティングの支援を受けている。

対象範囲については、AWSと権限が分かれていること、クレジットカード情報を自社で保管していないため、狭めることができた。なお、現在はソニーペイメントサービスにクレジットカード情報を委託しているが、2014年の準拠当時は別の決済事業者がクレジットカード情報を保持していた。

「PAY.JP」のWebサイト

「Amazon S3」で変更ログを「AWS Lambda」で取得
3カ月の短期間で準拠を果たす

準拠に向けては、複数の要件での対応に苦労したという。まず、要件11のログ監視については、どう取り組んだらいいのかという点で迷ったそうだ。同対応では、「Amazon Simple Storage Service（S3）」にログを集約し、そこに情報が更新履歴とあわせて記録されるため、アーカイブファイルが変更されたログを「AWS Lambda」を使って取得している。

また、PCI DSS 要件 11.5 を満たすファイル整合性監視ソフトウェア製品はコストがかさむため投資負担が大きく、他に対応方法がないかを考えた。同部分では、Linux（リナックス）の基礎部分である「kernel（カーネル）」からファイルシステムイベントをリアルタイムで直接取得しファイル属性とSELinuxを駆使して追記以外の操作をできない設定を施したログファイルに書き出していく方法を取っている。

ピュレカでは、2014年にPCI DSSの準拠を達成。ネットワークの設計が決まってからは、3カ月の短期間での準拠を果たした。ただ、PCI DSSの要件通りに準拠できなかった項目もいくつかあり、結果的に代替コントロールは5カ所で適用した。

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月18日8:00

金融機関や決済サービス事業者はセキュアなサービスを迅速、低コストで実現可能に

大日本印刷（DNP）は、DNP柏データセンターで運用するクラウド基盤サービス「MediaGalaxy（メディアギャラクシー：MG）クラウド」で、PCI DSS Version 3.1の認証を取得した。DNPは、金融機関や決済代行を行うサービスプロバイダなど、機密性の高い情報を取り扱う企業に同サービスを提供していく方針だ。

DNPの「P＆Iソリューション」を提供する基盤のセンター
ソフトウェア認証のみでPCI DSS準拠のサービスを提供可能に

DNPでは、2016年4月に情報ソリューション事業部とC＆I事業部が統合し、ペイメント事業部となった。これにより、営業企画、制作、製造、運用を含めて、一気通貫で顧客企業をサポートする体制を整えた。DNP柏データセンターはITビジネスを進める上で必須となる強固なシステム運用環境とオペレーションを提供するセンターを目指し、DNPグループの高度なセキュリティ基準に対応。2013年にセンターを稼働しており、印刷技術と情報技術のさらなる応用・発展を図る「P＆Iソリューション」を提供する基盤のセンターとなっている。

大日本印刷 C＆Iセンター システム開発運用推進本部 副本部長 斎藤雅氏

同センターでは、可用性、安定性を重視してサービスを構築したが、1つの共通の基盤上で複数の企業がサービスをシェアする仕組みとなる。そのため、運用がシステム単位になり、PCI DSSの準拠もそれぞれのサービスごとに対応しなければならない。

「PCI DSSは金融機関や決済を提供する企業にとって大きな柱となる部分ですが、弊社のクラウド基盤の中にPCI DSSの認定を取得した環境をつくり、サービスを展開するスタンスを取りました。弊社のサービスのベースはBtoBが基本ですが、これによりお客様は、OS（Operating System）やアプリケーションといったソフトウェア層において認証を取得するだけで、PCI DSSに準拠した決済サービスの運用を低コストで開始することが可能です」（大日本印刷 C＆Iセンター システム開発運用推進本部 副本部長 斎藤雅氏）

サービス間との責任分解点の取り決めで苦労
各サービス担当者と議論を重ね、強固な基盤を構築

DNPでは、2014年にMGクラウドでのPCI DSS準拠についての議論を開始。DNPが提供する各サービスの担当者の協力を得て対応を行った。また、要件の解釈で悩む部分は、認定審査機関（QSA）とコミュニケーションを図ることで対応に当たった。

準拠に向けて苦労したのは、スコープ設定と、MSクラウドとサービス間の境界の明確化の部分だ。DNPでもISMSなどの情報マネジメントシステムは取得しているが、PCI DSSはもう少しハード寄りの規格となる。また、クラウド環境でのPCI DSS対応はガイドラインが出ているものの、解釈に迷う部分が多い。特にクラウド環境で管理する部分と、各サービスが利用する範囲においての責任分解点を設定するのに苦労したそうだ。すでにDNPでは、本人認証サービス「SIGN3D（サインド）」、さまざまな決済に対応可能な「DNPマルチペイメントサービス」などにおいて、PCI DSSに準拠しているが、今回はDNP柏データセンターのMGクラウド上に各サービスが追加される形となる。従来はデータセンター上で構築していたサービスが、クラウド上で仮想的なサービスとして提供される。

クラウド基盤サービス「MediaGalaxyクラウド」でPCI DSS Version 3.1の認証を取得

大日本印刷 情報イノベーション事業部 C＆Iセンターシステム開発運用推進本部 データセンタービジネス開発部 部長 有田博樹氏は、「クラウド上でサービスを切り出した後に、MGクラウド、サービス側と、どちら側で管理するかという範囲を両社で決める必要がありました。物理的にはファイアウォールにより、論理的に分けることで認証の範囲を分離することは可能ですが、それを文書によって確認する必要がありましたので、時間がかかりました。特にファイアウォールやロードバランサは基盤の機械をサービスごとに仮想化して切り出しますので、この管理はどちらが行うのかという判断が難しく、審査機関への説明で苦労しました」と打ち明ける。ただ、PCI DSSの準拠の経験がある社内のメンバーと議論したうえでシステムを構築できたため、セキュアなサービスを提供する上で、プラスとなった。

大日本印刷 情報イノベーション事業部 C＆Iセンターシステム開発運用推進本部 データセンタービジネス開発部 部長 有田博樹氏

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月23日8:00

「北九州サポートセンターにおける通信サービス決済方法登録業務」で認証を取得

富士通コミュニケーションサービス（以下、CSL）は、2015年6月に「北九州サポートセンターにおける通信サービス決済方法登録業務」において、「PCI DSS」の認証を取得した。同社ではインターネットサービスプロバイダ大手のニフティの業務を受託しており、同業務の範囲での完全準拠となった。

2010年からPCI DSSに沿った運用を実施
社内の理解を得て、2014年末から本格着手

CSLがPCI DSSの準拠を意識したのは2010年。CSLの 北九州サポートセンターでは、ニフティから問い合わせ時のコールセンター業務、申し込みや変更のデータ入力処理業務などを請け負っているが、当時、ニフティが国際ブランドのVisaが定めた「AIS（Account Information Security）」の遵守期限内に準拠する目的で協力を求められた。

「今後、CSLの業務にとっても重要な基準になると感じ、当社名義で認証取得できないかを模索しましたが、当時はPCI DSSの認知度はそれほど高くなく、理解が得られませんでした。ただ、ニフティ様が準拠されるタイミングで、現場の運用はPCI DSSに沿うように、設備やネットワークの構成は作り直しました」（営業本部 第一営業統括部 統括部長 小林優子氏）

右から営業本部 第一営業統括部 統括部長 小林優子氏、情報管理推進室 室長 坂巻到氏

その後も現場レベルではPCI DSSに沿った運用を続けていたが、改めてニフティからのCSL名義での準拠の要請を受け、2014年11月から本格的に準備を開始。小林氏は、「2010年当時よりもPCI DSSの認知度は高まり、金融系のお客様も抱えていたため、社内の協力を得ることができました」と説明する。

準拠に向けては、「当時からPCI DSSに沿った運用が行われていたため、2015年6月の準拠の際は基盤ができていました」と、情報管理推進室 室長 坂巻到氏は語る。基本的には、ニフティから受託している業務をCSLがアウトソーサーとして直接準拠する形となった。オペレーションについては、PCI DSSの基準に合わせたものとして、より厳格な対応が求められ、セキュリティポリシーも見直したという。

ログの管理など、システム面などの対応が増加
3つの部門が協力して準拠を目指す

CSLでは、コンサルティング会社の協力を得て、準拠に取り掛かったが、スコープの特定に関してはニフティ名義で準拠した当時とそれほど変わりはなかったそうだ。ただ、「2010年当時はニフティから提供を受けていたシンクライアント端末を利用していましたが、今回は社内での独自ネットワーク環境になりましたので、ログの管理など、システム面での対応は増えました」と坂巻氏は話す。

実務での業務フローはそれほど変わらなかったが、その環境を支えるインフラ面やバックログが増えたという実感がある。

「PCI DSSの取得に向けては、運用部門、システム部門、情報管理推進部門の3つの部門で連携して進め、各部門のとりまとめ機能として事務局を設置しました。それぞれの部門が協力的であり、その点はコンサルティング会社にもご評価いただきました」（小林氏）

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年8月24日8:00

スコープの設定に向け、委託元との責任分解書を作成し準拠を達成

りらいあコミュニケーションズは、2016年2月、PCI DSS Version3.1の認証を取得した。認証範囲は、業務委託先にかかわるコールセンター業務用ネットワークとなっている。同社では、カード決済は保持していないが、伝送を行っているため、PCI DSSの準拠が求められた。

グローバルのサービスプロバイダから業務を受託
カード決済は非保持だが、伝送部分で準拠が必要に

りらいあコミュニケーションズは、1987年設立の大手BPO（Business Process Outsourcing）サービス会社。全国に30カ所以上のオペレーションセンターを配置し、グループ全体で2万人を超えるスタッフがコールセンター、バックオフィス、対面営業支援、Webマーケティングなどの顧客接点周辺のBPOサービスに従事、通信、放送、金融、公益など国内主要企業向けにサービスを提供している。

同社では、業務委託先から2016年2月までのPCI DSS準拠が契約事項の必須項目となるという話を受け、準拠への対応を開始した。業務委託元はグローバルのサービスプロバイダであり、ソフトウェアメーカー企業である。委託元は、ネットショップを運営しており、電話窓口はりらいあコミュニケーションズが受託しているため、PCI DSSの準拠が求められた。

りらいあコミュニケーションズ ITサービス本部　ITサービス事業部　第二サービス室長 濱根暁氏は、「お客様はグローバルベンダーになりますが、PCI DSSに関してはそれぞれの国では対応されていると伺っています。お客様とは電話、チャット、一部でメールでの業務を請け負っていますが、メールとチャットについてはクレジットカード番号の取り扱いを禁止しているため、電話に限りクレジットカード情報を取り扱っています」と説明する。

従来はクレジットカードの処理は行っていたが、自社ではメモを禁止しており、また社内上は発注側のシステムにもクレジットカード番号は残らない。さらに、コールセンターの対応時にもカード情報にかかわる部分は録音を禁止している。そのため、「保持している件数はゼロでしたが、PCI DSSの審査が求められました」と濱根氏は話す。

PCI DSSの審査対象となったのは、クレジットカード業務にかかわる“伝送”部分となる。オペレーターが耳で聞き取り、委託元の業務アプリケーションにインプットする作業を実施。その際に、同社のネットワーク機器を通過し、委託元のデータベースを通過するため、伝送が対象項目となった。

対応当初は、準拠は絶望的な感触を受ける
委託元の業務を切り離す目的で責任分解書を作成

準拠への対応にあたり、2015年8月から準備を開始。同社ではすでにプライバシー・マークやISMSの取得経験があったが、「PCI DSSの要件をみて、最初は絶望的でした」と、りらいあコミュニケーションズ システム・設備本部　システム・設備部 システム企画開発室　金村芳幸氏は打ち明ける。実際、コンサルティングを担当した富士通エフ・アイ・ピーからは、「フィット＆ギャップの際に『2月は間に合いませんね』と言われました」と苦笑する。

「私自身がプライバシー・マークとISMSの両審査の取得と運用の経験がありましたが、PCI DSSはそれらの審査とは比較にならない量とレベルを求めてきましたので、2016年2月までできるか不安でした」（金村氏）

まずは、どのチームがどういう問い合わせ内容でクレジットカード情報を受け取るかというオペレーション内容の確認からスタート。スコープの設定では、仮にクレジットカード情報を扱わない業務でも、当該業務と同一のネットワーク上にあればPCI DSSの対象となる。また、他の業務と部屋が分離されているわけではなかったので、スコープの設定で苦労したそうだ。

「すべての業務を弊社が行っているわけではなく、業務アプリケーションや電話システムも委託元なので、最初のうちは除外だと簡単に括っていましたが、完全にスコープから外すことができないとわかりました。そのため、委託元と弊社の責任分解書のような念書を作成し、委託元と合意するプロセスを踏んでスコープの範囲を決めました」（金村氏）

※「不正利用対策・PCI DSSガイドブック」から一部抜粋

2016年9月15日22:37

ジェーシービー（JCB）は、 ネットショッピング認証サービス「J/Secure」において、スマートフォンアプリを用いた「J/Secureワンタイムパスワード」を2016年9月14日より導入したと発表した。

「J/Secureワンタイムパスワード」は、専用のスマートフォンアプリを用いて発行される、 1回限り有効なパスワードを使って認証するサービスとなる。J/Secure導入加盟店でネットショッピングをする際、JCB会員専用WEBサービス「MyJCB」のパスワードに代えてサービスを利用できる。1回限り有効なパスワードのため、第三者に利用されるリスクを回避できる。また、 利用の都度パスワードが発行されるため、パスワードを覚える必要がないそうだ。

アプリ画面イメージ

アプリアイコンイメージ

2016年9月15日22:52

インターファクトリーは、同社が提供するクラウドECプラトフォーム「ebisumart」において、ペイメントカード業界のセキュリティに関する国際基準「PCI DSS（Payment Card Industry Data Security Standard）」に完全準拠したサービスを2017年上期に提供すると発表した。

2016年4月、経済産業省より、クレジットカード取引におけるセキュリティ対策の強化要請が発表された。これによると、EC加盟店は2018年3月までに「PCI DSS」に準拠するか、ECサイトのクレジットカード情報を完全非通過にするか、どちらかの対策が求められている。

インターファクトリーが提供する「ebisumart」はクラウドECプラットフォームのため、「PCI DSS」に準拠することで、サービス利用店舗は経済産業省からの要請をクリアできると共に、個別カスタマイズを実現しながらも高水準のセキュリティレベルを維持することが可能になるそうだ。

また、サービス利用店舗が独自で「PCI DSS」準拠を行う場合でも、「ebisumart」はクレジットカード番号が通過する可能性があるインフラ環境をサービス利用店舗側に置かないシステム構成になっているため、監査項目を大幅に削減することができ、スムーズな「PCI DSS」準拠を実現できるという。

2016年9月20日8:00

凸版印刷と協力しクレジットカードにおける主要シェアを目指す

仏のオベルチュール・テクノロジーズ（日本法人：オベルチュール・テクノロジーズ・ジャパン、OT 社）は、凸版印刷と提携し、ワンタイム・パスワードカードとして世界で屈指の出荷実績を誇る「OT MOTION CODE（オーティー・モーション・コード）」および「COSMO OTP（コスモ・オーティーピー）カード」の国内展開を2016年9月から開始した。OTと凸版印刷に両製品の特徴、海外での実績、国内での展開について話を聞いた（取材は金融国際情報技術展会場において）。

「OT MOTION CODE」はフランス、米国、中国で採用が進む
3桁の静的なセキュリティコードを動的に表示

OTはデジタルセキュリティソリューションを提供する世界的な企業だ。同社では、2014年にディスプレイカードをグローバルに提供するNagraID Security（ナグラIDセキュリティー）を買収。「OT MOTION CODE」は、2014年の「CARTES SECURE CONNEXIONS 2014」（現Trustec）で発表された。現在、欧州、米国、南米、中東、中国でサービスがスタートもしくは準備が進んでいる。

左からオベルチュール・テクノロジーズ・ジャパン 代表取締役 根津伸欣氏、凸版印刷 情報コミュニケーション事業本部 セキュアビジネスセンター セキュアビジネス推進本部 課長 嶋田浩氏

「OT MOTION CODE」では、カードの裏面に表示された3桁の静的なセキュリティコードを、ミニスクリーンに表示された動的な番号に置き換えることが可能だ。一定時間が経過するとセキュリティカードは別の数値に置き換わるため、カードを提示しないCNP（Card Not Present）の不正を防止することができる。

オベルチュール・テクノロジーズ・ジャパン 代表取締役 根津伸欣氏は、「同技術は他の企業もサービスを展開していますが、世界で先駆けて展開し一年以上前からパイロット運用を行っているため多くのノウハウを蓄積できており、マーケットで実際に商用サービスとして利用されているのは弊社のみです。バッテリーサイズは小型で、エンボスを施すことも可能です。また、弊社では本技術に必要なサーバーソリューションも持ちエンドトゥエンドのフルサービスでの提供が可能です」と強みを口にする。実際にアナウンスをしている限りでもフランスのBNP PARIBAS（BNPパリバ）、ソシエテ ジェネラル（Société Générale）、BPCEグループ（バンク・ポピュレールとケス・デパーニュ）、メキシコのPROSA、ポーランドのGetin Bank、中東の金融ソリューション事業者、Network Internationalなどで国際ペイメントブランドのVisaやMasterCardブランドでのサービスがローンチされている。

OT MOTION CODEは、クレジットカード裏面の3桁のセキュリティコードが、1時間に1回といった単位で自動的に変化するコードとなり、カード券面の電子ペーパーディスプレイ上に表示される

「たとえば、欧州のCNP不正はカード詐欺の60％以上にもなります。日本でもCNPでの不正が起こっているため親和性の高い商品であると考えます。また商用サービスからのフィードバックで、オンラインでのカード利用は複数カードを保持していてもセキュリティの観点からOT MOTION CODEのみを使用する行動ケースが見受けられているようです」（根津氏）

また、「OT MOTION CODE」では、顧客に配布するカードに加え、動的に変化するセキュリティコードと同期するアルゴリズムを持つ専用サーバを合わせて提供する。消費者にとっては、オンライン決済に利用しているブラウザに新たにプラグインをインストールする必要もないため、従来通りの操作でより安全な取引を提供できるとしている。

6桁のOTPをカードに表示する「COSMO OTP」も展開
OTは凸版印刷との協業で国内展開を加速

さらに、カード券面に6桁のワンタイムパスワードを表示できる「COSMO OTP」は主に銀行のキャッシュカード向けに営業を行う。これまで、トークン形式で配布されていたワンタイムパスワード（OTP）をカードに搭載された電子ペーパー上に表示することで、「一体型のキャッシュカードとなることで、金融機関のカード発行とトークン配布のコストを削減できます」と、凸版印刷 情報コミュニケーション事業本部 セキュアビジネスセンター セキュアビジネス推進本部 課長 嶋田浩氏は説明する。また、カードに搭載されたボタンを押すだけで、OTPの生成が可能だ。

「COSMO OTPカード」は6 桁のワンタイムパスワードを表示する電子ペーパーディスプレイを搭載

今回、OTは日本での提携先に凸版印刷を選択したが、「凸版印刷様は日本のトッププレイヤーの1つであり、日本のさまざまな金融機関様に対してアプローチが可能です」と根津氏は期待を寄せる。嶋田氏は、「OT様の技術は世界でも最先端であると考え、弊社でも採用させていただきました」と話す。

凸版印刷は2020年度に約20億円の売上を目指す
OTではNFCモバイル決済などの展開も強化

凸版印刷では、「OT MOTION CODE」および「COSMO OTP カード」を全国のクレジットカード会社や銀行に向けて拡販。導入サポートや発行機、保守サービスなどの機能を拡充させ、2020年度に約20億円の売上を目指す。当面は、1顧客で10～20万枚の発行を想定。

OTでは、将来的な目標として、たとえば「OT MOTION CODE」では、出荷されるクレジットカードのクリティカルマスに同技術が搭載されれば、コストの削減が図れるとしている。

なお、OTでは、NFC決済についても市場の黎明期からグローバルで取り組んできた。TSM（Trusted Service Manager）によるモバイルペイメントに加え、Samsung PayやAndroid PayなどのOEMメーカーによる決済サービススキームにおいても金融機関をサポートしている。今後は国内でのNFCサービスの展開も検討する方針だ。

2016年9月21日18:08

デジタルセキュリティベンダーのジェムアルトは、最新の「Breach Level Index」の結果を発表した。それによると、2016 年上半期には前年下半期と比較して、データ漏洩は15％増加したことが明らかになった。2016 年上半期には世界で974 件のデータ漏洩が報告され、漏洩したデータ件数は5億5,400万件を超えたという。前年下半期にはデータ漏洩事件は844件で、漏洩したデータは4億2,400万件となった。また、2016年上半期に発生したデータ漏洩事件のうち52％では、事件報道時に漏洩したデータの件数が発表されなかった。

Breach Level Index は、世界中のデータ漏洩情報を収集し、盗まれたデータの件数、データの種類、漏洩源、データがどのように利用されたのか、データが暗号化されていたかどうか、といった複数の要因を考慮してデータ漏洩の深刻度を数値化している。Breach Level Indexは発生したデータ漏洩に対して、深刻度を判断してスコアをつけ、深刻度ランキングを公開しており、「比較的安全な」データ漏洩と「危険な」大規模データ漏洩とを見極めることができる。

Breach Level Index によると、公開情報に基づきデータ漏洩の評価を開始した2013年以来、48億件以上のデータが漏洩している。2016年上半期には、なりすましが漏洩したデータの種類のトップとなり、データ漏洩全体の64％を占め、前年下半期の53％から増加した。データ漏洩源では、外部の悪意あるユーザーが首位となり、データ漏洩全体の69％を占め、前年下半期の56％から増加している。

業種別に見ると、医療業界がデータ漏洩事件27％を占め、データ漏洩件数は前年下半期より25％増加となった。しかしながら、漏洩したデータ件数では、前年下半期の12％に対して、わずか5％を占めたにすぎなかった。政府機関はデータ漏洩全体の14％で前年下半期と同水準だったたが、漏洩したデータ件数では57％を占めた。また、金融サービスはデータ漏洩全体の12％を占め、前年下半期より4％減少したが、漏洩したデータ件数ではわずか2％だった。小売業はデータ漏洩の11％を占め、前年下半期より6％減少し、漏洩したデータ件数では3％を占めた。教育機関はデータ漏洩の11％を占め、漏洩したデータ件数の1％にも満たない結果となった。その他の業種はデータ漏洩の16％を占め、漏洩したデータ件数は16％だった。

報告されたデータ漏洩事例について、地域別にみると北米（79%）、欧州（9%）、アジア（8%）がトップ3 となっている。

2016年9月23日19:52

住信SBIネット銀行は、インフキュリオン・グループおよび子会社でるネストエッグとの業務提携契約を締結したと発表した。今後、ネストエッグ社が提供する自動貯金サービス「finbee（フィンビー）」とのAPI接続を開始予定だ。

API接続のイメージ（住信SBIネット銀行）

finbeeは、ネストエッグ社が開発中の、ユーザーが自動で貯金できるアプリとなる。ユーザーはそれぞれ貯金の目標を設定し、普通預金口座に紐づいた貯金用の口座に、ルールにしたがって自動で貯金することが可能だ。

API接続により、ユーザーは、finbee上で自身の口座の残高や入出金明細などを正確かつセキュアに取得することができるという。利用にあたり、ユーザーはネストエッグ社にログインID・パスワードを預ける必要はない。

また、今回新たに、代表口座とその一部である目的別口座との振替機能を利用できるAPIサービスをネストエッグ社に提供することで、finbeeの自動貯金機能を実現するという。

今回は関係者を対象とした招待制のクローズドβ版の提供とし、年内に一般リリースを予定している。サービスはiOS版・Android版アプリで展開する予定だ。

なお、ネストエッグの「finbee」の銀行の更新系API機能は、住信SBIネット銀行から順次接続を開始し、今後複数の銀行・金融機関などと連携していくという。ネストエッグは、ユーザーのカード会員情報や取引情報を保護するためのセキュリティ基準「PCI DSS V3.1」の完全準拠に向けて対応を進めているという。

2016年9月27日21:41

CDNetwokrsは、ペイメントカード業界の国際的なセキュリティ基準である「PCI DSS」の最高レベルであるレベル1を6年連続で取得したと発表した。

「PCI DSS」は、ペイメントカードブランド5社からなるPCI SSCによって制定され、 「クレジットカードのアカウント情報保護」を目的として策定されたペイメントカード業界の国際的なセキュリティ基準となる。これには、安全なネットワーク構築、カード決済情報の保護、ネットワーク監視およびテスト規定、情報保護コンプライアンス、そして管理規定など12要件、約400項目が設定されている。

CDNetworks では、 PCI DSSの国際基準に準拠したセキュリティ対策により、顧客の大切な情報資産を保護するCDNサービスを提供している。また、DDoS攻撃対策や脆弱性対策（WAF）などのサイバー攻撃からウェブを守るクラウド型のセキュリティサービス「クラウド・セキュリティ」も統合的に利用可能だ。

2016年10月4日18:56

日本カードネットワーク（CARDNET）は、2016年9月21日、モバイルペイメントを実現する「CARDNET トークナイゼーションサービス」を 2016年10月にリリースすると発表した。

「トークナイゼーション」は、世界的に需要が高まっているモバイルペイメントでも採用されている技術で、会員番号とは別の番号（トークン）を払い出し、同トークンを利用して安心・安全な決済取引を実現するものとなる。CARDNET はモバイルペイメントに対応したトークンサービスプロバイダとして、Apple Pay の日本展開にも参画し、カード会社向けにトークン発行、会員番号⇔トークンの変換等の機能を提供する。カード会社は自社で専用システムを構築する必要がないため、Apple Payにも対応した「トークナイゼーションサービス」を安価で迅速に、かつ、簡単に導入することができ、すでに国内数社が同サービス導入の決定、または検討しているという。

同サービスのシステム基盤としては、EMVCo のトークナイゼーションフレームワークに基づいており、 PCI DSSに準拠している。