2017年10月26日6:30
ペイジェントは、チャージバック対策ソリューションを提供するアクルと提携し、ペイジェント加盟店向けに、チャージバック保証サービスを含む不正対策ソリューションサービスの紹介を開始したと発表した。
利用までの流れ(ペイジェント)
近年、EC市場拡大に伴い、クレジットカード決済における不正利用が増加しており、不正利用によるEC事業者のチャージバック被害も増加している。アクルは、チャージバック対策から保証まで、トータルで不正対策ソリューションを提供するEC事業者向け不正対策コンサルティング会社となる。
ペイジェントは、2017年10月11日よりアクルと提携を行い、加盟店へチャージバック保証を含めた不正対策ソリューションサービスを紹介し、同サービスを利用してもらうことで加盟店はより安心してサービスを展開することが可能となるそうだ。
2017年10月27日8:43
TISは、ソニー銀行のVisaデビット付キャッシュカード「Sony Bank WALLET(ソニーバンク・ウォレット)」に、すでに導入されている当社の国際ブランドデビットカード事業サポートサービス「DebitCube+(デビットキューブプラス)」に加えて、スマートフォンでクレジット/デビット/プリペイドなど各種決済カードの利用管理ができるクラウドサービス「CARD×DRIVE(カード・ドライブ)」が新たに採用されたと発表した。「Sony Bank WALLET アプリ」でのカードコントロール機能の利用者への提供は2018年4月に予定されている。
クラウドサービス「CARD×DRIVE(カード・ドライブ)」(TIS)
ソニー銀行では、2016年1月から11通貨対応のVisaデビット付キャッシュカード「Sony Bank WALLET」を提供している。「Sony Bank WALLET」のシステムには、TISの『DebitCube+』が採用されている。その後、ソニー銀行からは「Sony Bank WALLET」ユーザーの利便性向上のため、不正利用の抑制に繋がるカードコントロール機能の導入の要望があり、これに対しTISは、APIベースのクラウドサービス「CARD×DRIVE」を提案したという。
「CARD×DRIVE」はカード会員にカード利用情報をリアルタイムにプッシュ通知する基本機能に加え、カード利用が拒否された場合に、カード会員に拒否理由をプッシュ通知する機能、カード会員自身が設定したルールに基づき、カード利用を制限する機能を備えたサービスとなる。
ソニー銀行には、既存システムである「DebitCube+」との親和性の高さや実装機能の充実度、コストなどの点に加え、スピーディな提案が評価され、「CARD×DRIVE」が採用されることになった。
2017年10月27日8:59
セイコーソリューションズは、グローバル基準であるクラウド署名コンソーシアム(Cloud Signature Consortium:CSC)に準拠したタイムスタンプサービスとクラウド署名サービスを提供する、EU以外で初めてのサービス事業者となったと発表した。
これにより、セイコーソリューションズは、アドビ システムズ(アドビ)、GMOグローバルサインと協業し、CSCに準拠したクラウド電子契約サービスの提供を日本国内に向け2017年末より開始する予定だ。
同サービスは、セイコーソリューションズが提供するCSC対応タイムスタンプサービスとクラウド署名サービスをGMOグローバルサインが提供するPDF署名用証明書と組み合わせて、アドビのクラウドサービスAdobe Sign上で国内外の法規制に対応した電子契約ソリューションとして実現するもの。
同サービスは、日本を含むアジア・パシフィック・北米市場における先駆的な存在であるため、日本国内向けサービスを皮切りに順次サービス提供範囲の拡大を目指すとしている。今後、三社は、金融取引や不動産取引、政府自治体での申請手続きなどの電子契約を中心にソリューション提供を行う。
なお、セイコーソリューションズのクラウド署名サービス「 eviDaemon(エビデモン)」は、電子証明書と秘密鍵をクラウドで管理することによって、企業や個人にとって重要な取引に関わる契約などに印鑑の代わりになって電子的な契約の成立を証明するという。eviDaemonは、2010年のサービス開始当初より業界に先駆けてハードウエアセキュリティモジュール(HSM)とタイムスタンプを組み合わせた高度なセキュリティ基盤を実現しているそうだ。クラウド署名コンソーシアム(CSC)が求めるセキュリティ基準に合致しており、国際的基準に基づくデータの信頼性を担保しているそうだ。
すでにeviDaemonサービスは国内累計1000社以上に提供され、金融機関や医療機関、大手製造業における電子契約や重要情報の保証に利用されている。
2017年10月31日8:00
日本金融通信社は、2017年10月26日、27日の2日間、「FIT(Financial Information Technology)2017(金融国際情報技術展)」を東京国際フォーラムで開催した。会場では、新たな決済サービスも紹介されていた。
LINE Payがセブン銀行ATMで入出金可能なサービスを開始するなど注目を集めているが、会場では複数のブースでQRコードやNFCで入出金可能なサービスの展示が行われていた。NTTデータでは、金融機関向けバンキングアプリ「My Pallete」において、スマホを活用してATM取引が可能となる「スマホ入出金サービス」を参考出展。ATMに表示されたQRコードをスマホで読み取るため、新たなハードウェアの設置が不要だ。また、iOSやAndroidなどで使用できる。NTTデータの担当者によると、すでに複数の銀行と話を進めているという。
また、凸版印刷や大日本印刷といった大手印刷会社では、NFCのHCE(ホスト・カード・エミュレーション:Host Card Emulation)機能を活用したATMの入出金を提案している。凸版印刷とTISでは、「金融機関向けモバイルWalletサービス」を紹介。利用者は、取引内容をスマートフォン上で予め入力し、対応のATMでそのスマホをタッチするだけで入出金などが可能となる。同サービスでは、カード番号をトークン(乱数)に置き換えて利用するトークナイゼーション技術を採用している。
TISのブースでは、TISの決済ソリューション「PAYCIERGE」の決済ソリューションと、エルブスが目指す「過疎地連携経済圏構想」を連携させた地域活性化モデルのデモを実施。「御用聞きAI」と「地域通貨」による、地域活性化を提案した。
大日本印刷は、磁気、接触、非接触決済、バーコード決済、ハウスプリペイド、ハウスポイント、汎用ポイントと、さまざまな機能を一台で実現する決済端末を開発しており、2018年春にはリリースできるという。また、ブランドプリペイド、ブランドデビットなどを紹介。特にブランドプリペイドの導入が加速しているそうだ。
ネットムーブでは、スマートフォン、タブレットがクレジット決済端末になる「SaAT ポケレジ」を提供している。同社では、P2PE(Point-to-Point Encryption)ソリューションを提供することで、対面決済の入り口から出口まで暗号化し、適正な暗号鍵のキーマネジメントにより、加盟店に安心・安全な決済を提供するという。
タレスジャパン(Thales)は、決済用HSM(ハードウェア・セキュリティ・モジュール:Hardware Security Module)「payShield 9000」を紹介。タレスのHSMは、カード業界などにおいて、暗号鍵の管理で数多く利用されている。また、一貫した暗号処理により、カード会員情報や決済データを保護する技術である「P2PE」の実装を支援している。Thalesでは、REST APIによる容易な導入やボルトレスによる高速化を実現可能な「VTS(Vormetric Tokenization Server:ボーメトリック・トークンサーバー)」も紹介した。
Gemaltoは、認証やセキュリティに関するさまざまなソリューションおよびサービスを紹介。機密情報を乱数に置き換える「Safenet Tokenization」は、クレジットカード業界の大手企業で採用されるなど、引き合いが増加している。また、HSM「KeySecure」は、ジェムアルトのトークン化ソフトウェアを始めとした暗号ソフトウェアの暗号鍵を統合管理することが可能だ。さらに、Gemaltoでは、指輪やウェアラブルに対応したマイクロタグ、ワンタイムパスワード製品も紹介した。
スレットメトリックスは、認証トランザクションから正確な本人確認を行うための技術を開発しており、5,000社を超える企業で高い評価を得ているという。同社では、受動的にリピート顧客を認証することで企業をアカウントなりすましから守ることができる不正防止ソリューションなどを提供している。
NTTコムウェアは、QRコードを活用した携帯クレジットカード決済サービス「Easy Do(イージードゥ)」を紹介。2008年からサービスを提供しており、保険会社などで採用されている。Easy Doは、導入企業が用意した商品情報を組み込んだQRコードをスマートフォンや携帯電話のバーコードリーダーで読み取るだけで決済処理が可能だ。また、PCI DSSに準拠するなど、セキュリティも強化している。Easy Doでは、SMSサービス、Webサイト、収納代行サービス、カード情報引継、IVRサービス、企業間決済などの決済チャネルも用意されている。
ウエスタンユニオン・ビジネス ソリューションズは、入国前の留学生やその家族からの学費徴収を効率化する送金サービスを紹介した。
エムティーアイでは、銀行口座から即時に代金の引落や入金を可能にする「口座直結型スマートフォン決済」の検証を常陽銀行で行っているが、2017年10月27日からは「割り勘・集金」機能を追加した実証実験を行っている。
2017年10月31日8:28
ジェムアルト(Gemalto)は、出入国管理局、警察などの政府機関が、生体認証による個人の特定をより迅速で高精度に効率よく実行できるよう強化した「Gemalto CABIS 7」を発表した。また、Cogentの主力製品群CABISをクラウドサービスとして提供するCABIS Core Cloudエンジンを同時に発表している。
生体認証ソリューション群「CABIS」最新版(ジェムアルト)
2017年5月、ジェムアルトは3Mの個人認証関連事業3M Cogentの買収手続きを正式に完了。今回のCABIS 7のリリースにより、政府機関は生体情報の入力データとデータベース情報をより広範囲にわたって照合でき、認証精度を高めることができるという。さらに、基本アーキテクチャとプラットフォームの機能強化により、以前のバージョンと比較して、セットアップ時間を30%削減したほか、利用者の長期投資をサポートする。
一方、CABIS Core Cloudにより、CABIS製品群による生体認証ソリューションの選択肢が広がったとした。クラウドサービスは柔軟性、拡張性に優れ、運用コストは使用量によって決まるが、将来の推定使用量に基づいたインフラへの先行投資が不要になり、また、社内ITリソースへの投資負担が大幅に低減されるとしている。
2017年11月1日7:00
ジェムアルト(Gemalto)は、2017年10月31日、IoT(Internet of Things)機器のセキュリティに対して、消費者の90%が不信感を抱いている調査結果を発表した。また、3分の2以上の消費者と80%近くの企業が、政府主導のIoTセキュリティ対策を要望しているそうだ。
ジェムアルトの調査によると、企業は、IoT機器やデータの保護(61%)およびコンプライアンス違反の影響(55%)について責任の所在を明らかにするための規制を要望している。またほとんどすべての企業(96%)と消費者(90%)が、政府主導によるIoTセキュリティ規制を求めているという。
企業はIoT技術導入にはサポートが必要であることを認識し、パートナーに協力を求めている。特に、クラウドサービスプロバイダ(52%)やIoTサービスプロバイダ(50%)が必要とされている。その理由として、自社内での専門知識やスキルの不足(47%)がトップとなり、IoT事業展開を容易かつ迅速にするため(46%)が続いた。
2017年11月1日18:03
トッパンフォームズおよびそのグループ会社で機器販売・保守やBPOサービス、総合人材サービスを展開するジェイ エスキューブは、BPO主要拠点であるトッパンフォームズの日野センターとジェイエスキューブの新宿センターを、ペイメントカードの国際的セキュリティ基準「PCI DSS」に準拠させることを発表した。PCI DSS基準に準拠した環境構築は2018年3月に完了する予定だ。
日野センターおよび新宿センターでは、PCI DSS準拠した専用エリアを新たに構築することにより、高セキュリティなPCI DSS準拠の専用エリアでクレジットカード番号が記載された帳票(原票)からのデータ入力・電子化などの一連の処理が可能になる。
これにより加盟店におけるクレジットカード情報の非保持化と業務負荷の軽減、運用管理コストの低減を支援するという。また両社センターがPCI DSSに準拠することにより、業務量に応じた拠点間の分散処理や不測の事態が発生した際のBCP対応などが可能になる。
両社では、決済代行業者や公共料金、クレジットカード払いのサービスを提供する加盟店を中心とした新規需要の取り込みに注力し、100社の採用を目指す。またすでに受託しているクレジットカード番号を取り扱う業務の運用についてもPCI DSSに準拠した環境へと移行し、高いセキュリティ環境での運用を続けていく方針だ。
2017年11月8日10:50
NRIセキュアテクノロジーズ(NRIセキュア)は、PCI DSS準拠のために必要なSAQ(Self-Assessment Questionnaire)作成を自社で行える「PCI DSS SAQ準拠パッケージ」を2017年11月7日より販売開始すると発表した。これにより、これまでPCI DSSの要件解釈や用語が難しいとされた自己問診およびSAQ作成をQSA(Qualified Security Assessor、PCI DSS審査員)の支援を通さず、自社で行えるようになるという。
同パッケージは、NRIセキュアのQSAがまとめたもの。SAQの記載方法を実際の例とともに示したもので、求められている要件に対して具体的な設定方法などをパソコンの画面イメージを交えて説明した解説書である「手引き」が含まれる。
また、PCI DSSに準拠するためにSAQで求められる基準をまとめた対策手順、PCI DSSに準拠する際、SAQで求められる要件を満たすために準備すべき書類のフォーマット集もパッケージしたそうだ。
2017年11月8日11:00
ラクーンは、同社が提供する後払い決済のサービス「Paid(ペイド)」において、ディープラーニング(深層学習)を活用した自社開発AI(人工知能)による与信審査を、年明けを目途に開始すると発表した。
Paidは、企業間取引における与信管理から代金回収業務まですべて代行し、未入金が発生した際もPaidが100%代金を支払うBtoB後払い決済サービスとなる。また、Paidに関する与信審査および売掛債権保証は、グループ会社のトラスト&グロースが行っている。
現在、Paidは導入企業の取引先が初回審査を通過すると、基本的に一律の利用限度額を付与している。今回、 与信審査にAIを導入することで取引先企業ごとの詳細な与信判定が瞬時に可能となり、各企業の信用度に応じて利用限度額を付与することが可能になる。
Paidの仕組み(ラクーン)
テスト段階では従来比3倍以上の与信枠が付与される企業も存在しており、AIによる最高1,000万円の初回付与も視野に入れ、さらなる与信判定精度向上に努めていきたいとしている。
今回「Paid」の与信審査に導入するAIには、これまでのサービス運営で培ってきた取引実績情報等をベースに、独自開発したシステムを用いている。運用開始後もデータが蓄積されてAIが学習することで、これまで発見できなかったリスク傾向を見つけ出すことができ、 判定精度は向上していくことが予想されるという。すでに社内システムとの連携調整を開始しており、与信システム運用環境への本格実装は年明けを計画している。
2017年11月8日11:15
ジェムアルトは、2017年11月8日、クラウドベースの統合型暗号管理サービスプラットフォーム「SafeNet Data Protection On Demand」を発表した。同プラットフォームにより、企業は、機密データ保護、コンプライアンス準拠のための、さまざまな場所に散在する機密データのセキュリティ管理を大幅に簡素化できるそうだ。
SafeNet Data Protection On Demandは、既存のITシステムやDevOpsツールおよびクラウドサービスとの統合が容易な「データ・セキュリティ・アズ・ア・サービス(DSaaS)」プラットフォームで、データがどこで作成され、誰がアクセスし、どこに格納されるかにかかわらずデータを保護し、課題を解決するという。
SafeNet Data Protection On Demandにより、さまざまな規模の企業で、エンタープライズクラスのデータ保護が可能になる。同ソリューションは、ハードウェアやソフトウェアの購入・インストール・運用管理が不要で、従量制課金を採用する。これにより、ハードウェアセキュリティモジュールを実装するような高度なセキュリティ環境の統合が可能で、事業部門とDevOpsの間の垣根を取り除くことができ、新事業の市場投入までの期間を短縮できるとしている。
企業は、既存の事業、新規事業を問わずクリティカルなデータを保護できるため、ビッグデータ、ブロックチェーン、クラウドコンピューティング、IoT、デジタル決済など新たな優先課題に対応可能としている。
SafeNet Data Protection On Demand Marketplaceは、以下のようなセキュリティサービスを提供する。
①Hardware Security Module On Demand: 暗号鍵の安全性を確保し、暗号化、復号化、認証および電子署名サービスを行うことで、トランザクション、ユーザーID、アプリケーションを保護
②Key Broker On Demand: 企業が暗号鍵を自身で管理することにより、自社およびSalesforce などのSaaSやクラウドサービスベンダーとの間でシンプルかつ安全性の高い管理を実現
③Key Management on Demand:暗号鍵のライフサイクルにわたる集中管理を実現するとともに、業界標準プロトコルKey Management Interoperability Protocol(KMIP)をサポート。企業内での暗号鍵一括管理による「Bring Your Own Key(BYOK)」を実現し、セキュリティポリシーの範囲をマルチクラウド環境まで拡大
④ Encryption on Demand: ファイル、フォルダ、データベース、ストレージ、仮想マシンなどデータが置かれている場所にかかわらず機密性の高いデータ保護を実現
なお、同プラットフォームは、Amazon Web Services、Dell EMC、Google、IBM、Microsoft、NetApp、Huawei、Oracle、Salesforceなど幅広いITベンダーと連携できるよう設計され、利用企業などは自社または第三者のAPIを利用して、アプリケーションを開発・構築可能だ。
2017年11月10日9:20
リード エグジビション ジャパン主催の「2017 JAPAN IT WEEK秋」が2017年11月8日~10日まで幕張メッセで開催されている。
Showcase Gig(ショーケース・ギグ)は、事前注文・決済が可能な実店舗運営支援ソリューション「O:der(オーダー)」を紹介。利用者は、店舗に訪れる前に商品やサービスを注文し店頭で待たずに商品を受け取れたり、事前のクレジットカード登録でアプリ内決済をすることが可能だ。また、「JR九州アプリ」など、同社が開発を支援したサービスも紹介された。
ネットムーブのブースでは、スマートフォンが決済端末になる「SaAT ポケレジ」を紹介。すでにVisa、Mastercard、JCB、American Express、Dinersの5ブランドでのEMVブランド認定を取得している。また、P2PE Solution Provider (SaAT ポケレジ、P2PE Component Provider (SaAT マネージドターミナルサービス)が PCI SSC に同時に認定された。
スター精密は、レジスターやプリンタなどを展示。スマートフォンと連携した決済サービス等も紹介された。「楽天ペイ(実店舗決済)」では、クレジットカードで決済する「カード決済」、スマホやタブレットのアプリで決済する「アプリ決済」、多数の主要電子マネーブランドで決済できる「電子マネー決済」を提供している。
富士通のブースでは、スマートフォン「ARROWS M357」を電子マネー決済端末として使用したデモを実施した。シンクライアント型の決済サービスを利用しており、移動販売、イベント出店、個人タクシー、デリバリーなどで使用することが可能だ。
クラブネッツは、Tポイントが貯まる・使えるサービスが利用できる加盟店支援を行っているが、同サービスを紹介した。また、店舗・企業のLINEアカウント「LINE@」を用いて、情報発信やビジネスに活用できるサービスについてもPRした。
リクルートライフスタイルのブースでは、大手家電量販店、アパレルショップなど、さまざまな店舗で使えるポイントカードを一括管理できるスマートフォンアプリ「ショプリエ」を紹介した。ロイヤリティマーケティングが提供する共通ポイント「Ponta」にも対応している。
大日本印刷は、銀行などの金融機関の店舗で、生活者自らが口座開設からICキャッシュカードの発行まで行える「DNPカード即時発行サービス(KIOSK端末型)」等を紹介した。
カードメーカーのナテックは、非接触ICカード・磁気カード・ リライトカード、および端末等の販売を行っているが、搭載されたチップが光るカードを展示した。
EC サイト構築用のオープンソースソフトウエアであるMagentoのブースでは、世界200以上の国と地域で利用されているペイパル(PayPal)などとの連携が紹介された。ペイパルでは、リンク型の決済システムに加え、サイト埋込み型の決済システム「ウェブペイメントプラス」も提供している。
ネットプロテクションズでは、BtoC通販向け「NP後払い」、 BtoC役務提供向け「NP後払いair」、BtoB取引で利用できる「NP掛け払い」といったサービスを紹介。同社では、2017年11月1日から、同社の決済サービスを統合的に紹介するプロモーション 『「NPの決済」なら、できます。』を行っており、8名の企業関係者が、 NPの決済を通してどのように変化したのかを紹介している。
w2ソリューションの「 リピートPLUS」は、ECサイトの定期購入(リピート通販)を支援する仕組みとなる。決済サービスとして、ソフトバンク・ペイメント・サービスやゼウスといった決済処理事業者と連携している。
フューチャーショップのブースでは、EC構築支援プラットフォーム「FutureShop2」で構築されたECサイトでApple Payを利用可能にするオプションサービス等が紹介された。商品ページにApple Payボタンが設置され、Touch IDに指を触れるだけで支払いが完了し、ショッピングカート画面に遷移する必要がないそうだ。
TIプランニングは、電子書籍「カード決済・ポイントビジネスのすべて」を閲覧できる権利を各日1,000名限定でプレゼントしている。
2017年11月13日7:36
IDEMIA(アイデミア)は、パキスタンのカラチでパーソナライズセンターを運営してきたが、同市場への取り組みを強化する活動として、同社のPCI-CP準拠パーソナライズセンターのVisa/Mastercard認定をこのほど受け、EMVへの移行を進める銀行を支援することになったと発表した。
パキスタンの決済市場では決済カード向けに世界的なEMV規格の採用を進めているが、同規格は決済取引のセキュリティや利便性を従来以上に高めるとしている。
アイデミアは銀行カードのパーソナライズサービスを完全なアウトソーシングモデルで提供しており、世界40カ所のパーソナライズセンターでサービスを展開している。
2017年11月13日7:47
アイルランドのDaonは、2017年10月19日、Visaにより、「Visa ID Intelligenceプラットフォーム」の生体認証サービス提供企業に選定されたと発表した。Daonでは、生体認証プラットフォームIdentityXを提供しているが、MastercardやAmerican Expressに加え、Visaから評価されたとしている。
Visa ID Intelligenceは、金融機関、開発者、eコマースの提携企業が認証技術を利用してモバイル機器上で取引を提供できるようにするプログラムとなる。生体認証は、Visaのクライアント企業に、人間の特徴を表す眼球、顔、指紋、声等を使用してアプリケーションのログイン、決済、二重認証などにシンプルな認証方法を作るオプションを提供するという。
2017年11月14日13:39
大日本印刷(DNP)は、米国のThreatMetrix, Inc.(スレットメトリックス)と共同で、電子決済における本人認証サービスである3-Dセキュアの分野で協業し、非対面での不正利用を検知するサービスの提供を来春より開始すると発表した。
3-Dセキュアは、なりすましなどによるクレジットカード等の不正利用を防止するサービスで、カード番号と有効期限に加え、IDやパスワード、パーソナルメッセージ等のカード保有者本人しか知らない情報を組み合わせて本人認証を行う方法である。インターネット上でのクレジットカード決済を安全・安心に行うことを目的に、Visa、Mastercard、JCB、American Express、Diners Clubが推奨している。
ThreatMetrixは、動的ルール分析や機械学習を活用し、取引内容や生活者のオンライン上のふるまいや、マルウエア検出、使用しているデバイスまたはネットワークの属性などから不正利用を判定する「リスクベース認証」の技術を保有している。同技術により個人情報を用いずに電子決済の不正利用を検知可能だ。また、海外では、EC加盟店やクレジットカード会社が現在提供している3-Dセキュア認証サービスにすでに導入されている。
同サービスは、サーバー側でリスクベース認証を実施するため、高リスクと判断した取引のみ3-Dセキュアによる本人認証を求める、という選択肢も可能だ。これにより、生活者の支払いが完了するまでの工程を簡略化でき、販売機会損失を防止できる。また3-Dセキュアサービスに未登録の生活者でもリスクベース認証が可能だ。
DNPは、これまでに金融機関やクレジットカード会社など15社以上に3-Dセキュアサービスを提供しているという。今後はThreatMetrixと共同で、金融機関やクレジットカード会社に来春より同サービスを提供する方針だ。
2017年11月14日18:20
NTTデータは、ネットショッピングにおける非対面クレジットカード決済の本人認証を行う「3-D Secure本人認証サービス」として提供する「CAFIS BlueGateユーザー認証サービス」に対し、クレジットカード利用者が使用するデバイス情報とクレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインリアルタイムで判定する機能(リスクベース認証)を新たに開発し、2017年11月13日より提供を開始すると発表した。「3-D Secure本人認証サービス」におけるリスクベース認証の導入は、国内では初めてとなるそうだ。同リスクベース認証の導入により、カード利用者の利便性を損なわず、成りすましによる不正使用被害のさらなる抑制が期待される。
現行の3-D Secureは、クレジットカード利用者がクレジットカード会社に事前登録した本人確認用のパスワードを用いることで実現しているが、近年のクレジットカード犯罪の多様化・高度化に対しさらに精度高く本人確認を行う手段が必要とされている。このような中、NTTデータは三井住友カードと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施し、リスク判定スコアリングモデルおよびオンラインリアルタイム処理システムに必要となるアプリケーション開発の検討を進めてきた。その結果、トライアル検証の成果を具現化、反映してサービス提供を行うことになったという。
具体的に、クレジットカード利用者を対象とし、リスクベース認証に必要となるクレジットカード決済利用デバイスの情報を取得し、取得したデバイス情報と決済情報を用いて不正判定のスコアリング処理を行う。デバイスの情報と決済情報は、3D-Secureプロトコルで本人認証処理を行うACS(Access Control Server)が取得している。同機能はNTTデータの「CAFIS BlueGateユーザー認証サービス」として提供している。不正判定のスコアリング処理は、NTTデータの「CAFIS Brain」のルールエンジンを用いて不正判定を行うそうだ。
リスクベース認証では、ACS(CAFIS BlueGateユーザー認証サービス)にて、クレジットカード会員が使用するデバイスの設定情報を取得し、取引情報とあわせて不正リスクを判定し認証を行う。不正リスク判定の処理結果において危険な取引(リスク高)と判定された場合には、決済に入らないよう、3-D Secureの認証失敗の結果を加盟店に返却する。クレジットカード会社では、不正使用取引の実態(ネガティブ/ポジティブデータ)をリスク判定エンジンに登録することにより、運用においてリスク判定スコアリングモデルのチューニングを実施する。
なお、3-D Secureは、2016年10月にEMVCo.より次期バージョン(3-D Secure2.0)の仕様が公開されており、2019年の初頭にグローバルでレギュレーションの導入がスタートする計画となっている。3-D Secure2.0では、今回のサービス提供で用いるリスクベース認証の概念が標準機能として取り入れられ、クレジットカード決済の大多数がパスワードを求めない取引とすることで、カード会員の利便性を向上させることが定義されている。今回の三井住友カードとの取り組みは、3-D Secure2.0への移行を見据えた先行導入の位置付けも有しており、リスクベース認証における不正使用の検知精度向上と運用管理ノウハウを蓄積し、早期に3-D Secure2.0の安定稼動に入ることにより、クレジットカード利用者へより安心・安全な利用環境の提供を進めるという。また、同サービスについて、他のクレジットカード会社への展開を計画している。
さらに、同サービスで蓄積された不正使用情報については、不正検知サービス「CAFIS Brain」との共有を計画しており、クレジットカード取引だけでなく、インターネット取引におけるさまざまな不正使用情報を共有することで、一般消費者にとってインターネット取引が安心して利用できる環境を築いていきたいとしている。
2017年11月15日8:20
三井住友カードは、2017年11月13日から、ネットショッピング認証サービスにデバイス認証機能を導入したと発表した。
デバイス認証とは、クレジットカード利用者がネットショッピング時に使用するスマートフォンやパソコン等のデバイス情報と、クレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインかつリアルタイムで判定する手法となる。ネットショッピング認証サービスでのデバイス認証の導入は、国内では初となるそうだ。
クレジットカード取引における不正使用の手法は多様化・高度化している。日本国内のクレジットカード発行会社全体の不正使用被害は 2014年以降増加傾向にあり、特に 2017年は、昨年対比倍増している。中でも、インターネット取引におけるなりすまし等による不正使用は全体の 7割以上を占め、対策が急務となっている。
そこで三井住友カードでは、会員すべてのネットショッピング認証サービスでのクレジットカード決済時に、デバイス認証に必要となる情報を取得し、取得した情報と決済情報を用いて不正判定を行うことで、高い安全性の確保に努めるという。
ネットショッピング認証サービスは、2019年初頭より、デバイス認証の概念を標準装備する次期バージョンへ世界的に移行する計画となっている。三井住友カードにおける取り組みは、次期バージョン移行を見据えた先行導入として、不正使用の検知精度向上と運用管理ノウハウを蓄積することにより、利用者へより安心・安全な利用環境の提供を進めるそうだ。
2017年11月15日21:13
ネットムーブは、国内で初めてペイメントカード業界のセキュリティ標準化協議団体である「PCI SSC」が定める「PCI P2PE ソリューション」および「PCI P2PE コンポーネント」のプロバイダ認定を同時に取得したと発表した。取得日は2017年10月31日となる。
ネットムーブでは、「SaAT ポケレジ」でPCI P2PE ソリューションプロバイダ認定を取得。「SaAT ポケレジ」は、フルマネージド型のEMV決済ソリューションとなる。「SaAT マネージドターミナルサービス」は、PCI P2PE コンポーネントプロバイダ認定を取得。これは、リモートキーインジェクションを含めた決済端末の管理ソリューションとなる。
これらのサービスには英国の決済端末ベンダーであるMiura Systems Ltd(ミウラシステムズ)の端末が利用されている。
なお、PCI P2PEは経産省より公示された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(「実行計画2017」)」においても、対面加盟店向けのカード情報非保持化措置として例示された有効なセキュリティ対策のソリューションとなっている。
2017年11月20日9:30
主催:マクニカネットワークス
非対面加盟店のカード情報非保持化またはPCIDSS準拠の期限が来年3月に迫っています。
また、来年6月には改正割賦販売法が施行されることになり、クレジットカード加盟店は情報漏えいや不正利用被害を低減すべく、早急にセキュリティ対策を講じる必要があります。
しかし、そうした状況の中、まだまだ対応が進んでいない加盟店も多いのではないでしょうか。
本セミナーでは、実行計画2017やPCIDSS準拠・非保持化について最新動向を解説するとともに、効率よくPCI DSS準拠・維持するにはどうすれば良いのか、実際に進める上での問題点や苦悩は何か、さらにはどう維持していけば良いのかなど、事例も交えながら対応方法を徹底解説します。
また、弊社の提供するPCI P2PEソリューション、非保持化ソリューションを通じて、ご検討中のお客様に導入のポイントや実施していただく運用についてもご紹介します。
この機会に是非ご参加ください!
| 開催日 | 2017年 12月13日(水) 13:30~17:00(受付開始 13:00~) |
|---|---|
| 会場 | AP品川 10階 会議室A+B+C 〒108-0074 東京都港区高輪3-25-23 京急第2ビル10F -「品川駅」より徒歩3分 |
| 内容 |
◇13時30分~14時15分 【基調講演】求められるクレジットカード情報保護
fjコンサルティング株式会社 代表取締役 CEO 瀬田 陽介氏 瀬田陽介氏プロフィール・・・2007年よりPCI DSSのQSAやクレジットカード専門のフォレンジック調査機関に所属、2013年にfjコンサルティング(株)を設立し、代表となる。PCI DSS/P2PEなどのPCI基準やモバイルペイメント関連のコンサルティング、執筆、講演などを手掛けている。 ◇14時15分~15時00分 【事例講演】POS加盟店向けクレジットカードセキュリティ対策のご紹介 当セッションでは、国内でいち早くPCIP2PE認定を取得したネットムーブ社が、PCIP2PE認定を取得した際のプロセスや実体験を交えながら、POS加盟店向けのセキュリティ対策である「IC化」「非保持化」について可能な限りコストや時間をセーブするためのアプローチ方法をご紹介します。 ネットムーブ株式会社 シニアプロダクトマネージャ 高田 理己氏 ◇15時00分~15時15分 休憩 ◇15時15分~16時00分 “カード情報非保持化”実現ソリューションのご紹介 カード情報取扱い事業者様におけるカード情報の漏えいリスク低減策として、PCI Point to Point Encryption(DUKPT)、非保持化(トークナイゼーション)が注目されています。 マクニカネットワークス株式会社 技術統括部 第2技術部 部長 高橋 峻氏 ◇16時00分~16時45分 【特別講演】“カード情報非保持” “PCIDSS準拠”への具体的アプローチとは
BSI Professional Services Japan 株式会社 事業開発責任者 武藤 敏弘氏 武藤 敏弘氏プロフィール・・・長年システムインテグレーター、SIベンダーに従事。2003年4月にBSIグループジャパンに入社。ISO27001、ISO2000等IT関連のISO営業を担当。2005年よりPCI DSS(当時のVISA AIS)に従事し国内の立ち上げに従事。2009年4月に日本カード情報セキュリティ協議会立ち上げ、設立時より運営委員長として活動。経済産業省、日本クレジット協会の要請により実行計画策定、関連ワーキンググループ等に参加。現在に至る。 ◇16時45分~17時00分 質疑応答 ※プログラムは、予告なく変更される可能性がございます。予めご了承ください。最新情報は、マクニカネットワークのWebページをご確認ください。 |
| 定員 |
100名 |
| 参加費 | 無料(事前登録制) |
| 対象 |
・クレジットカード事業者、加盟店、通信販売企業・決済代行企業・サービスプロバイダ・コールセンター事業者 等 |
| 対象 |
|
| 主催 | マクニカネットワークス株式会社 |
※お申し込みはマクニカネットワークスのウェブサイトから(主催者ページに移動します)
2017年11月22日7:30
アグレックスは、保険会社のダイレクトマーケティングにおけるクレジットカード情報の非保持化を実現する「非保持化 BPO プラットフォーム for 保険ダイレクトマーケティング」を 2018年6月提供開始に向け、営業活動を開始すると発表した。同サービスは、提供に先駆けて3社の大手損害保険会社への導入が内定しているそうだ。
「非保持化 BPO プラットフォーム for 保険ダイレクトマーケティング」は、新たに構築した「非保持化 BPO プラットフォーム」と、アグレックスが従来から提供している、クレジットカード会員の情報を活用し、ダイレクトメールを使って保険加入募集を行うダイレクトマーケティングにおける一連 BPO 業務(ダイレクトメールの印字・発送から保険契約の管理、請求、保全など)を組み合わせて提供することで、「カード情報の非保持化」「PCIDSSへの準拠」に対応しながら保険商品のダイレクトマーケティングを実現するサービスであるという。
「非保持化 BPO プラットフォーム for 保険ダイレクトマーケティング」を活用することで、保険会社は「カード情報の非保持化」「PCIDSSへの準拠」に対応するシステム開発・運用や社内の業務整備・監査対応 などを自社負担することなく、保険商品のダイレクトマーケティングを実施・継続することが可能だ。
2017年11月22日8:00
「PCI P2PE ソリューション」「PCI P2PE コンポーネント」のプロバイダ認定を取得
ネットムーブは、国内で初めてペイメントカード業界のセキュリティ標準化協議団体である「PCI SSC」が定める「PCI P2PE ソリューション」および「PCI P2PE コンポーネント」のプロバイダ認定を同時に取得した。
ネットムーブの「SaAT ポケレジ」は、EMV接触および非接触、磁気対応のカードリーダ(Miura Systems:ミウラシステムズ)で、スマートフォンにクレジットカード番号が残らないセキュアな決済ソリューションを提供している。すでに接触は、Visa、Mastercard、JCB、American Express、Dinersの国際5ブランド、非接触はVisa、Mastercardの認定を取得している。
右がネットムーブ シニアプロダクトマネージャ 高田 理己氏
同社では、国内でもいち早く、PCI P2PE(Point To Point Encryption)のPCI P2PE ソリューションプロバイダ、およびコンポーネントプロバイダの認定を取得した。具体的には、フルマネージド型のEMV決済ソリューションである「SaAT ポケレジ」がPCI P2PE ソリューションプロバイダ認定、リモートキーインジェクションを含めた決済端末の管理ソリューション「SaAT マネージドターミナルサービス」がPCI P2PE コンポーネントプロバイダ認定を取得している。
P2PEソリューションは、加盟店とPCI DSS認定の決済センター間においてポイント・ツー・ポイントでカード情報を暗号化するソリューションだ。ネットムーブ シニアプロダクトマネージャ 高田 理己氏は、「鍵で暗号化するのが規格の趣旨となり、単に平文を固定鍵で暗号化するのではなく、定められた手法通りに鍵を管理して、マネジメントする必要があります」と話す。
P2PEソリューションは、暗号化端末アプリ管理(ドメイン1)、暗号化アプリセキュリティ(ドメイン2)、P2PEソリューション管理(ドメイン3)、加盟店管理ソリューション(ドメイン4)、復号化環境(ドメイン5)、鍵管理運用全般(ドメイン6)の6つのドメインに分かれて形成されている。このうち、加盟店管理ソリューションは、カード情報を伝送・処理・保存している加盟店が自らP2PEを取得するときに必要となる。
「鍵のマネジメントはミウラシステムズ社が認証局を提供しています。認証局の運用もコンポーネントとして取得していて、弊社は鍵をインジェクションするサービスをアウトソースしていますが、ここをコンポーネントとして取得しました。お客様はミウラシステムズと弊社のアウトソースサービスを使うと、P2PEソリューションに準拠したサービスの利用が可能です」(高田氏)
準拠に向けては、ドメイン5の複合化環境においては、Gemalto(ジェムアルト)のPCI-HSM準拠のHSM(Hardware Security Module)を使用していることはプラスとなった。ただ、初期鍵を暗号化するための鍵長などの細かい改修がHSMやアプリに求められた。
また、ドメイン6の「鍵管理運用全般」のリモート管理では、通常のスマートフォン決済端末の多くは、工場出荷の前にセキュリティルームでIPEK(初期キー)のインジェクションを行っているが、ミウラシステムズの端末は、筐体自体がDUKPT(Derive Unique Key Per Transaction)の鍵をリモートで取りに行くことが可能な点もスムーズな取得につながった。ただし、端末の受け入れ、検品プロセスの厳正化や端末保管場所の施錠鍵管理をデュアルコントロール化するために2つ以上鍵を取り付け、なおかつ証跡も残さなければいけないなど、配送設備もより厳重にする必要があったそうだ。
なお、ミウラシステムズは暗号化端末アプリセキュリティをコンポーネントとして取得しているため、ネットムーブ自身の認定作業は不要となった。
「JAPAN IT WEEK2017」のモバイル活用展ではジェムアルトのリングで支払いデモを実施
ネットムーブでは、2017年2月に、P2PE-QSA(P2PEの審査機関)の予備審査を実施。その際の指摘事項を修正し、オンサイト監査、ならびに文書のファイナライズを7月に行い、10月31日に認定取得に至った。
P2PE-QSAは、選別の結果、FOREFENIX(フォージェニックス)という英国の審査会社に依頼した。その理由として、「国内の会社も含めて検討しましたが、日本では認定実績がなく、PCI SSCとのやり取りもノウハウが求められるためです」と高田氏は説明する。また、ミウラシステムズがPCI P2PEコンポーネントプロバイダ認定を取得した際もフォージェニックスの審査を受けたことも大きかった。
高田氏は、「監査会社選定時にP2PE-QSAの審査員はグローバルで30名ほどでしたが、フォージェニックスには当時6名のQSAが名を連ねていたこと、またP2PE認定の3~4割の審査を行っているようにノウハウが豊富な点もありました」と話す。現状、日本では数社が審査機関に名を連ねているが、暗号化アプリセキュリティも含めて審査できるのは1社のみであり、また、コストも高いと言われている。
「P2PEの審査におけるPCI DSS基準との違いは、P2PE-QSAが提出した文書をPCI SSCが最終的に監査する点です。ドキュメントに関する細かい指摘など、PCI SSCとの攻防戦になれていることも大きかったため、スムーズに準拠できました」(高田氏)
なお、審査費用に関しては、「フォージェニックスの経験値もあったため、想定よりも抑えることができました」と高田氏は笑顔を見せる。ただし、PCI DSSの審査などに比べると、コストは数倍の割高となった。
すでに、ネットムーブでは、「SaAT ポケレジ」では数千台、決済代行事業者やmPOS事業者にOEM提供している台数も含めると、数万台の実績がある。ミウラシステムズではハイエンド向けの端末も提供予定としているため、大型店も含めてサービスを提供していきたいとした。また、P2PEソリューションは、経済産業省などが主導する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」においても、対面加盟店向けのカード情報非保持化措置として例示された有効なセキュリティ対策のソリューションとなっており、カード会社経由の引き合いも増えているそうだ。
現状、Dinersのモバイル端末のブランド認定のクライテリアは、P2PEもしくはそれ相当の運用ができているかが求められており、「将来的には他ブランドも含めてスタンダードになる可能性がある」と高田氏は話す。その意味でも、「今後は他のソリューションプロバイダも追随してきてほしいです」と同氏は語った。
2018年6月に予定される割賦販売法の施行とそれに伴い、加盟店やカード会社を含むサービス事業者に求められるカード情報保護対策について解説します
実行計画や改正割賦販売法の施行に向けて、実際にどうすれば良いか分からないという加盟店様の声をよく聞きます。本セッションでは、様々な企業を支援してきた経験してきた武藤氏が、効率よくPCI DSS準拠するにはどうすれば良いのか、実際進める上での問題点や苦悩は何か、さらにはどう維持していけば良いのかなど、具体的アプローチをご紹介いたします。
