2018年4月20日8:00

ビザ・ワールドワイド・ジャパン（Visa）は、2018年4月18日に記者説明会を開催し、2020年に向けたキャッシュレス化の戦略、イノベーションおよび決済の将来像について説明した。2018年は、Visa設立60周年、株式公開10周年の節目の年となる。Visaでは、2020年に向けて加速する「キャッシュレス化」を牽引するべく、新ブランディングキャンペーン「NEW NORMAL（ニューノーマル）」～支払いの進化で、明日の当たり前を作る～を開始。当日は、オリンピックに向けて努力する選手を応援するTeam Visaアスリートとなる「Team Visa」メンバーを代表して、東京2020オリンピックの新種目となるBMXの中村輪夢選手も登場し、トークやパフォーマンスを披露した。

左からビザ・ワールドワイド・ジャパン 代表取締役社長 安渕聖司氏とBMXの中村輪夢選手

会社設立60周年、株式上場後10年の節目の年に
新ブランディングキャンペーン「NEW NORMAL」展開

Visaは、1958年にカリフォルニアで設立。2018年は会社設立から60周年、ニューヨーク証券取引所に上場後10年の節目の年となる。Visaは、60年の歴史の中で、未来を予測し、ペイメントイノベーションを推し進めてきたが、「これからの数年は、10年以上の変化が起こり、デジタル化がキャッシュレス化の未来につながります」と、ビザ・ワールドワイド・ジャパン 代表取締役社長 安渕聖司氏は話す。

Visaでは現在、新ブランディングキャンペーン「NEW NORMAL（ニューノーマル）」～支払いの進化で、明日の当たり前を作る～を展開している。「New Normal」は、これまでの常識や既成概念に捉われず、賢く柔軟に対応して、チャレンジする人々に寄り添い、支払いの世界の明日の当たり前を作っていくという想いが込められている。

また、同日には、東京2020オリンピックに向け、五十嵐 カノア選手（サーフィン）、瀬戸 大也選手（競泳）、中村 輪夢選手（BMX）がTeam Visaアスリートの最初のメンバーとなったことを発表した。Visaでは、これまで400名以上のアスリートを支援しており、選手のオリンピックに向けての夢の実現を後押ししている。今後は、東京五輪の開催に向け、幅広い競技種目、多様なバックグラウンドから構成されるアスリートを拡大していきたいとした。

会場ではリオデジャネイロや平昌の五輪等で展開されたデバイスを紹介。カード以外の形状で非接触決済（タッチ決済）が可能だ

2017年のVisaデビットは前年から40％取扱高が伸長
タッチ決済を推進、モバイルやウェアラブルなども活用

Visaでは、2020年に向け、①国内のキャッシュレス化のさらなる推進、②イノベーションの推進、③加盟店にとっての利便性、安全性、将来性の高い決済の提供――を目指す方針だ。

Visaの調査によると、5,000円以下の少額決済の実に91％が現金決済であるという。これを解決できる手段として、VisaデビットやVisaの非接触決済（タッチ決済、海外ではVisa payWave）が欠かせないとした。

Visaデビットは現在、21行が発行・展開している。昨年までの取り扱いをみると、年平均70％の高比率で成長。また、2016年と2017年を比較すると、単年度で40％取扱高が伸長した。安渕氏は「銀行のキャッシュカードに標準装備して発行される金融機関が増えています」と成果を口にする。

Visaデビットの日本での成長率

Visaデビットの発行イシュア

一方、タッチ決済は、クレジット、デビット、プリペイドのすべてに搭載可能であり、国内の発行金融機関は現在12行となる（発行予定のジャパンネット銀行含む）。加盟店の対応も順次拡大しており、マクドナルド、TSUTAYA、表参道ヒルズなどで利用可能だ。イオングループでもグループ内各社合計10万台を対象に導入を予定する。さらに、昨年は旅行会社のJTBと提携する宿泊施設、土産物屋での利用が可能となった。

Visaの非接触決済対応カードのイシュア

Visaの非接触決済の対応加盟店

今後も日常利用加盟店、旅行・外食店舗での導入を強化していく方針だ。また、モバイルやウェアラブルなどホームファクターの多様化にも取り組む。日本では、GARMIN（ガーミン）からウェアラブル製品が出る予定。

トークンテクノロジの活用でデジタルペイメント強化
「Visa Everywhere Initiative」は日本での展開も見据える

デジタル化の推進では、トークンテクノロジの活用を促す。トークン化により、カード番号と紐付いたデジタル番号を発行させることが可能だ。これにより、個人や企業、インターネットにつながるデバイスに安心・安全なデジタルペイメントを提供することができる。また、Peer to Peerの個人間の送金、デビットカードを活用した送金、割り勘アプリ、企業から個人などへの支払いなど、利便性の高い決済体験を提供できるとした。

ビザ・ワールドワイド・ジャパン デジタル・ソリューション＆ ディプロイメント 部長 鈴木章五氏は、「トークン化により、このお店でしか使えない、１度のみ、金額の制限などをつけることができます。ネット加盟店で漏えい事件があった場合、他のお店で使えないような属性番号を付けることも可能です」とした。

ビザ・ワールドワイド・ジャパン デジタル・ソリューション＆ ディプロイメント 部長 鈴木章五氏

テクノロジの推進に向けては、世界5 大陸、40カ国以上で展開しているグローバルなイノベーションプログラム「Visa Everywhere Initiative」の役割も大きい。これは、将来のビジネス課題の解決、商品提案の強化、Visaの巨大なパートナーネットワークへの先見的解決策の提案という3つのチャレンジをスタートアップ企業に呼びかけるもので、日本での開始も予定する。

また、「Visaデベロッパープラットフォーム」では、APIとSDK（ソフトウェアデベロッパーキット）などのVisaテクノロジへのアクセスが可能になっており、スタートアップは新たな決済サービスを生み出すことが可能だ。

セキュリティについては、トークナイゼーションの推進に加え、本人確認のさらなる強化も重要となる。指紋や虹彩といったバイオメトリクス、音声認識、購入パターンなどから本人確認を行う方法も研究している。また、本人認証技術「3-Dセキュア」の次期バージョンである2.0の推進も他ブランドと協力して行っている。

Visaでは、近い将来、ヒトに加え、あらゆるデバイスがインターネットに接続するIoT（Internet of Things：モノのインターネット）の世界が訪れ、決済のあり方が変わる可能性があるため、イノベーションの進化を続け、明日の当たり前を作っていきたいとした。

2018年4月23日13:57

決済処理事業者のゼウスは、PCI DSS準拠を促進するクラウドサービス「PCI DSS Ready Cloud」「Cloud Token for Payment Card」および「BIZTELコールセンター PCI DSS」を展開するリンクと提携し、電話・はがき・FAX等で注文を受け付けてクレジットカード決済を行うEC・通販事業者向けに、リンクが提供するカード情報非保持化サービス「Pay TG」の提供を2018年5月より開始すると発表した。

「Pay TG」のサービスイメージ（ゼウス）

2018年6月1日に施行される「割賦販売法の一部を改正する法律（改正割賦販売法）」では、クレジットカードを取り扱う事業者に対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられており、その実務指針としてクレジット取引セキュリティ対策協議会より「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画（実行計画）」が公表されている。

2018年3月1日に改訂された「実行計画2018」では、電話・はがき・FAX等で注文を受け付けるEC・通販事業者様におけるクレジットカード情報の非保持化または非保持と同等・相当を実現するセキュリティ措置として、セキュリティ要件を満たした決済専用端末やタブレット端末を活用した外回り決済方式の導入、および非保持と同等・相当としてPCI-P2PE認定ソリューションを採用した内回り決済方式の導入が記載されている。

ゼウスでは、セキュリティ要件を満たした専用タブレット端末を活用し、クレジットカード情報の非保持化を実現する「タブレット端末レンタルサービス」を2018年2月より提供しているが、これに加えて、現在の運用を大きく変更することなくクレジットカード情報の非保持化を実現する「Pay TG」を提供することになったという。

これにより、電話・はがき・FAX等で注文を受け付けるEC・通販事業者では、運用体制に応じた非保持化サービスを導入することが可能となる。

2018年4月25日8:28

ジェムアルトは2018年4月24日、インテルの技術を使って計画・展開されている新世代のクラウドベース仮想化ネットワークにおけるサイバー攻撃からの防御を強化すると発表した。

同イニシアチブでは、インテルソフトウェア・ガード・エクステンション（インテル SGX）の「エンクレーブ」（同社のクラウドサーバーCPUの中で展開）をジェムアルトのSafeNet Data Protection On Demandセキュリティソフトウェアサービスと組み合わせ、仮想化ネットワークに信頼できるプロセッサレベルのセキュリティソリューションを提供する。

物理的なネットワークの機能がクラウドに移行することで悪意のある勢力が「攻撃可能な側面」が増加しているので、モバイル業界の課題の1つは、認証情報を保護し、秘密性を守り、このような新しい仮想化ネットワーク機能の健全性を確保することとなる。この統合的ソリューションは、ネットワークスライス中にある仮想機能と仮想アプリケーションが保護および隔離されるようにすることで、コアネットワークからマルチアクセスエッジネットワークまで、仮想化ネットワークのセキュリティを確保するという。

2018年4月25日9:56

BSIグループジャパンは、 富士通エフ・アイ・ピー（富士通FIP）に対し、ペイメントカードの国際セキュリティ基準である「PCI DSS」の準拠を確認し、「FUJITSU セキュリティソリューション PCI DSSセキュリティコントロールサービス」で認証したと発表した。監査完了日は、2018年3月15日となる。 

左から、 富士通エフ・アイ・ピー 取締役 ソリューションビジネス本部 副本部長小高 信人氏、 同社 取締役 ソリューションビジネス本部 本部長 川幡 和利氏、 BSIグループジャパン 代表取締役社長 根本 英雄氏

富士通FIPでは、PCI DSS認証取得を目指す同社ユーザーにおいては、サービスプロバイダ選定基準として提供されるサービスが認証を受けていることは必須であると考えたそうだ。また、ユーザーがセキュリティ関連サービスを選定する際に、同社のPCI DSSセキュリティコントロールサービスがセキュアなサービスとして第三者認証を取得済みであることは重要なアピールポイントになることを見込んで今回の認証取得に取り組んだという。

同サービスは、クラウドサービスだが、各社のセキュリティをどのように担保していくかについて、工夫と考慮を重ねた。また、サービス提供を考えた場合、PCI DSS要件を満たすサービスレベルをどう設定するか非常に悩んだという。同サービスを利用してもらうことにより、ユーザーが独自で同様の機能を構築し、運用するよりも、短期間での導入と運用負荷の低減を実現できたことが成果と考えているそうだ。

富士通FIPでは、認定セキュリティ評価機関（QSA）にBSIジャパンを選だ理由として、QSAとしての審査実績や、これまでの審査の受審での担当者の評価などを挙げている。

2018年5月8日8:00

2018年6月1日に施行される改正割賦販売法では、クレジットカード加盟店での不正対策が義務化される。クレジット取引セキュリティ協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正使用対策を講じることが求められる。また、加盟店では、カード情報の漏えい防止対策として、カード情報の非保持化、もしくはカード番号等を保持する場合、ペイメントカード情報の国際セキュリティ基準であるPCI DSSに準拠する必要がある。

さらに、2020年に向け、リアルの加盟店では磁気カードによる偽造防止対策として、ICカード対応端末の設置が進められている。さらに、メールオーダー/テレフォンオーダー（電話、FAX、ハガキでの注文）などの通販加盟店、わが国固有の商慣習を踏まえた特殊なオペレーションが求められる石油業界、PCI PTS準拠が難しいオートローディング式を含む自動販売機など、各業界の運用に沿った具体的な指針もとりまとめられている。さらに、POS取引では、接触に加え、EMV規格に準拠したEMV ICの同時導入を志向するニーズも高まると予想される。

非対面取引をみると、カードを提示しないCNP（Card Not Presets）のEC加盟店は、なりすましによる不正使用対策を防止するため、本人認証のさらなる強化、不正な取引のモニタリングの実施など、多面的・重層的な取り組みが重要だ。実行計画では、不正利用防止のための４方策（本人認証、券面認証、属性行動分析、配送先情報）をベースに、加盟店のリスクや不正被害発生状況等に応じた対策が必要であるとしている。

ペイメントナビおよびペイメントワールド編集部では、2018年3月2日に、「ペイメントカード・セキュリティフォーラム2018」を開催。今回は、同セミナーの内容をはじめ、PCI DSSやP2PEの準拠事例、通販や石油などの業界動向を中心に、国内でのセキュリティ強化の取り組みなどについて紹介する。

■PCI DSS準拠事例、P2PE準拠事例、国際ブランド、セキュリティの業界動向、関連企業の取り組みなどを紹介する予定です。ペイメントナビメールマガジン読者の方には先行配信を実施予定です。ぜひ、ご登録をお願いします（登録サイト）。

2018年5月8日16:22

ゼウスは、電話放送局と提携し、ゼウス決済サービスを利用する加盟店向けに電話放送局が提供する「IVR決済サービス」の提供を2018年5月8日より開始すると発表した。

「IVR決済サービス」を利用したクレジットカード決済イメージ（ゼウス）

2018年6月1日に施行される「割賦販売法の一部を改正する法律（改正割賦販売法）」では、クレジットカードを取り扱う事業者に対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられており、その実務指針としてクレジット取引セキュリティ対策協議会より「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画（実行計画）」が公表されている。

ゼウスでは、電話・はがき・FAX等で注文を受け付けるEC・通販事業者向けに、セキュリティ要件を満たした専用タブレット端末を活用し、クレジットカード情報の非保持化を実現する「タブレット端末レンタルサービス」や「Pay TG」を提供しているが、これに加えて、PCI DSSに準拠した電話放送局とシステム連携することにより、コールセンターで電話注文を受け付けるEC・通販事業者向けにクレジットカード情報の非保持化を実現する「IVR決済サービス」を提供することとなった。

「IVR決済サービス」は、コールセンターで電話注文を受け付け時に、クレジットカードでの支払いを希望する人に対してオペレーターがIVR（自動音声応答システム）に通話を転送し、音声ガイダンスに沿って利用者がクレジットカード情報を入力することで、支払い手続きが完了するサービスとなる。

セキュリティの観点から口頭でクレジットカード番号を伝えることに不安を感じる人でも、郵便や宅配の再配達等で日常的に利用されているIVRにより、利用者自身がクレジットカード情報を入力するため、安心してクレジットカード決済を行うことができるという。

また、事業者が同サービスを利用することで、利用者のクレジットカード情報を「保持」「処理」「通過」することなく決済を行うことが可能となるため、クレジットカード情報の非保持化が実現可能だ。

2018年5月9日7:17

書籍「カード決済セキュリティPCI DSSガイドブック」予約開始
対面、非対面、MO/TOのセキュリティ対策を徹底網羅
PCI基準の要件解説、準拠事例も紹介

2018年6月の改正割賦販売法の公布により、クレジットカードを取り扱う加盟店では、カード番号等の適切な管理や不正使用対策を講じることが義務づけられることになる。加盟店では、カード情報の漏えい防止対策として、カード情報の非保持化、もしくはカード番号等を保持する場合、ペイメントカード情報の国際セキュリティ基準であるPCI DSSに準拠することが求められる。

※画像は表紙イメージです

また、2020年に向け、加盟店では磁気カードによる偽造防止対策としてICカード対応端末の設置が必要となる。さらに、メールオーダー/テレフォンオーダー（電話、FAX、ハガキでの注文）などの加盟店の対応に関する具体案も定義された。

カードを提示しないCNP（Card Not Presets）のEC加盟店は、なりすましによる不正使用対策を防止するため、本人認証のさらなる強化、不正な取引のモニタリングの実施など、多面的・重層的な取り組みが重要となる。

本書では、国内のさまざまなプレイヤーが参加する「クレジット取引セキュリティ対策協議会」が策定し、年度ごとに更新されている「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の概要、各業界（石油、通販など）の取り組み、PCI各基準（PCI DSS,P2PE,PCI PTS）の解説、PCI準拠事例などを紹介する。

加盟店に加え、カード会社、決済処理事業者、セキュリティ関連企業など、決済にかかわるすべてのプレイヤーの参考になる内容を目指した本書の発行が、2020年に向けたセキュリティ強化の指針となれば幸いである。

■書籍概要
●発行：TIプランニング
●出版予定日：2018年6月末発行を予定（発行日は変更の可能性がございます）
○編集：ペイメントナビ編集部
○ページ数　調整中
●販売：税込2,160円（2,000円＋税）（当面の間、送料は無料で提供します）

ペイメントナビ編集部特別特典・・・2018年6月末まで弊社Webサイトからの予約で電子版をプレゼント
※電子版無料サービスはカード情報ポータルサイト「ペイメントナビ」のウェブサイトからお申し込みいただいた方限定のお申込み特典となります。ご了承ください。

※クレジットカード（Visa、MasterCard、JCB、American Express、Diners）および銀行振り込みが可能です。個人の方からのお申込みは、クレジットカードのみとさせていただきます。

■初めて弊社と取引を行う企業のお客様
お申込みを確認後、当社からご請求書をお送りいたします。書籍が完成次第、ご請求書をお送りします。入金確認後、当社より書籍を発送いたします。

主な内容（予定）
・クレジット取引セキュリティ対策協議会の実行計画のポイント
・石油、通販業界などの取り組み
・カード会社の取り組み
・EMV ICカード化の状況
・PCI DSS準拠に向けた担当者インタビュー
・内部監査人（ISA）とは？
・P2PE準拠に向けた担当者インタビュー
・PCI P2PE基準のポイント
・PCI PTSのポイント
・3-Dセキュア2.0のポイント
・デバイス認証導入の成果
・海外の不正使用の状況
・多機能カード動向
など….
※詳細な内容は後日紹介します。また、内容は変更の可能性もございます。ご了承ください。

2018年5月9日18:00

かっことインターファクトリーは、インターファクトリーの提供するクラウド EC プラットフォーム「ebisumart」向けの不正注文検知機能を開発し、オプション機能として2018年5月9日より提供開始すると発表した。

不正検知オプションは、注文内容や配送先等を注文確定段階で審査し、リスクに応じて OK・Review・NG の結果を理由とともに戻すサービスとなる。なお審査結果は注文ごとに送るため、注文時に利用者を待たせたり、発送タイミングに影響したりすることはないという。

2018年6月1日には改正割賦販売法が施行され、EC事業者での不正対策が義務化される。一方、不正に対する取組を新たに始めるハードルも高く、簡易に取り組める仕組みがEC事業者からは求められていたという。

これまでかっこでは、不正検知サービスを1万以上のサイトに提供してきたが、利用加盟店全体で共有しているネガティブ情報を始めとするさまざまなデータベースマッチングや、ビッグデータ解析による属性・行動分析による検知で、不正注文による損失を未然に防止してきたとしている。

一方、インターファクトリーでは、クラウド EC プラットフォーム「ebisumart」を提供しており、業界業種を問わず450以上のサイト構築・リニューアルで活用されている。

今回、両社共同で開発した「ebisumart」用不正検知オプションの提供開始により、「ebisumart」利用事業者は開発負担なく不正検知サービスが導入可能となり、6月に施行される改正割賦販売法に記載されている不正対策の義務化にも対応できるとしている。

2018年5月9日18:00

アークンは、 現在販売中の法人ユーザ向けエンドポイントセキュリティ製品・サービス「Ahkun EX AntiMalware」の後継版として、「EX AntiMalware v7」を2018年5月16日より販売開始すると発表した。

エンドポイントマルウェア対策「EX AntiMalware v7」（アークン）

「EX AntiMalware v7」は、Ahkun EX AntiMalware の全機能を踏襲するとともに、マルウェア対策ポリシーの設定、未知マルウェアの挙動監視、コンプライアンスリスクを排除するグレーツール対策の強化、専門的な知識を有さない管理者であっても設計・運用が容易なユーザインターフェイスを提供するとしている。

また、段階的なバージョンアップにて、ペイメントカード情報の国際基準である「PCI DSS (Payment Card Industry Data Security Standard) 」の「要件5: すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する」への完全対応を計画することで、クレジットカード情報を取り扱う企業に対応している。

具体的には、マルウェア対策を提供するアークンの EX AntiMalware v7 オリジンダウンロードサーバ・ユーザの管理サーバ間・クライアント間は、 全ての通信プロトコルをSSLで暗号化する。また、ユーザ管理者向けに提供するブラウザベースの EX AntiMalware v7 Manager には、管理者によるログ改ざんを未然に防ぐPDFレポート作成機能を実装するとともに、マルウェアの被害に遭ったクライアントPCのセキュリティ監査証跡をオンデマンドで情報収集する機能を提供するという。 

さらに、物理的にマルウェアの侵入による影響が無いと考えられるシステムでは、EX AntiMalware v7 クライアントプログラムを最小実行モードで動作させ、該当システムの負荷を最小限に抑えるとともに、柔軟なセキュリティポリシーによる定期的な評価を行う機能を提供するそうだ。

2018年5月10日8:00

■APS（日本代理店：日本パーソナルセキュリティー株式会社）

APS カードは、セキュリティに特化し、安全なカードとなります。APS社の地元であるルクセンブルクでは、複数の銀行がAPS CARDを発行しています。日本では、2018年3月末までPSSが代理店業務を行っていましたが、4月からは日本パーソナルセキュリティーがAPSカードの取り扱いに関してすべての業務を行っています。今回は、APS A.S. Executive Director Hunz Lee氏より、APSカードの概要について紹介します。

APS A.S. Executive Director Hunz Lee氏

利便性と汎用性を軸としてセキュリティを追求
カードのデータは常にCPUで隠され、DynamicCVC番号を表示

現在の決済業界の変革として、世の中では急速にキャッシュレス化に進んでいます。シンガポール・オランダ・フランス・スウェーデン・カナダ・ベルギー・イギリスなどでは支払いの70％以上が現金なしで行われ、キャッシュレス比率は毎年増加しています。その理由は紙幣やコインを扱うということの非効率性と高いコストの問題です。日本ではこれらの管理費用が年間で8兆円にのぼります。

APS A.S. Executive Director Hunz Lee氏

統計によれば毎年25億枚のカードが発行され、世界中で136億枚のカードが利用されています。ここでの問題は詐欺被害です。2006年にはさまざまな詐欺によって163億ドルが失われました。モバイル決済における詐欺被害は2021年までに3倍にもなると予想されています。ご提示した統計はカードとモバイルの支払いが毎年増えている反面、現金での使用が減少していることと、カードの不正決済の額の増加を示しています。

この問題を解決するためにセキュリティ搭載カードが2010年から開発され、2015年に初めて導入されました。Oberthur社（現IDEMIA）が開発し、フランスのSOCIETE GENERALE銀行が採用したDynamicCVC/CVVカードです。このカードの表面は従来のカードと同じですが、カード背面にあるCVV番号が数分ごとに毎回変更され、Card Not Present決済（CNP決済）で高いセキュリティを提供しています。

しかし、すべてのカード番号が公開されているので、カード決済の時のセキュリティ性は依然として疑問です。それでもこのカードはかなり成功したと言えます。SOCIETE GENERALE銀行では、発行開始以来1年半で、年間15万枚のカードを12ユーロの追加レンタル料金（年間レンタル）で提供しました。これはセキュリティに対するエンドユーザーの懸念が高いことを示しています。

また、三井住友カードは今年1月、米国・ラスベガスで開催された「CES2018」でキーパット内蔵型カードを発表しました。このカードは対面のCP決済で高いセキュリティを提供していますが、カードを提示しないCNP決済についてはまだ考慮していません。発売日や価格も未定です。

カードとモバイル決済が増加する中で、最も重要なことはセキュリティです。APSカードは常に利便性と汎用性を軸としてセキュリティを追求しています。APSカードには画面があり、カードのデータは常にCPUで隠され、DynamicCVC番号を表示します。さらにこのカードはプリペイドカードの場合、残高を表示できることにより、決済カード業界で革新的なものになれると思います。

スマートフォンと連動してカードを活性化
カード内蔵のバッテリーを充電せずに5年間使用可能

APSカードを活性化するためには、常にスマートフォンと連動する必要があります。皆さまがお持ちのカードとは異なり、このカードにはバッテリーが搭載されており、電源がOFFの場合はEMVチップとNFCを利用できません。支払いの前にカードをタップしてカードを活性化し、カードの持ち主がアプリを立ち上げたら、認証プロセスが始まります。正当な認証が行われるとカードが起動され、カード番号が画面に表示されます。それらがすべて、ほんの数秒の間に行われます。

近未来、社会が求めるカードとは？

APSカードの開発コンセプトをお伝えします。まず、既存のカード決済端末をそのまま利用できます。そしてカード内蔵のバッテリーを充電せずに5年間使用できます。したがって、クレジットカードの充電は不要です。そして、とてもお手頃な価格で提供が可能です。過去のビジネス結果から、イシュアや銀行は商品がどれだけ良くてもそれが高すぎると買わないことは証明されています。

後編へ続く

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のAPSの講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
日本パーソナルセキュリティー株式会社
東京都千代田区丸の内１－８－３ 丸の内トラストタワー本館 20 階
TEL：03-6269-3220
FAX：03-6269-3224
URL：https://www.npscard.co.jp
E-mail, contact@npscard.co.jp

2018年5月10日21:13

リードエグジビションは、2018年5月9日～11日まで、「Japan IT Week【春】」を東京ビッグサイトで開催している。同展示会は「モバイル活用展」「店舗ITソリューション展」「通販ソリューション展」「情報セキュリティ EXPO」といった、全13展の専門展から構成される日本最大級のIT専門展となる。会場では決済やカードサービス、ペイメントセキュリティなどの展示も行われていた。

エムティーアイは、2018年5月リリース予定の口座直結型スマートフォンQR決済サービス「＆Pay（アンド・ペイ）」を展示した。すでに同社は、茨城県の常陽銀行と水戸ヤクルト販売の協力のもと、常陽銀行本店の従業員を対象としたヤクルト商品の訪問販売時の支払いを、口座直結型スマートフォン決済にて行いサービスの利便性や有用性の検証を検証した。5月からは同地域での商用展開もスタートするという。また、地域通貨などへの対応も想定している。

日立ソリューションズは、ポイント管理ソリューション「PointInfinity（ポイントインフィニティ）」など、同社ソリューションを紹介した。大規模なポイントシステム構築のノウハウを活かし開発したPointInfinityは、膨大な顧客情報を統合管理することで、運用管理を効率化。また、セキュリティ強化も図れるという。

スプリームシステムは、店内動線分析・インストアマーケティング「moptar」を紹介した。2D/3Dセンサや3Dステレオカメラ等を活用し、高精度な動線を取得することで、マーケティングや安全管理等に活用できるそうだ。

テックファームは、商業施設向け販促支援IoTソリューション「Minaklu（ミナクル）」、インバウンド対応・実店舗向けセルフオーダリングシステムなどを紹介した。Minakluは、スマートフォンアプリのユーザー登録情報と、商業施設に設置したBeaconによる位置を含めた店舗情報を組み合わせて、適切なタイミングでユーザーにクーポンなどを配信可能だ。セルフオーダリングシステムは中国のモバイル決済やクレジットカード等の支払いに対応する。

三栄電機は、ブルガリアのDATECS（ダテックス）製の決済端末を紹介した。DATECSの「BluePad-50」は、iZettle（アイゼトル）やSum Up（サムアップ）といった企業にもOEM提供されている。また、モバイルPINパッド「BluePad-500」、「BluePad-55」なども展示した。

システムフォワードは、リストバンドでキャッシュレス決済が可能な「eリストバンド決済」を紹介。リストバンドのQRコードをレジなどで提示することで決済が可能だ。

セイコーインスツルは、フライトシステムコンサルティングの「Incredist Premium」やパーク２４の「Times Pay」などのスマートフォン決済ソリューションに対応したプリンタを紹介した。

スター精密は同社のプリンタを紹介。スマートフォンと連携可能なクレジットカード決済端末、生体認証サービスとの連携に加え、「putmenu（プットメニュー）」や「O:der（オーダー）」などの事前注文・決済サービスとの連携も紹介した。

富士通フロンテックは、Ingenicoの決済端末「Lane/5000」、およびFUJITSU Retail Solution TeamCAT/mini V3等を展示した。磁気、接触、非接触IC決済に対応している。また、接客しながら決済が可能なモバイルPOS「B-PAD V3」も展示。同端末は、在庫照会や注文にも対応可能だ。なお、富士通の決済サービスでは、同社センターの「CHANNEL Value決済サービス」および日本カードネットワークの「CARDNET-Cloud」に接続する。

ソニーペイメントサービスは、同社決済代行サービスを紹介した。カード情報（カード番号・有効期限）を預けることで、2回目以降の購入時はカード情報の入力が不要となる「カード情報お預かりサービス」、また専用端末を活用して電話、FAX、申込書で受け付けたカード情報の処理を安全に行うことが可能な「専用端末サービス」等をPRした。

NTTデータは、注目を集めるブロックチェーンの実装コンサルティングやPoCの実施による業務適用検討など、ビジネス支援が可能なことを紹介した。

飛天ジャパンは、顔認識AIスタッフを使って無人店舗での商品認識、決済を実現するデモを実施。消費者が棚に商品を置くと、モニターに金額を表示。消費者の顔認証を行い、認識後スマートフォンで棚に置いた商品の金額で問題がないか確認し、承認を押すと決済が行われる仕組みだ。現在、飛天ジャパンおよび連携先と開発を進めているそうだ。

アララは、個人情報保護法やPCI DSSなどへの対応が可能で、ファイルサーバ等の情報の中から、保管ルールに違反している個人情報ファイルを検出可能な個人情報ファイル管理ソリューションである「P-Pointer File Security」を展示した。同展示会では、メールセキュリティサービスである「TRIHIKO_AJ」との連携を紹介。機密情報や個人情報が含まれるメールを自動的に検知、暗号化送信することが可能だ。

マクニカネットワークスは、データの暗号化、PCIDSS準拠、決済ネットワークの安全な実装などの重要な役割を担うGemalto、Thales製のHSM（Hardware Security Module）について紹介した。

TIプランニング ペイメントナビ編集部は、さまざまな事例を凝縮したカード決済の啓蒙書「カード決済＆セキュリティの強化書2018」などの啓蒙書を配布している。

2018年5月11日7:00

■APS（日本代理店：日本パーソナルセキュリティー株式会社）

磁気情報がないためスキミング被害を防止
アクティベートしてはじめてEMV・NFCを使用可能に

APSカードのセキュリティについてですが、まず、従来のカードでは所有者の情報がすべて公開されているため、誰にでも見られてしまう可能性があります。APSカードでは、それをカバーするためにスクリーンで情報の詳細をすべて隠しているため、情報が盗まれないという利点があります。また、従来のカードではマグネティックに決済情報が書き込まれているため、スキミングで情報が盗まれてしまいますが、APSカードにはマグネティックに決済情報が入っていないためスキミングが不可能となります。近年のヨーロッパではマグネティック決済情報は使われておらず、EMVを使用しています。さらにEMVにはNFC機能が付いているため、決済端末を近づけるだけで誰でも決済ができてしまいます。しかし、APSカードはカードを活性化しなければNFCも眠っている状態ですので、決済端末が近づいても決済は不可能です。

APS Cardとは？

例えば、イギリスではサッカー場やコンサート会場などで、モバイル決済端末を近づけて「ピッ」とやることによってすぐに決済されてしまうという事例があり、2億ポンドの被害がでています。また、オンラインでの決済の場合カード番号・CVC番号など、常に同じ情報を入れているためハッキングをされてしまうのです。APSカードはダイナミックCVC対応により、オンライン決済でのハッキングを防止します。また、多くの方がBluetoothのセキュリティに関して懸念を抱いているかと思いますが、活性化する度にアルゴリズムが変わりますのでハッキングは不可能です。

APSカードのユニークな機能はセキュリティです。さらにAPSカードは常にモバイルアプリと連動しているため、アプリから取引履歴などのデータを記録し、地図上で決済場所がわかるといった機能も提供できます。そして、ワンタイムパスワードのアルゴリズムが追加されているので、認証処理でも完全に安全なセキュリティを提供しています。

APSは発行者の要求に応じたアプリをSDK (Software Development Kit＝ソフトウェア開発キット)状態で提供します。また、APSカードの耐久性ですが、通常使用で1日5回起動して5年間使えます。スナップスイッチはタップをするだけで電源が入る機能です。同じOTP（ワンタイムパスワード）アルゴリズムがカードとアプリに保存されています。

APS Cardの特徴

APSカードにトークンが追加された製品を提供
2019年にはセキュリティが100％の状態のカードをリリース

APSカードの製品ラインナップの中には、APSカードにトークンが追加された製品があります。ユーザーの選択でカード画面にOTPを表示することができます。これにより銀行はコストを削減し、消費者はいつもトークンを持ち歩かなくてはならないという負担を軽減することができます。こちらは7月発売予定です。私たちの最初のカードブランドはMastercardであり、5月に発売することを目標としています。Dot matrixディスプレイカードの発売は未定です。2019年にはセキュリティが100％の状態のカードをリリースする予定です。私たちはこの新しいコンセプトカードがクレジットカード業界において革命となることを確信しています。このカードを発売の3カ月前に発表する予定です。

Product（開発ロードマップ）

自画自賛ではありませんが、APSカードは「Most Secure Bank Card – 2018」と「Best Product – Banking Industry – 2018」の2種類の賞を受賞したように、国際的に評価されています。

APSカードの応用例として、セキュリティの高い決済カードとマイレージカードを1枚にすることが可能です。さらにプリペイドカードの場合にはマイレージだけでなく残高表記も可能になりますので、お客様サービスの向上に役立ちます。

日本では、日本パーソナルセキュリティーが販売を行っておりますので、興味がございましたらぜひお問い合わせください。

前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のAPSの講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
日本パーソナルセキュリティー株式会社
東京都千代田区丸の内１－８－３ 丸の内トラストタワー本館 20 階 
TEL：03-6269-3220
FAX：03-6269-3224
URL：https://www.npscard.co.jp
E-mail, contact@npscard.co.jp

2018年5月14日8:00

■株式会社スクデット/ジグザ株式会社

スクデットは、不正検知ソリューション「ReD Shield」、およびデバイス情報「iovation」を中心に提供する不正対策のスペシャリスト集団となります。今回は、カード決済における過去10年間の不正動向とそれに対抗する施策を振り返るとともに、最近の傾向から見る今後の不正傾向と対抗策について見通しを紹介します。また不正対策と関連が強くなっている業務自動化ロボット(RPA)について、専門家であるジグザに説明していただきます。

株式会社スクデット　代表取締役　細江啓太氏
ジグザ株式会社　代表取締役　櫛田和洋氏

スクデットは不正対策を導入するためのスペシャリスト企業

私は1999年から対面取引におけるカード会社向けの不正対策システムに関わっており、2010年には独立して決済代行会社及びオンライン店舗向け（非対面取引）の不正対策に特化した企業であるスクデットを立ち上げました。当初は早すぎると言われましたが、さまざまなご縁で日系インドネシア企業の決済代行事業の立ち上げ時に不正対策を導入することができました。

株式会社スクデット　代表取締役　細江啓太氏

現在、不正対策は主に航空会社やデパート、決済代行会社など、デバイス識別テクノロジーは大手カード会社、大手たばこ会社、運送会社などにご提供しています。1カ月で200万トランザクション以上の取引を国内でスクリーニングしており、ブラックリストを保有しています。スクデットは、そのような不正対策を導入するためのコンサルティング、サポート、チューニングなどのスペシャリストの会社と言えると思います。

今年の初め、2018年１月13日にNational Retail Federationという米国最大の実店舗・オンライン店舗用のイベントに参加しました。約600社、関係者約3万5,000人が集まるイベントですが、この中でAI、オムニチャネル、オムニチャネルに対応するアプリなど、いくつか重要なテーマがありました。また、とても重要なキーワードなのですが、巨人アマゾンに対する施策も挙げられていました。具体的には、なぜオムニチャネルなのか？ということですが、アマゾンのプレゼンス拡大とともに小売業の実店舗で顧客離れが起きるので、その中でお客様を店舗に呼ぶ施策として、オムニチャネルあるいはオンラインtoオフラインという2つの施策が非常に大事になるということです。

その内容の1つは、店舗の在庫情報をWEBで公開する、店舗が情報を提供するということ。もう１つは、2～3年前からの話として、家で買い物を行うが、実際のモノはなるべく早く欲しいということで、店舗ピックアップが米国では流行ってきたのですが、これに加えて、決済も事前に行うのが当たり前になってきています。これは単純にモノを早く欲しいというだけではなく、米国では店舗サービスが悪いので、列に並ばなくても自分のモノがあり、それをピックアップすれば帰れるといった利便性を求められているのです。加えて、アプリをダウンロードするとさまざまなプッシュ通知が来ると思いますが、とにかく店舗に来てもらうために、例えば、「明日の15時までに来店したお客様はシャンパンを10％オフにします」といったオファーが数多く来ます。すると、1本だけで済まず、4～5本買ってしまうこともあります。そうなると、オンラインで買う、オフラインで買う、対面で買う、非対面で買うという中で、決済のスタイルはあまり大事ではなくなります。決済はオンラインで済ましながら、店舗で買うこともあり得ます。その中で非常に重要な橋渡し的な役割を果たしているのがアプリです。

私のアメリカでの経験ですが、スターバックスにお客様がいきなり入ってきて、コーヒーを飲んで帰る。決済もしなければ、注文もしていない。なぜ、毎日同じ人が来て、このようなことやっているかと店員に聞いたところ、アプリから注文して、ピックアップし、決済もアプリと連携したカードで支払っているからとのことでした。

アプリコマースの普及とデバイス識別が不正対策へのキー

今までの決済は、普通にレジに並んでカードを提示し、バーコードを読み込ませたり、サインを記載したりしたのですが、これからはアプリで決済を終わらせて、そこから支払いを証明するため、QRコードを提示するようなことが当たり前になってきます。すると、カードが実際に人の目に触れる機会が減ってきますから、カード情報の漏えいは減ると思いますが、実際に現状では、カード番号の漏えいではなく、ユーザーID・パスワードを使い回すという消費者側の態度・行動が最大の問題になっているので、そこを根本的に改善しないと、不正はなかなか減らないのかなと考えています。もう1つがフィッシングです。最近のフィッシングメールは本当に巧妙にできています。あとはマルウェアによるユーザーIDとパスワードの抜き取り。加盟店サイトへのハッキングです。

ユーザーID・パスワードをWEBサイトに入力することは危険だということをユーザーは認識しなければいけません。誘導するところはブラウザではなくアプリにする。店舗のアプリまで偽造するのは難しいので、これにより自分たちを守ることになります。

ユーザーがアプリを使うと、決済情報やカード情報を入力しても保管される場所はスマホになり、加盟店のサーバに保管されるわけではありません。決済情報はダイレクトに決済会社に送られるので、個人情報やカード情報は安全です。

アプリからのアクセスは、加盟店にとってもメリットがあります。ネットバンキングでも、商店のサイトでも、カードローンでも同様ですが、現在、広告ブロック技術やプライベートモードなどによりデバイス情報取得が難しくなっている中で、アプリを通すとその中にさまざまなソフトウェアを仕込めるので、有益な情報を取得でき、個々のニーズを知ることができます。しかし、だからといって急にアプリが普及するわけではありません。そこで私たちは、デバイス情報を新たな要素とした認証が必要ではないかと考えています。ユーザーIDとパスワードではなく、登録時に使われたデバイスと同じものであれば、初めてログインさせるという仕組みです。

不正対策として「iovation」と「ReD Shield」を提供

私どもはそのために2つのソリューションを用意しています。1つは「iovation」で、デバイスの情報だけを取得して識別するためのテクノロジーです。もう１つはデバイスと個人情報の両方を組み合わせて認証するサービス「ReD Shield」で、個人情報の取り扱いについてはPCI DSS準拠しています。

「iovation」のサービス概要ですが、デバイスから取得した情報を「iovation」に流すと、取引の可否の審査結果が○、△、×といったかたちで出てきます。

iovationサービス概要

現状では海外での利用が多く、オンラインバンキング、トラベルなどさまざまな分野でご活用いただいています。国内では大手カード会社の申込ページや大手百貨店の決済、通信キャリアの決済、航空会社のマイレージ決済などがあります。

ユースケースでキャッチーなものとして、米国でビットコイン交換所のセキュリティに使われているケースをご用意しました。ビットコイン全体としては優良なユーザーが手数料を支払って使うことがメインですが、よからぬ人がクレジットカードを使ってビットコインを買ったり、マネーロンダリングに使われたりするケースがあります。その対応手段として、申込み、口座開設などのタイミングでデバイス情報やネットワーク情報を取得することで、不審なものについてはチェックできます。それでもすり抜けて、マネーロンダリングなどに使われてしまったアカウントについては、ブラックリストに入れます。これらを単にひとつの交換取引所で行うのではなく、複数業者で連携して、情報を交換し合うということを行っており、さらにこれをビットコイン取引業者だけではなく、オンラインバンクや銀行の送金業務にも使っていただくといったかたちで、エコシステムの幅広い普及に取り組んでいます。

弊社は「ReD Shield」で個人情報とデバイス情報を組み合わせて、また、「iovation」でデバイスのみの情報で、決済不正対策を行っています。このような対策をすると、オペレーションとしては不正のスクリーニング業務が大量に発生します。そこで、不正スクリーニングの自動化などについて、ジグザ 櫛田氏から紹介いただきます。

まとめ

後編へ続く

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のスクデット、ジグザの講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■株式会社スクデット
〒104-0028
東京都中央区八重洲2-11-7　一新ビル8F
TEL：03-4520-5550
HP：https://www.redshield.jp/
URL：https://www.redshield.jp/contact/

■ジグザ株式会社
〒170-0003
東京都豊島区駒込2-3-6 駒込北口ビル２
HP：http://www.ziggxa.jpn.com
メール：info@ziggxa.jpn.com

2018年5月14日19:58

ディー・ディー・エス（DDS）は、2018年5月14日、指紋、顔、静脈、ICカード、ワンタイムパスワード、パスワードなどさまざまな認証方法に対応し、サーバー認証だけでなく、用途に応じて、次世代オンライン認証規格 FIDO（Fast IDentity Online）の認証基盤に接続、利用できる新たな認証基盤「万能認証基盤 Themis（テミス）」を発表した。

Themis連携構成イメー（図左側がThemis）（DDS）

DDSでは、すでにサーバー認証を基本として多要素認証・二要素認証を実現するエンタープライズ向け製品EVEシリーズと、FIDO認証に対応した認証基盤であるクラウド本人認証「マガタマプラットフォーム」を販売している。今回、サーバー認証に加え、端末認証（FIDO認証）も可能とする認証基盤をリリースした。

同認証基盤は、Linuxサーバー上に展開し、指紋、顔、静脈、ICカード、ワンタイムパスワードなどのサーバー認証による多要素認証をサポートする。まずは、DDSのハイブリッド指紋認証からスタートし、他の生体認証、ICカード認証など認証方式を拡張していく。さらに、夏季にリリース予定の、SAMLによる認証連携でクラウドサービスへのシングルサインオンを実現するFIDO認証クラウドサービス「マガタマサービス」に接続することで、エンタープライズ環境においても、サーバー認証に加えFIDO認証が利用可能なソリューションとして展開するという。

 2018年5月15日8:00

アニメ、漫画、ゲーム、ファッションといった日本のポップカルチャーの関連グッズを、全世界に向けて販売しているTokyo Otaku Mode。2013年にECをスタートして以来、年平均40～50％の伸びで、売上を伸ばしている。Facebookページのフォロワー数は、日本企業としては最多の2,000万人。将来的には流通、メーカー、権利者を貫く垂直統合モデルを目指す。 

ファンの要望に応えて越境EC参入
ECの売上比率は北米が50％以上

Tokyo Otaku Mode（トーキョーオタクモード）は、アニメ、漫画、ゲーム、ファッションといった日本のポップカルチャー情報を広く世界に発信することを目的に、2011年3月に立ち上げたFacebookページからスタートした。Facebookページのフォロワーからの、「日本で売っている関連グッズを買いたい」という声の高まりに応えて、フォロワー数が1,000万人を突破した2013年に、ECをスタート。現在まで年平均40～50％の伸びで、売上を伸ばしている。

Tokyo Otaku Mode Co-Founder/CEO 小高奈皇光氏

Facebookページの現在のフォロワー数は、日本企業としては最多の2,000万人。うち99％が海外在住の外国人だ。国・地域別ではフィリピン、インドネシア、インドをはじめとするアジアが多い。

一方、ECの売上比率では、北米が50％以上を占めており、そのうちアメリカが8割、カナダが2割。次に多いのがオーストラリアと中国で、「この4カ国合計で全体の70％を占めています」と、Tokyo Otaku Mode Co-Founder/CEO 小高奈皇光氏は語る。基本的にEMS（Express Mail Service：国際スピード郵便）が使える場所には商品のお届けが可能で、これまで130以上の国・地域への販売実績があるというものの、上位に並ぶのは経済的に豊かで可処分所得が高く、ネットインフラが整った先進国である。

人気商品は、アイテムでは、フィギュア、ぬいぐるみ、ファッションの順。タイトルでは、現在は、ゼルダの伝説、Fateなどが人気だ。

世界中に人気商品を提供するSHOP、最新ニュースを届けるNEWS、クリエイターたちの作品を紹介するGALLERY 等を備えたTokyo
Otaku Mode のWeb サイト

自社サイトとTモールの二本立てでEC展開
2日後に着金するStripe、PayPalを導入

自社ECサイト、otakumode.comは、英語表記で、価格はドル建て。基本的にこれで、全世界からの注文に応じている。

ただし、中国に関しては、2015年5月にアリババグループが運営するオンラインショッピングモール「天猫国際（Tモールグローバル）」に出店するかたちで、別立てで対応している。プロモーションについても、中国ではFacebookが使えないため、代わりにウェイボー(微博)を活用している。

otakumode.comでは、支払い方法として、クレジットカード、PayPal、Amazon Payをラインナップ。クレジットカード決済は、米国・Stripeを通して行っている。

小高氏は、「日本国内のサービスは決済から入金まで2カ月近くを要するものが少なくない中、StripeやPayPal、Amazon Payでは決済の2日後に着金します」と、採用の決め手について話す。

実際に利用されている決済方法は、otakumode.comではStripe経由によるクレジットカードとPayPalで大半を占めるとのこと。中国対応の「Tモールグローバル」では、100％Alipayによる決済だ。

海外諸国を対象としているだけに、不正リスクは避けられない。同社ではこれまで蓄積してきたノウハウをもとに、リスクが高いと思われる取引に対してアラートを出し、商品発送前に調査・検証を行う仕組みを構築している。これにより、一時は数パーセントに達していた特定地域の不正リスクも、今では1％未満に抑えられているという。

流通からメーカー、権利者レイヤー制覇へ
“トーキョーオタクモード帝国”確立を目指す

Tokyo Otaku Modeは、Facebookを通じて獲得したファン層を基盤にECを展開して成功を収めてきたが、今ではメーカー機能にまで事業を拡げている。

otakumode.comの「ショップ(Shop)」ページはメーカーから商品を仕入れて販売しているが、「プロジェクト(Projects)」のページでは自社が主導して商品化したアイテムを販売。海外専売やオリジナル商品のため、日本国内からの注文も多い。

小高氏は、「将来的には、作品やキャラクターの著作権を獲得し、それを元に社内のメーカー機能によって自ら商品をつくり、自社流通網で販売する垂直統合モデルをつくり上げたいと考えています」と意気込みを見せる。

また、現行のポイントプログラム、「TOM Point」を発展させた、世界中のオタクコミュニティで使える「オタクコイン」の構想も描いている。

多面的な角度から、“トーキョーオタクモード帝国”建国の計画が、着々と進行中である。

カード決済＆セキュリティの強化書2018

2018年5月15日8:00

■株式会社スクデット/ジグザ株式会社

RPAでホワイトカラーの定型業務を自動化

ジグザは2012年の設立で、RPA（Robotic Process Automation）のソリューションや一般的な業務システムの受託開発、コンサルティングなどを行っています。

ジグザ株式会社　代表取締役　櫛田和洋氏

さきほど、スクデット・細江氏より、スクリーニング業務の運用が大変であるという話がありました。確かにソリューションを利用すると、大半のトランザクションには「問題ない」「NGである」という判断が付いてきます。しかし、グレーなレコード・ログイン・取引については、現状、手動で捌かれている企業が多いと思います。その解決のアイディアとして、RPAについてご紹介します。

まず、スクリーニング業務を整理すると、大半の場合、4つのプロセスで構成されているかと思います。まず、一次スクリーニングは、例えば「iovation」や「ReD Shield」などのソリューションを通過したトランザクションで、これを一次的振り分けとします。その結果として、このログイン・取引は問題ない、あるいはこのログイン・取引は絶対ダメであると判定されますが、大体、数％のグレーなレコードが存在します。それを二次スクリーニングで判断していきます。この二次スクリーニングでは、一次スクリーニングの中でシステムから発行された取引のIDに紐付くECシステムや顧客情報などを、Excelのような一覧表にまとめ、それを担当者、責任者が1件ずつチェックしていきます。

例えば、携帯電話の購入を例にとると、携帯電話はひとり1台買うのが通常だと思います。ところが、場合によっては1人で3台を購入する。これがグレーになります。その場合、例えば「家族で購入されていると想定される場合OK」といった人間によるチェックを二次スクリーニングでやっています。

二次スクリーニングでも判断がつかない場合には、確定処理ということで、例えば取引に紐付く電話番号に担当者が直接電話をし、正当な取引か、実際に存在する住所かなどを確認します。最後に後処理ということで、取引停止や本人から必要な書類が提出されない限り出荷を止める保留処理などを行っています。

この4つのプロセスのうち、一次スクリーニングは基本的にシステムがこなすので、特に人手はかかりません。確定処理、後処理に関しては、大抵の場合、人間が調整をかけるような業務になり、手作業以外ではやりにくいところがあります。今回、私どもが問題にしているのは二次スクリーニングです。この二次スクリーニングをさらに見ていくと、ほとんどが手作業になっています。一次スクリーニングで特定したIDについて、社内システムに問い合わせるためには、ログインし、検索し、必要な情報をコピーして貼り付けるといったことを、取引システムや顧客システムに対して実施することになり、その後で判断することになります。

その中で価値のあるところは判断するところです。しかし、実際の業務の8～9割はログインして、コピーして、貼り付けてといったことで、非常に時間がかかっています。コピーして貼り付けるところはあまり付加価値の高くないところですので、ここを潰すことで業務量が減り、タイムリーなチェックが可能になります。何か急ぎでトランザクションを調べなければならないという時に仕組みがあったほうがタイムリーに対応できます。

例えば、EC業者はECシステムだけではなく、出荷システム、コールセンターシステム、決済システムなど、さまざまなシステムを使っています。これらのシステムがすべて自社開発であればよいのですが、多くはクラウドシステムやパッケージソフトも活用していると思います。すると、連携しないシステムが非常に多く点在しているという状況になります。したがって、情報をさまざまなシステムに照会しようとすると、どうしても手作業が発生します。今後、さらにクラウドが発展し、パッケージソフトが増加すると、手動の仕事がますます加速していきます。その場合の解決策のひとつがRPAです。

RPAの機能は、ホワイトカラーの定型業務を自動化することです。定型業務とはコピーして貼り付ける、定型文を作ってメールを送信するといった業務で、提案資料をパワーポイントで作成するなどの創造的な作業はRPAの範囲外です。具体的には、ファイルやシステムなどから情報を読み取り、人間であればそれを文章にしたり、判断をしたりするわけですが、ソフトウェアで最終的にアウトプットとしてExcelに吐き出す、メールを送るなどの定型作業であれば、これを自動化します。翻って、こういった定型作業はまさに二次スクリーニングの部分であり、ここに活用できると考えています。

RPAの導入ハードルと対応

このようなRPAのソリューションを導入すると、素晴らしい未来が待っていると思いがちですが、実際には大変なことがあります。1つは設定難易度の高さです。そもそもRPAソフトは、WindowsでいうEXEファイルのようなものです。EXEファイルを起動すると画面が開き、プロセスを1つ1つ登録していきますが、内容が広く、処理を分岐させる必要などもあり、設定が大変です。当然、RPAのソフトウェア・ベンダーでサポートやトレーニングは用意しますが、それでも大変です。また、設定にあたっては、WEBなどのIT知識も要求されます。また、できることにも限度があり、RPAソフトはGUIベースで設定できる項目しか対応できません。したがって、RPAソフトでできること・できないことを識別した上で、できる項目のみについて設定すると考えると、全般的に設定難易度は高くなります。

もう1つはコストがかさむということです。ソフトウェアでライセンス料を払うかたちですが、設定は導入した企業の社員が行うことになります。したがって、キャッシュアウトはソフトウェアのライセンス料だけですが、設定の内部コスト的な部分は見えにくいながらも人件費はかさみます。その結果、導入期間が長くなったり、頓挫したりすることが、頻繁に起きています。

ではどうしたらよいか。2つの解決策があります。1つはRPAソフトの特性を知った上で、使い倒すということです。このソフトはこれができる・これができないということを、予めわかった上で割り切ってしまう。「10の業務のうち5～6でも自動化できれば、人件費が下がるのでよしとしよう」というくらいの割り切りが必要です。ただ、専門的な知識や設定がわからないということがあるので、できれば社員の中で情報システム部のメンバーや元エンジニアの社員などを起用し、社内サポートを充実させるとよいと思います。

2番目の解決法としては、RPAソフトウェアに頼らず、自社で自動化のプログラムを作ってしまうということが挙げられます。RPAというと最先端のテクノロジーを使っていると考える人もいると思いますが、実はベースとなる要素技術はずいぶん前からあり、現在ではフリーソフトを活用できたりだとか、MicrosoftのVBA（Visual Basic for Applications）で実現できたりすることの方が多いかもしれません。したがって、全社レベルではないが、ある程度自動化したいという場合には、RPAソフトという選択肢ではなく、協力会社にお願いし、もしくは自社で開発するほうがよいと思います。

ちなみに、日本でRPAソフトを知っている人はかなり少ないと思います。しかし、プログラムを知っている人は多いので、そういった意味で2番目の選択肢はかなり現実的です。

三層構成となる「ziggxa flow」

 一般的なRPAソフトは、いわゆるWindowsでいうEXEファイルで、ソフトウェアを立ち上げて設定していくかたちですが、弊社のソリューション「ziggxa flow」では、少し特殊なアプローチをとっており、三層構成になっています。まず、ベースとなるプラットフォームに、例えば、途中で処理失敗したらメールを送るなどの自動化を実行するベース技術を置いて、その上にお客様ごとにさまざまな条件で分岐をするなどの独自ロジックを置きます。しかし、独自ロジックの構築は難しいので、それを支援するたくさんのライブラリを用意しています。このかたちをとることで、さまざまなことが制約なく実現できますし、弊社はAIにも力を入れていますので、AIを使った処理もできるようになります。

What is ziggxa flow　ziggxa flow概要

ちなみに、このアプローチは弊社独自のものではなく、実はGoogleが以前からこのようなアプローチを採用しています。例えば、Google MAPでは出発地と終着点で経路が提示されますが、その中ではGoogleのライブラリを使っており、それを実行するのは彼らのプラットフォームです。そのライブラリはホームページの中に組み込むこともできますし、企業内のシステムに組み込んで、例えば営業向けのルートを作ることもできます。つまり、Googleもプラットフォームとライブラリを提供し、個別のお客様ごとに自社に必要な開発・カスタマイズは行ってください、というアプローチです。弊社のアプローチもこれを踏襲したものになり、先ほどの2番目の自社で作り込む方法と近いメリットが得られます。

RPAソフトを利用する場合とは、大きく違う点が3つあります。一般的なRPAソフトでは導入期間が3～6カ月間かかりますが、弊社に限らず、独自で作りこむのも含めて、仕様さえ決まっていれば短い期間で作れます。弊社では最短3日です。また、RPAソフトで作り込むと作り直すのが大変です。例えば、システムのデザインを変えたいという場合、一から作り直すのは大変ですが、プログラマーが行えば即日完了できます。さらに、できることに制約がなく、限定されません。

Features ziggxa flow特徴

スクデットと決済の不正防止業務で連携

現在、スクデットと弊社がパートナーシップを結んで行っている業務の1つとして決済不正防止業務があり、カード不正のソリューションを通過した後にグレーとなってしまったレコードについて、社内システムに問い合わせ、それを集約して、定型チェックまでかけて、本当に人間が必要なところまで持っていくところを、すべてボタン1つでこなすことができるという意味でRPAがおすすめという事例があります。これはシステム化一般にそうですが、作業時間も削減できますし、ミスがなく、引継ぎも簡単にできます。

前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のスクデット、ジグザの講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■株式会社スクデット
〒104-0028
東京都中央区八重洲2-11-7　一新ビル8F
TEL：03-4520-5550
HP：https://www.redshield.jp/
URL：https://www.redshield.jp/contact/

■ジグザ株式会社
〒170-0003
東京都豊島区駒込2-3-6 駒込北口ビル２
HP：http://www.ziggxa.jpn.com
メール：info@ziggxa.jpn.com

2018年5月17日8:00

■マクニカネットワークス株式会社

カード情報取扱い事業者様におけるカード情報の漏えいリスク低減策として、PCI Point to Point Encryption（DUKPT）、非保持化（トークナイゼーション）が注目されています。今回は、マクニカネットワークスの提供するPCI P2PEソリューション、非保持化ソリューションの事例を交えながら、ご検討中のお客様に導入のポイントや実施していただく運用についてご紹介します。

マクニカネットワークス株式会社 技術統括部 第2技術部 　部長 高橋 峻氏

PCI DSS準拠において鍵管理は重要に
PCI DSSを取り巻く中でもHSMの必要性は高まる

マクニカネットワークスは、企業向けのネットワーク製品やセキュリティ製品をソフトウェア・ハードウェア問わず海外から輸入し、国内で紹介・販売しております。その特徴は、例えばネットワークではスイッチなどの大量に売れるものを販売するより、販売数量の少ない特殊な用途に特化した製品を販売しているところにあり、セキュリティでは標的型攻撃に対しての防御ソリューションやWEBアプリケーションファイアウォールというサーバを防御する装置などを取り扱っています。もう1つ当社の特徴として、セキュリティ研究センターを持っていることが挙げられます。これは世界中で日々起きるセキュリティのインシデントや攻撃のトレンド、マルウェアがどういう動きをしているのかなどを研究する組織であり、弊社の取り扱っている製品を販売したときによりよく使ってもらうために、このような情報を発信しています。

マクニカネットワークス株式会社 技術統括部 第2技術部 　部長 高橋 峻氏

HSM（Hardware Security Module）については2001年に当時のChrysais ITS社と契約し、現在もその会社を買収したGemaltoの製品を引き続き取り扱っており、また、THALES社の製品も2014年より取り扱いを始めており、HSMについて世界でデファクトスタンダードとなっている2社の製品を取り揃えていることになります。

セキュリティ対策の考え方、例えば情報漏えい、カード番号の流出といったことに関して、対策のアプローチは2つあると考えています。1つは実際にどのように情報漏えいする可能性があるかを考えていく、もしくは事例を分析していく。そこに対してピンポイントに対策する。それが技術に基づいたリアルセキュリティ・アプローチです。一方で、カード番号のセキュリティに限らず、世界でさまざまな基準が決まります。カード番号のセキュリティに関しては、このように対策するのが一般的だという基準がPCI DSSだと考えていますが、この基準を守るために対策を行っていくアプローチをコンプライアンス・アプローチと言います。紹介するソリューションについて、リアルセキュリティ的側面としてこのような特徴があり、コンプライアンス的にもこのような特徴があるというかたちで、共通のゴールが情報の安全・セキュリティの確保になります。

暗号と鍵管理の関係はリアルセキュリティ的な話になります。どのような効果が暗号化にあるのか、HSMがどのように有効なのかを説明します。

文書やメッセージを送る時に暗号化すれば、盗まれても鍵がなければ解読されません。暗号化は、広く普及した効果的なデータの保護方法です。暗号化には、暗号化する時に使う鍵と、それを元に戻す時に使う鍵が同じ共通鍵暗号方式と、異なるものを用いることができる公開鍵暗号方式という2種類の手法があります。

暗号化ではいくつか考えるべき問題があります。まず、暗号のアルゴリズムの強度の問題で、手法が安全かということ。また、それを取り扱っている装置が安全かという問題。そして、暗号に使う鍵が適切な場所に適切なかたちで保管されているかという問題です。これらが満たされず、例えば、サーバの中に鍵が置かれていると、アプリケーションの脆弱性がTVニュースなどでも話題になりますが、鍵も暗号データも両方取られてしまうことになります。メモリダンプ攻撃やサイドチャネル攻撃といった、サーバから物理的に情報を取ることによって暗号鍵を入手する、もしくは内部の悪意ある管理者・特権ユーザの権限で情報を取る、といったことが起きると、鍵も暗号データも取られてしまい、復号化できます。しかし、HSMで暗号鍵を強固に管理すると、暗号データを盗まれても鍵は取られないので安全です。このようにHSMはどのようなかたちであっても、外部に鍵が洩れないということが最大の特徴です。もう1つの特徴はM of N認証で、何人かいるうちの複数人が関わらなければ操作ができないといった仕組みを提供することができ、個人の不正を防げます。

PCI DSSにおいてコンプライアンスの視点でどういう効果があるのか。PCI DSSの要件に、HSMもしくはそれに準ずるようなセキュリティを確保することが書かれていますので、HSMは必要・重要になります。さらに最近では、割賦販売法の改正があり、加盟店、カード情報を取り扱う事業者は非保持化もしくはPCI DSS準拠する必要があるため、PCI DSSを取り巻く中でもHSMの必要性は高まっています。

HSM：鍵管理の専用ハードウェア

P2PEソリューションとしてDUKPT利用を推奨
決済用HSMでDUKPTを実装可能に

以前、インターネットがそれほど普及していない時代は、ホストコンピュータとPOS端末などが専用線で結ばれていました。専用線なので外部に通信が洩れるような前提がなかったので、当時、カード番号は基本的に平文で伝達されていました。しかし、インターネットが使われるようになると、伝送路は専用線に比べて安全ではありません。さらに、POS端末の代わりにスマホやPCが使われることもあります。米国Target社の事例では、POS端末にマルウェアが感染し、スワイプするごとにカード情報が悪意のあるサーバに送られていました。そのような事例に対して何らかの対策をしなければならないということで、リアルセキュリティの観点から、端末でカード情報を読み取った瞬間から暗号化し、それを使うセンターまで暗号化したまま持っていくしかないと考えられます。そうすれば、POS端末に情報が残らないので、マルウェアからも安全です。ただし、POSメーカーごとに方式が異なり、互換性がなくなってしまったら問題があるということで、共通規格としてDUKPT（Derived Unique Key Per Transaction）が生まれました。このDUKPTがP2PEにおける標準的な方式です。

DUKPTは共通鍵暗号方式で、暗号のアルゴリズムがDESやTripleDESといった一般的な共通鍵暗号方式が取られています。さらに最近は共通鍵暗号方式にAESが使われることが多いのですが、それも標準化に向けて検討されています。もう1つの特徴はトランザクションごとに異なる鍵を使うことです。毎度同じ鍵を使っていると、通信を見ている人にどんな法則があるのか気づかれてしまうので、それを防ぐためにトランザクションごとに異なる鍵を使うことができます。その仕組みは、シードから端末に入れる初期鍵を作りますが、初期鍵から鍵1ができる、鍵1から鍵2ができる、というかたちで100万個の鍵を作れるというものです。サーバ側がシードを持っており、端末は次から次に鍵を作って捨ててということを繰り返します。端末側には鍵は残っておらず、サーバ側がシードを持っているので、この方式でどの鍵でも作れる仕組みになっています。シードを持っていればどの鍵でも作れるので、シードを暗号保持していくことが必要であり、ここでHSMが重要になってきます。

DUKPTの範囲外ですが、伝送路の暗号化は規格で決まっているわけではありません。しかし、一般的にはインターネットを使う場合、VPN、SSLなどの通信暗号方式が用いられることが多く、その中をさらにDUKPTで暗号化された情報がやりとりされるイメージです。

また、一端末で100万個の鍵を生成できますが、100万回生成したら端末の中にある初期鍵を新しいものに交換する必要があります。その交換方法は規格に入っているわけではなく、例えば、HSMを使う場合はベンダごとに実装が異なるので、そこは新たな仕組みで行う必要があります。

DUKPT・P2PEを利用した時にコンプライアンス的にはどのような有用性があるのか。加盟店における非保持化を実現するためにまず分けなさい、カード情報が加盟店のネットワークに入らないようにしなさい、という方式として外回り方式があります。これは加盟店のネットワークでカード情報の保存・処理・通過を一切させないというものです。スワイプする端末はPSP（決済処理事業者）のもので、そこでは金額と決済結果しかやり取りしないので、加盟店のPOSではカード情報の保存・処理・通過させないというかたちにすれば完全に切り離しができます。ただし、実際にそうすると、ポイントの連携システムや顧客データベースなどの一切を変えなければならないので、実現が難しい場合があります。

一方、内回り方式は、スワイプする端末とPOSが結び付いており、同じネットワークを使って自社やPSPのセンターにつなぎます。その時にDUKPTを利用すれば、コンプライアンス的なメリットとして、非保持と同等相当のセキュリティが確保されたと扱われ、PCI DSS準拠が必要となったときに、負担が大幅に軽減されます。

後編へ続く

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のマクニカネットワークスの講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■マクニカネットワークス株式会社
〒222-8562 横浜市港北区新横浜1-5-5
マクニカ第2ビル
TEL 045-476-2010 FAX 045-476-2060
Email：hsm-sales@cs.macnica.net
URL：http://www.macnica.net/thales/
　　   https://www.macnica.net/safenet/

2018年5月17日8:38

三井住友カードは、2017年11月13日より、Visa の「VISA 認証サービス（Verified by Visa）」および、Mastercard が提供する「Mastercard SecureCord」にデバイス認証機能を導入した。インターネット取引におけるなりすまし等による不正使用が増える中、導入直後からデバイス認証に必要となる情報を取得して不正判定を行うことで、高い成果を生んでいる。

不正使用の手法は多様化・高度化
デバイス情報による異常なカード利用（機械的な攻撃）を抑制

クレジットカード取引における不正使用の手法は多様化・高度化しており、近年は非対面取引の不正が急増している。三井住友カードにおいても、日本クレジット協会の公表数値と同じ動きで不正が増加している。

三井住友カード セキュリティー管理部 副部長 田添裕嗣氏、 同部 部長代理 田中啓介氏、同部 グループマネージャー 植木晋也氏

同社ではIDとパスワードの盗用に対抗するため、ソフトウェア型のワンタイムパスワード認証を導入。3-Dセキュアの登録率は他のイシュア（カード発行会社）と比較して高い率となっているが、増加している異常なカード利用（機械的な攻撃）への対処が求められたという。

三井住友カード セキュリティー管理部 部長代理 田中啓介氏は、「この１～2年で不正を取り巻く環境が急変し、特に異常なカード利用（機械的な攻撃）が増えています」と話す。同社ではその対策として、2017年11月から、クレジットカード利用者がネットショッピング時に使用する機器のデバイス情報と、クレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインかつリアルタイムで判定する「CAFIS Brain」を国内カード会社で初めて採用した。

「スマートフォンやPC等の端末情報等を活用することで、今までは見抜けなかった不正使用を見抜けるようになりました。同じデバイスにおける異常なカード利用（機械的な攻撃）や、過去に不正使用があったデバイスからのカード利用、海外からの不審なカード利用等を防ぎ、従来のオーソリ情報のみでの不正検知システムと比べ格段に精度の高い不正検知を実現しています」（田中氏）

リスクベース認証のイメージ（出典：NTT データ）

2年前の実験より5～6倍の成果
海外からの異常なカード利用（機械的な攻撃）が約9割

三井住友カードではNTTデータと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施。田中氏は、「異常なカード利用（機械的な攻撃）が少なかった当時も効果が出ていましたので、不正使用を取り巻く環境が変化した今ではそれ以上の成果が出ると考え、採用を決定しました」と語り、笑顔を見せる。前述のワンタイムパスワード認証の責任者である同部 グループマネージャー 植木晋也氏も「導入後短期間で3-Dセキュアを経由した取引での不正使用被害は半数ほどに落ちています」と口にする。

今回の導入により、9割方の不正は同じ端末からほぼ毎日、数分おきに機械的に複数の番号を入れて悪用を働こうとしていたことが判明した。また、それらの悪用は海外からが多い。中には、IPアドレスを踏み台にしての不正もあるが、「CAFIS Brain」 のベースとなるExperian（エクスペリアン）の不正判定エンジン「FraudNet」は仮に加工されてもログを特殊な技術で見抜くことが可能だ。

今回、加盟店向けに提供されていたデバイス認証をカード会社が導入することは国内初の取り組みであったため、導入する際の微調整が非常に難しく、時間をかけて対応した。今後の課題は、さらなる不正検知精度向上。不正使用のデータを蓄積・分析し、発展途上にあるルールの精度向上に注力し、現在見抜けていない不正使用抑止をすることだ。

5年間かかる費用を半年で回収
3-Dセキュア2.0への対応を進める

田中氏は、「導入にコストはかかりますが、半年で回収できる実感があります。3-Dセキュアは2019 年初頭より、デバイス認証の概念を標準装備する2.0へ 移行する計画ですが、そこに向けたノウハウを蓄積していきたいですね」と意気込む。3-Dセキュア2.0については、国際ブランドのスケジュール通りにACS対応を進めていきたいとした。

同部　副部長 田添裕嗣氏は、「現行の3-Dセキュアに比べ、明らかに判断材料がリッチになりますので、他社でも導入が進めば効果が出るのは目に見えています。また、その効果は、カード会社、加盟店もおわかりになっています。すでにデバイス認証を行われている加盟店もありますが、その効果を伺っても前時代的なオーソリ情報以外を判断材料にするのは自明の理であると感じています。クレジット取引セキュリティ対策協議会が策定している実行計画では、インターネット取引の不正使用対策について多面的・重層的な対応を求めるとしていますが、3-Dセキュアを介したデバイス認証は決め手になる資質があります」と期待を寄せた。

カード決済＆セキュリティの強化書2018

2018年5月17日8:58

Stripeとジェーシービー（JCB）は、2018年5月16日に記者説明会を開催し、グローバル提携に関する覚書を締結したと発表した。Stripeは、JCBブランドの決済を国内および海外で提供する初の決済プラットフォームとなる。

左からストライプジャパン 代表取締役 ダニエル・ヘフェルナン氏、Stripe 最高執行責任者（COO）クレア・ジョンソン氏、ジェーシービー・インターナショナル代表取締役社長 今田公久氏、ジェーシービー 執行役員 加盟店本部長 兼 加盟店営業第三部長 滝田誠氏

世界の大手企業からスタートアップまで幅広くサポートするStripe

Stripeは、Facebook、キックスターター、Twitter、 全日本空輸（ANA）、Amazonなど、世界の名だたる企業をはじめ、十万社以上に決済サービスを提供している。企業の開発者は、Webサイトやアプリケーションにコードを組み込むことで各種決済サービスを提供可能だ。現在、売上は兆円規模になり、同社の社員数は1,000人を超えたという。

日本では、2014年6月にストライプジャパンを設立。招待制のベータ版のテスト運用を経て、2016年10月4日からオンライン決済サービスの国内提供を開始している。日本においては、当初は多通貨決済サービスを売りにビジネスを提供していたが、不正検知サービスの拡充に加え、Apple Pay、WeChat Pay、Alipayといった決済をサポートするなど、年々、機能を拡充している。

JCBの海外会員は2,500万を突破、約23％の比率に

一方、JCBは、日本発唯一の国際カードブランドとしてグローバルに決済事業を展開しており、 世界24の国と地域で1億1,000万以上のJCBカードが発行されている。ジェーシービー・インターナショナル代表取締役社長 今田公久氏は、「海外会員は2,500万を突破しており、日本を含む会員のうち約23％となっています」と説明する。海外展開も強化しており、直近ではブラジルの金融機関であるCaixa Econômica Federal（ブラジル連邦貯蓄銀行）との提携を発表している。

手数料は3.6％で、他ブランドとの一律で提供

今回のグローバル提携により、日本および海外のStripeの導入企業がJCBカード決済に対応可能となり、世界中どこからでも現地通貨での支払いを受け付けられるようになる。また、JCBカード会員が世界中のStripe導入企業から商品やサービスを購入することが可能になる予定だ。

手数料はVisaやMastercard同様に3.6％。すでに先行して複数の加盟店でテスト的に導入が行われていたが、このほど日本において本格的に対応することとなった。また、海外でも順次導入を進めていくそうだ。なお、JCBブランドの契約には所定の審査がある。また、日本においてはJCBと同時に、American Express、Diners、Discoverの利用も可能となる。

Stripe、JCBともにグローバルでの提携に満足

今後は、さらなる成長が見込まれるミドル、スモールビジネスに加え、グローバルな展開を目指す事業者まで幅広く導入を進めていく方針だ。Stripeでは、全世界で提携できたことを意義深く感じており、「提携までに時間はかかりましたが、満足しています」と最高執行責任者（COO）クレア・ジョンソン氏は話す。

一方、ジェーシービーでは、EC市場が世界で成長する中、グローバルでの提携を見据え覚書を締結できたことに価値があると感じているそうだ。また、ライドシェアをはじめ、オンラインの決済がオフラインの世界で利用されるケースも増えており、そういった支払いにJCBが利用される可能性が高まるとした。

2018年5月18日8:00

■マクニカネットワークス株式会社

THALES社のpaysield、Gemalto社のLunaを提供
ロイヤルゲートのP2PEソリューション認定を支援

P2PEを実現する製品としてどのようなものがあるのか。弊社ではTHALES社のpaysield、Gemalto社のLunaがあります。これらを導入する場所は自社のセンターです。DUKPTで暗号化されたものがHSMの中で復号化され、その後、すぐにカード会社が決済のネットワークのための鍵で再暗号化する、といったことに対応する各種コマンドも用意されているので、実装が容易になっています。また、端末に初期鍵を安全にリモート配送する仕組み・機能も備わっています。

決済用HSMを利用することでBDK（シード）の安全を確保できます。また、決済ネットワーク向けの機能・コマンドが豊富です。さらにDUKPTを実装しているとしても、その範囲外である初期鍵の交換は端末ベンダによりその方式が違うので、それに対応しなければなりません。その場合にはセンター側ではグローバルでデファクトなHSM製品を選択することが重要で、THALES社、Gemalto社は世界でかなりのシェアを占めていますが、端末ベンダに事前に互換性を確認しておくことが必要です。

決済用HSMの導入イメージ

活用事例として、ロイヤルゲート社を紹介します。専用カードリーダーをスマートフォンやタブレットに接続してPOS端末として利用するスマートフォン決済サービスです。実際にスワイプする端末で読み込むとDUKPTで暗号化され、bluetoothを伝送路としてスマートフォンに送られます。そこからSSL通信を通ってロイヤルゲート社のセンターに接続。ここまでカード情報はずっとDUKPTで暗号化されています。そして、THALES社のHSM、paysield9000の中でカード情報が復号化され、カード会社の承認を経て接続されます。カード情報はスマートフォンの中を通るのですが、DUKPTで暗号化されて扱われているので安全です。ロイヤルゲート社のHSM導入のメリットとしては、PCI DSSの審査期間を大幅に短縮することができたこと、自社でセキュリティモジュールのコマンドを実装するよりはコストメリットがあることがあげられます。さらに、PCI P2PEは現時点の予定では3月末頃取得できる見込みになっています。

P2PE　ロイヤルゲート様（スマートフォン決済端末事業者）事例

システムの非保持化にはトークナイゼーションが有効
鍵アプライアンスで容易に実現へ

トークナイゼーションとは技術的にどういうものか。トークナイゼーションの手法自体は、クレジットカード番号だけではなく、さまざまなものに利用できます。カード番号の例ですが、完全に置き換えたり、少し残したり、一部だけ置き換えたりして、重要情報を無作為なトークン化情報に置き換えます。

暗号化では基本的にフォーマットが変わってしまいます。すると、システムの中でデータベースの定義を全部変えなければならず、システムに大きな負担がかかります。また、マスキングではデータの復旧が不可能になってしまい、後で使いたい時に使えません。トークン化では、データ長やデータタイプが同じなので、既存アプリケーションに対して透過的です。システムの改修等の負担もありません。

繰り返しですが、トークナイゼーションではフォーマットを維持します。データタイプも基本的には数値データのほか、英数字データにも対応することができます。さらにどこをトークン化するかを自由に設定することができます。そして、その効果として無価値化、例え洩れたとしても価値がないようにすることができます。

 例えば、システムの中でカード番号をキーにして顧客管理を行っている場合、さまざまなシステムにカード番号が入ってしまいます。企業アプリケーションのデータベースにも、注文処理システムのデータベースにも、顧客のデータベースにもカード番号が入っている状態です。すると、PCI DSSの監査範囲はすべてになります。ところがトークナイゼーションすることによって、実際にカード番号を使う決済システム以外にはトークン化した情報を入れる、効果的に無価値な情報を入れることによって、監査範囲を縮小することができます。PCI DSSの監査の範囲を縮小して、決済システムだけを範囲にすることができることがメリットです。

トークナイゼーションは、鍵管理アプライアンス製品によって実現することができます。もちろん同じ仕組みを自分で実装してもいいですが、もう少し簡単に行う方法を紹介します。

鍵管理アプライアンスは、汎用的なセキュリティモジュールだけではなく、その中でトークナイゼーションを行う、データベースを暗号化する、ファイルレベルで暗号化するといった機能と、さまざまな暗号化の鍵を一元的に管理する機能を提供するソリューションです。鍵を集約して管理するので、PCI DSSで定められている定期的な鍵交換も一元的に行うことができます。データベースで鍵を付け替える作業もオペレーションとしては大変ですが、このような製品があればGUIで簡単に行うことができるので、負担を軽減できます。

 実際にどういう製品でトークナイゼーションをするかを考えるポイントとして、Vaultの存在があります。Vaultはトークナイゼーション用の暗号データと付加情報を記録しておくデータベースです。これは使っても使わなくてもよいのですが、それぞれ特徴があります。

 Vaultless、つまりVaultを使わない場合はパフォーマンスが出ます。基本的なカード情報のトークナイゼーションならパフォーマンスも出ますし、カード情報をトークナイゼーションして置き換えるだけであれば、データベースに保存しておく必要性はありません。こちらのほうがシンプルです。

 一方で、Vaultありの場合、Vault利用構成にもメリットがあります。1つはトークン化したデータの付加情報を一緒に記録できます。また、カード情報だけではなく他のものもトークン化する場合、フォーマットも高い自由度があります。要件が広がりそうであれば、Vaultありの構成も考えたほうがよいかと思います。

 カード情報のトークン化を考える時に、例えばお客様の種類に応じてカード番号に特徴があり、それを見極めてシステムがあるようなケースでは、その情報がトークン化することでなくなってしまいますので、そのあたりはVaultの中に情報を保存しておきます。

 Vaultlessの場合はシンプルで、カード情報がシステムに来たら一定のシードを使った法則によってトークン化し、対応するトークンをデータベースにカード情報の代わりに入れるというシンプルな構成になっています。

 一方、Vaultを利用する場合のトークナイゼーションのデータ保護では、カード情報が来ると、同じ情報がVaultに入っていないかをハッシュ値で確認した後に、一度暗号化します。そしてラベルとしてトークンを発行して、それをデータベースに保存します。つまりVaultを利用する場合は、カード情報自体を暗号化して、ラベリングして同じフォーマットのものを生成するという仕組みです。

Gemaltoが提供するトークナイゼーションによるデータ保護

 最後にトークナイゼーションの活用事例で、大体いくらくらいかかるのかということですが、国内の銀行の事例で、全国規模でTokenizationマネージャーを使って、ハイパフォーマンスな製品構成で約数千万円といった規模感となっています。

前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のマクニカネットワークスの講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■マクニカネットワークス株式会社
〒222-8562 横浜市港北区新横浜1-5-5
マクニカ第2ビル
TEL 045-476-2010 FAX 045-476-2060
Email：hsm-sales@cs.macnica.net
URL：http://www.macnica.net/thales/
　　   https://www.macnica.net/safenet/