2019年5月31日8:00

■NTTデータ先端技術株式会社

PCI Secure Software StandardのPA-DSSとの相違点

今までのPA-DSSと新たなSecure Software Standardとの比較で、主要な相違点を紹介します。まず認定対象について、今までのPA-DSSでは、ユーザーのオンプレミスの環境にインストールするようなパッケージのソフトウェアを対象としていましたが、新しいSecure Software Standardでは、これに加えてクラウドのようなSaaS型で提供するようなソフトウェアも対象にできるところが大きなポイントです。

保護対象とするデータですが、今までのPA-DSSは、PCI DSSと共通で、アカウントデータが対象です。アカウントデータというのは、カード会員データと機密認証データを総称したものです。これらが保護対象として決まっているのが1つの特徴でしたが、新しい基準では、機密データという新しい言葉が定義されており、これを保護対象としています。機密データの例としては、今までどおりのカード会員データや機密認証データも入りますが、これに加えてトークン、暗号鍵、暗号鍵のマテリアル、認証情報、内部システム情報など、あらゆる情報が対象になってきます。このような重要な情報資産を識別し、ソフトウェアのリスク評価の対象とする点も、これまでのアプローチとの違いとして表れています。

基準の構成として、PA-DSSでは全部で14要件ありました。基本的にはソフトウェアのセキュリティにかかわるPCI DSSの要件をピックアップして、それを並べ替えたような要件と、それにプラスアルファとして、「PA-DSS実装ガイド」という、ユーザー向けのガイダンスに関する要件が追加された構成になっています。

一方でSecure Software Standardでは、今まで要件（原文でRequirements）と呼んでいたものが、コントロール目標（原文でControl Objectives）と、名前が変わっています。1から12のコントロール目標をまとめてコア要件（原文でCore Requirements）と呼び、それにモジュールAという、モジュールが追加された構成になっています。コア要件は、すべてのソフトウェアに適用されます。それにプラスして、機密認証データやカード会員データを扱うアプリケーションはモジュール Aも適用される構成になっています。今までは機密認証データ、カード会員データを扱うことを大前提としていましたが、それがモジュールの扱いとなりました。おそらく今後、別の基準をSecure Software Standardに組み入れる場合を想定して、共通要件としてのコア要件と、個別の特徴に応じたモジュールを拡張できるように整理されたのだと思います。

Secure Software Standardの概要は？

Secure Software Standardは、12のコントロール目標とそれを4つにグルーピングしたセキュリティ目標（原文でSecurity Objectives）で構成されています。ここでは、コントロール目標単位で概要をご紹介します。

コントロール目標 1: Critical Asset Identification（重要な資産の識別）
先ほどご紹介した「機密データ」という定義に基づき、保護対象となる機密データ、機能やリソースを識別するという、PA-DSSにはなかった観点です。PA-DSSでもリスク評価の要件は一部あるにはありましたが、そもそも保護対象がカード会員データや機密認証データと決まっていましたので、資産の識別という観点はありませんでした。

コントロール目標 2: Secure Defaults（安全なデフォルト設定）
ベンダ提供のデフォルト値を使用しないことは、PCI DSSでもおなじみですが、ここはベンダ側の視点で、一般的に不必要な機能はデフォルトで無効化し、ビルトインアカウントや初期パスワードを使用させないように設定をサポートするものです。出荷時の設定は攻撃者に狙われるので安全なものに変更するよう、設定機能およびセキュリティガイダンスをユーザーに提供することが求められます。

コントロール目標 3: Sensitive Data Retention（機密データの保持）
未許可の機密データ開示を防ぐために、ソフトウェアが処理に必要な最小限の時間だけ機密データを保持することを求めています。機密データにも分類があり、一時的と持続的の2種類があります。一時的というのは、アプリケーション処理の中でワークメモリ内に生成されて、利用後には安全に削除する必要のあるデータです。持続的というのは、あとで使うためにディスクや不揮発性メモリに保存されるデータなどで、強力な暗号化もしくは同等の保護方法が必要とされます。

コントロール目標 4:　Critical Asset Protection（重要な資産の保護）
ソフトウェアの設計を基に攻撃可能なシナリオを識別し、それに対応するセキュリティ対策の実装を求めています。今までのPA-DSSでは一般的なコーディングの脆弱性観点が挙げられ、それに対応するセキュア・コーディングの実践を求めていましたが、新しい基準ではこのようなパッケージ型の対策ではなく、個々のソフトウェアの設計ベースで必要な対策を組み立てることを重視している点からも、これまでのアプローチとの違いが見られます。

コントロール目標 5: Authentication and Access Control（認証とアクセス制御）
ここでは、重要な資産へのアクセス認証を求めていますが、この「重要な資産」はコントロール目標 1で識別したものを指しています。この認証に関して、パスワードの桁数など具体的な要件がなくなっています。ベンダ自身で、ユースケースや導入シナリオに応じて、十分に強固な認証手段であることを評価し、その根拠を文書化する必要があります。その根拠とする、業界のベストプラクティスとしては、NIST SP800-63-3およびSP800-63Bが挙げられています。これまでパスワードの定期的な変更の必要性については様々な議論があり、これまでPCI DSSやPA-DSSでは定期的な変更を求めていますが、このSP800-63Bでは、パスワードの侵害時やユーザーの変更依頼時を除きパスワード変更を求めるべきではないとしています。Secure Software Standardは、PCI DSSに先んじてベストプラクティスのほうに合わせてきているということでしょう。

コントロール目標 6: Sensitive Data Protection（機密データの保護）
機密データの保存時および伝送時の暗号化等による保護を求めるものです。ここで特徴的なのは、今までPCI DSS、PA-DSSでは、カード会員データ伝送時の暗号化については、オープンな公共ネットワークに伝送するときという条件付きでの要件でした。この条件がなくなったので、内部のLANだけで流通するような、カード会員データも伝送時の暗号化の対象になることが大きなポイントだと思います。

コントロール目標 7:  Use of Cryptography（暗号の利用）
暗号化アルゴリズムや鍵管理プロセスについて、業界標準やベストプラクティスに基づいた実装を求めるもので、暗号化強度が引き上げられました。暗号のビット強度という考え方があり、少なくとも128ビット強度以上が必要となります。これが実際にどういうアルゴリズムと鍵長の組み合わせになるかというと、AESが128ビット以上、RSAであれば3,072ビット以上、ECCは256ビット以上必要となり、今までより一段上のレベルになっています。なお、3-Key TDES（トリプルデス）は、鍵長が168ビットですが、ビット強度で言うと112ビットとなるので実質使えないことになります。暗号化アルゴリズム・鍵長の移行に関する推奨事項を定めたNIST SP800-131A Rev.2でも、TDES（トリプルデス）は、2023年より後には使えないようになりましたので、おそらくそこが反映されたのかと思います。

コントロール目標 8: Activity Tracking（活動の追跡）
今までロギングと言っていたのが、トラッキングという名前に変わりました。記録する対象のイベントについては大きな変更はありませんが、記録そのものの完全性を維持するための実装が追加されています。

コントロール目標 9: Attack Detection（攻撃の検知）
攻撃の検知については、機能面での追加が必要になってくるところがあります。今まで、ログをベースに分析して攻撃を検知するのは運用の範疇なので、PA-DSSではログを出すところまで実装し、あとはそのログをベースに攻撃を検知するのはPCI DSSの範疇という整理でしたが、攻撃を検知するような機能を自らソフトウェア自身に組み込むことが必要になっています。これは、難易度が高いかもしれません。

コントロール目標 10: Threat and Vulnerability Management（脅威と脆弱性の管理）
プラットフォームやプロトコル、プログラミング言語レベルでの一般的な攻撃手法の識別・評価を行い、攻撃ルートが存在する場合は対策を実施し、リリース前の脆弱性テストと見つかった問題の修正を求めています。前出のコントロール目標 4では、攻撃シナリオの識別と緩和策の実装が求められましたが、ここではそのテストを実施するという関係性があります。

コントロール目標 11: Secure Software Updates（安全なソフトウェアの更新）
脆弱性を修正するアップデートを適切なタイミングで提供すること、アップデートは完全性を保証する安全な方法で配布することなど、PA-DSSの要件とほぼ同じです。

コントロール目標 12: Vendor Security Guidance（ベンダセキュリティガイダンス）
PA-DSSでは「PA-DSS実装ガイド」と呼んでいたものが、「ベンダセキュリティガイダンス」に名称が変わりました。文書の役割は同じで、セキュリティの観点で正しい導入ができるように提供するユーザー向けのガイダンスです。

コントロール目標 A.1: Sensitive Authentication Data（機密認証データ）、
コントロール目標 A.2: Cardholder Data Protection（カード会員データの保護）
Module Aを構成する2つのコントロール目標で、機密認証データ、カード会員データを扱う場合には対象になります。カード会員データの定義やそれに対する対策については今までと大きく変わりはありませんが、1点影響がありそうな点としては、今までPANを読み取り不能にする技術的な対策としては、トランケーション、トークナイゼーション、暗号化、あるいはワンウェイ・ハッシュというのも選択肢にありましたが、ワンウェイ・ハッシュが選択肢からなくなっているので、今後使えなくなると考えたほうが良いでしょう。

PCI Secure Software Lifecycle (Secure SLC) Standard の概要は？

基本的には、ソフトウェアのテスト、変更管理、脆弱性管理、リスク管理、ガイダンス提供など、いわゆるソフトウェア・ライフサイクルに関するものが対象になっており、この対象範囲についてはPA-DSSのときと大きくは変わっていません。

基準の中で、サードパーティ・サービスプロバイダ（TPSP）についての補足がありますが、これはSecure SLCに関連する業務を外部委託する場合の管理についてです。PCI DSSでもTPSPの評価については、TPSP自身が独立した審査を受けるか、あるいはTPSPのユーザー毎の審査の中で評価を受けるか、選択肢がありますが、それと考え方は同じです。

Secure SLC Standardは、10のコントロール目標とそれを4つにグルーピングしたセキュリティ目標で構成されています。ここでは、セキュリティ目標単位で概要を簡単にご紹介します。

Software Security Governance（ソフトウェアセキュリティのガバナンス）
Secure SLC Standard自体が、製品単位ではなく、ベンダ単位で認定するものになりますので、Software Security Governance（ソフトウェアセキュリティのガバナンス）のタイトルが示すとおり、ベンダが扱う製品の全体的な責任を上級の首脳陣に割り当てることを求めています。例えばCTO、CEOなど、CxOに該当するような首脳陣にきちんと責任を割り当ててください、という位置付けになっています。

また、ソフトウェアセキュリティのポリシーと戦略に関するコントロール目標では、ベンダとしてのソフトウェアセキュリティの戦略策定からそのパフォーマンスのモニタリングまでが要求されるという、今までのPA-DSSにはなかったレベルの話が出てきています。

Secure Software Engineering（安全なソフトウェアエンジニアリング）
脅威分析、脆弱性管理に関するものです。これはPA-DSSにも同様の要件がありますが、よりきめ細かい内容になっています。Secure Software Standardと同様に、重要な資産の識別という要件が入ってきています。

Secure Software and Data Management（安全なソフトウェアとデータの管理）
変更管理、バージョン管理、ソースコード・レポジトリの管理、機密データ管理に関するものです。機密データの管理では、トラブルシューティングなどで、ユーザーのログ情報を借用して持ち帰ったりしたときに、それを安全に扱う管理に関して定めています。いずれも今までのPA-DSSにもあった観点なので、大きな影響はないでしょう。

Security Communications（セキュリティに関する情報伝達）
ベンダとしての、ユーザーとのコミュニケーションに関わるものです。ベンダセキュリティガイダンスの提供および管理、製品のセキュリティやアップデートに関する情報提供などが該当します。セキュリティガイダンスに関する要件は、Secure Software Standardにもありますが、セキュリティガイダンスの内容自体はSecure Software Standardの方で評価して、その作成・提供・維持のプロセスに関してはSecure SLC Standardの方で評価するという整理になっています。

2019年中頃に認定プログラムが発表、移行期間は3年間

Software Security Frameworkに含まれる2つの基準を紹介しました。PA-DSSとの大きな相違点として、認定対象ソフトウェアと保護対象データが広がった点が挙げられます。今までPA-DSSで対象外だったクラウドやモバイルのソフトウェアも対象になってくるということと、アカウントデータ以外についても保護対象とするデータが出てきたことについて紹介しました。

そして、Objective-based Approachという新しい考え方に基づいて策定されたことも、大きなポイントです。新しいアプローチの考え方として、お仕着せの対策をそのまま実装するというよりは、個々のソフトウェアのリスク評価に基づいた対策が求められるようになっています。これは、今後ほかのPCIの基準にも適用されていくようですので、対策の考え方を大きく変えなければいけない面が出てくると思います。

今後のスケジュールとしては、認定プログラムが2019年中頃にリリースされる予定で、それに伴って既存のPA-DSSからの移行が開始されます。2022年10月が現行のバージョン3.2のPA-DSS認定アプリケーションの失効期限となりますので、そこに至るまでに3年ほどかけて移行していくことになります。

新規のPA-DSSの認定審査は、2020年中頃まで受け付けられます。それ以降は、新しいソフトウェアセキュリティ基準で対応していかなくてはいけないということになります。

当社としては、新基準に移行するまでのPA-DSS認定審査と、移行後の新しい審査資格でのソフトウェア認定審査も対応していく予定です。

前編へ戻る

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のNTTデータ先端技術株式会社 セキュリティ事業部 セキュリティコンサルティング担当 担当課長 池谷 陽氏の講演に加筆を加え、紹介しております。

お問い合わせ先
■NTTデータ先端技術株式会社
セキュリティ事業部
〒104-0052 東京都中央区月島1-15-7
パシフィックマークス月島7F
TEL：03-5859-5422
URL：http://www.intellilink.co.jp
お問い合わせフォーム
Email：sec-info@intellilink.co.jp

2019年6月4日8:00

セキュリティと利便性、飛躍的に向上

ISRが提供するクラウド型アイデンティティ管理サービス「CloudGate UNO（クラウドゲート ウノ）」が、また進化を遂げた。2019年4月1日からトライアル提供してきたパスワードレス認証を、5月21日より、いよいよ本格始動。FIDOアライアンスが定めた認証仕様「FIDO2」に則った、クラウド型パスワードレス認証では日本発・世界初のサービスとなる。従来からのシングルサインオンやアクセスコントロールの機能にパスワードレス認証が加わることで、ユーザーの利便性は格段に向上。さらに、ハッキング侵害の原因が8割以上を占めると言われるパスワードを使わないことで、安全性もより強固になる。ISRはこのサービスを「CloudGate UNO」の新規プランとして提供。今年度は5万ユーザー、2021年度には50万ユーザーの利用を見込んでいる。（提供　株式会社インターナショナルシステムリサーチ）

新たな認証仕様「FIDO2」対応の
パスワードレス認証機能を実装

インターナショナルシステムリサーチ（以下、ISR）は、クラウド型アイデンティティ管理サービスの「CloudGate UNO（クラウドゲート ウノ）」に、パスワードレス認証を組み込んだプランを追加、5月21日より提供を開始した。月額500円の「CloudGate UNO Enterprise Plus（クラウドゲートウノ エンタープライズプラス）」と、これにセキュリティキー２つが付加される月額1,000円の「CloudGate UNO Premium（クラウドゲートウノ プレミアム）」の2プランである。

「CloudGate UNO」は、クラウドサービスを安全・便利に利用できる環境を構築することを目的に、2008年から提供が開始された。アクセスコントロールとシングルサインオン（SSO）の2つの機能によって、セキュリティと利便性の両方を同時に実現。アクセス可能なクラウドサービスは約60で、稼働率はほぼノンストップの99.99％以上だ。ユーザー数は、1,500社、79万（2019年3月末時点）に上る。

「CloudGate UNO Premium」および「CloudGate UNO Enterprise Plus」のパスワードレス認証は、FIDOアライアンスが定めた新しいWeb認証仕様「FIDO2」に準拠したものだ。FIDOアライアンスとは「高速なオンラインID認証（Fast IDentity Online）」方法の確立を目指すグローバルな非営利団体で、ISRはそのスポンサーメンバー。今回リリースされたサービスでは、事前に指紋などの本人情報を登録しておくことで、ユーザー名（ID）の入力と生体認証デバイスなどを利用した本人情報のみで認証が可能となった。さらに、CloudGate UNOが対応している複数のクラウドサービスにログインすることもできる。

現在、ハッキングによる侵害の81％は、パスワードに起因するものと言われている。パスワードを使わないパスワードレス認証は、ユーザーの利便性向上のみならず、セキュリティ強化の面からも、導入の効果が期待される。

日々の業務を円滑に遂行する上で
パスワードレス認証はもはや必須の要件に

「CloudGate UNO」のパスワードレス認証は、4月1日からのトライアル提供を経ての本格提供となった。トライアルを実施する中で、さまざまなユーザーの声が寄せられた。

例えば「毎日のようにパスワードに関する問い合わせがあり、業務をひっ迫させている。パスワードの管理業務がなくなるのであれば、本当に助かる」という企業の情報システム管理者の声。一部懸念されていた指紋認証への抵抗も、トライアル実施の中ではほとんどなかったという。

ITの最先端をいくパスワードレス認証はむしろ、「いわゆるITリテラシーの低いユーザーのために活用すべき」と指摘する声も聞かれた。シングルサインオン（SSO）を利用することで、認証に一切パスワードを使う必要のない環境を整えることも可能。ユーザビリティの観点から言っても、パスワードレス認証は歓迎すべき技術と言える。

ISRのパートナー企業でもあり、「CloudGate UNO」のユーザーでもある株式会社電算システム 取締役 クラウドインテグレーション事業部長 渡邉 裕介氏は、「リセラー（販売代理店）とユーザー、双方の立場から、パスワードレス認証サービス開始を大変嬉しく思います。多くの人が数十から百にもおよぶパスワードを保有するようになっている昨今、日本社会において二要素認証以上のパスワードレスの実現は急務と考えています」とコメントしている。

サービス導入をトレーニングを含め全面的にバックアップ
初年度5万、2年後50万のユーザー数を見込む

インターナショナルシステムリサーチ 代表取締役社長 メンデス・ラウル氏は、今回の日本発、世界初のサービスの普及に並々ならぬ意欲を見せる。パスワードレス認証サービスの導入を、2019年度中に5万ユーザー、2年後の2021年度までに50万ユーザーに拡大する計画だ。

メンデス氏は、「セキュリティという観点から安全性を追求すればするほど利便性が落ちるというように、これまでは利便性と安全性はトレードオフの関係にあると言われてきました。しかしFIDO２により、パスワードレス認証は、この歴史的な利便性と安全性のジレンマを改善しました」と明言している。パスワードレス認証によって、セキュリティと利便性は相反することなく担保されることになっていくのだろう。 

ISRでは、「CloudGate UNO」のパスワードレス認証サービス導入に向けての支援体制を整備した。トライアルでのフィードバックをもとに、全社導入に至るまでの段階的なステップとサポート体制を築き上げ、ユーザー企業が円滑にパスワードレス認証を導入できるよう、トレーニングなども含めて全面的にバックアップしていく意向である。この6月からは、定期的にパスワードレス認証の方法をユーザーに個別にレクチャーする「CloudGate UNO新機能『パスワードレス認証』体験ハンズオンセミナー」を開催する。こちらは参加費無料、完全予約制だ。また、CloudGate UNOの機能やパスワードレス認証の仕組みについて解説するウェブセミナー「CloudGate UNO新機能『パスワードレス認証』紹介セミナー」なども継続して実施する。

今後パスワードレス認証市場はどのように変化していくか。今後の市場の動向とISRのサポート体制が注目される。

■お問い合わせ先
株式会社インターナショナルシステムリサーチ
東京都中野区本町6-16-12 新中野FKビル2階
isr–press@isr.co.jp
URL：https://www.cloudgate.jp/

2019年6月4日8:00

PCIセキュリティ スタンダード カウンシル（PCISSC）はペイメントセキュリティの国際的な基準とプログラムの開発・管理に加え、加盟店・サービスプロバイダー・カード会社などがペイメントセキュリティを向上させるための取組みを支援しております。本講演では、PCI SSCの概要とPCI基準の最新動向、2020年に向けた日本での取組みについて紹介します。

PCIセキュリティスタンダードカウンシル（PCI SSC）日本アソシエイトダイレクター　井原 亮二氏

PCI セキュリティ スタンダード カウンシル (PCI SSC) の概要

来年の東京オリンピックまであと500日を切りましたが、2020年3月12日に東京オリンピックのための聖火ランナーのリレーが始まります。3月26日には福島に上陸して47都道府県を回り、7月24日に新国立競技場に来るということで、オリンピックの準備もいよいよ大詰めですが、一方で、東京オリンピックを標的としたサイバー攻撃も実はすでに報告されています。例えばチケット販売のフェイクサイト、フィッシングメールなど、すでにいろいろ起きています。翻って、3年前に、ブラジルのリオデジャネイロ・オリンピックがございましたが、当時の現地のお話を聞いてみると、やはり開催の2年程前からいろいろな攻撃があったそうです。その意味で日本では、2015年からクレジット取引セキュリティ対策協議会が立ち上げられて、実行計画が作られましたが、このような問題を見越していち早く取り組まれた素晴らしい活動だったと考えています。

PCIセキュリティスタンダードカウンシルは、頭文字を取ってPCI SSCと呼んでいます。PCI DSSのDSSは、データ・セキュリティ・スタンダードです。このスタンダード、基準を管理・運営している組織がPCISSCです。私はPCI SSCの一員としてアジアで初めて採用されまして、この日本の官民を挙げた取り組みを支援していく役割を担っているわけですが、これは今回の取り組みがある意味、アジアのモデルとなって、手本となれるような、国際的な期待の表れでもあると考えています。

今回は「PCI基準の最新動向と2020年に向けた取り組み」というテーマでお話しますが、PCI SSCが日本でこのようなオープンフォーラムでお話をするのは、実は今回が初めてとなりますのでまずは、PCI SSCについてご紹介します。

PCI DSSができたのは、2004年12月です。国際5ブランド（アメックス、ディスカバー、JCB、Mastercard、Visa）が共同でこの基準を作り発表しました。それから1年半後の2006年6月に、それを管理・運営する機関として、同じ5ブランドが、このPCI SSCという組織を立ち上げました。そういう関係もあって、現在でも国際5ブランドがPCI SSCのガバナンスを管理しており、大きな意思決定はすべて、この5ブランドで構成されるエグゼクティブ・コミッティーで承認を得て、活動しています。セキュリティは、ブランドの競合関係を乗り越えて、協力・連携をしていくべき課題であるとの考え方に基づいています。

PCI SSCのミッションは、非常にシンプルです。関連事業者のペイメントデータの安全な管理を支援していきます。この目的を達成するための柱となる考え方、方針を3つ掲げています。１つは、セキュリティを向上させるための、国際的・業界横断的な努力です。脆弱な地域や業界、企業が残ると、そこに犯罪が集中しますので、関係者全員が同じ立場で取り組むことが大事です。2つ目に、業界主導による柔軟で効果的な基準と制度です。実際に作られた基準も、取り組む事業者側の理解と協力がないと普及しないため、さまざまな要望を積極的に取り込んでいます。3つ目は、犯罪者の攻撃や情報流出の予防、検知、影響の緩和です。予防だけではなく、実際に攻撃があったときに、それをいち早く検知して被害を最小限に抑える考え方も、基準の中に織り込んでいくべきです。そういう意味では、多面的、重層的な基準にしていく必要があります。

具体的に、PCI SSCが提供できるリソースとして、基準、認定プログラム、トレーニング、教育用ツールがあります。中でも基準は、PCI DSSを筆頭に、現在14の基準がございますが、大きく３つに分類をしています。1つは、決済用装置、ハードウェアです。例えばPINを入力するデバイス、HSMなど、ハードウェアに関する基準があります。それに対してソフトウェアでは、P2PE、PA-DSSなどがこのカテゴリーに入ってきます。3つ目の決済環境は、漠然とした言葉ですが、カード情報を扱ういわゆる体制、運用、処理、管理とか、そういう環境全体を指しており、これはまさにPCI DSSでいろいろな要件を規定しています。

これらの基準について準拠していることを、テストを通じて確認し、合格したソリューションを認定しています。また、認定したものをPCI SSCのサイトで広くご紹介ししています。

もう1つ、人材育成の観点で、例えばPCI基準に関する理解者、あるいはPCI DSSの準拠状況を評価する評価者、評価する機関がトレーニングを受けていただき、最終的に認定しています。

一方、カード情報を取り扱う事業者から見たときに、セキュリティ対策の基本は「人材」「プロセス」、「テクノロジー」の3つになります。

「人材」は、組織の中にペイメントセキュリティに関する経験者、あるいはリーダーを育成していくことが非常に重要なポイントです。「プロセス」は、カード情報を扱うための方針、業務処理、あるいは運用手順をきちんと確立していくことで、担当者が変わっても、そういう考え方が引き継がれていくことが、大事なポイントです。3つ目の「テクノロジー」は、新しい犯罪の手口、脅威、リスクに対抗できる適切な技術を積極的に採用していくことが、大変重要なポイントだと考えています。この「テクノロジー」ですが、安全でセキュアな、例えば端末機、ソリューションを使っていただくことが重要だと考えていますが、PCI SSCはこの基準に準拠、合格し、認定した設備やソフトウェアを、加盟店、あるいはサービスプロバイダ等々の関連事業者が簡単に特定できるように、PCI SSCのサイト上で公開して案内しております。特に日本の実行計画との関係でいきますと、例えば「Approved PTS devices」はいわゆるPIN入力用デバイスです。これはIC化対応をしていくと、どうしてもPINを入力するオペレーションが付いてきます。そのときに、入力したPINを安全に処理・管理していくためのデバイスになります。

「PCI P2PE Solutions」は、ポイントtoポイントということで、カード情報を扱う端末と、最終的にそれを処理・保管するセンター側に至るまで、カード情報を適切に暗号化し処理・伝送していくソフトウェアがあります。これに認定されているソリューションが公開されております。

「Validated Payment Applications」は、ペイメントカードデータを保護するためにPA-DSS（Payment Application Data Security Standard）に準拠していることが確認されたソフトウェアプロダクツです。

P2PEも、PA-DSSも、カード情報の非保持化、特に内回り方式を実現していく上で大変有効なソリューションであり、先々PCI DSSに準拠していくためにも大変有効に機能すると考えております。

次に、PCI SSCのミッションを達成するためには、やはり地理的、業種・業界の専門家、実務の方々が広く参画し、いろいろな意見を反映することが重要だと考えております。これを実現していくための手段として、Participating Organizations（パーティシペイティング・オーガニゼーション）という枠組みが、PCI SSCの中にあり、略して、「PO」と呼んでいます。

PCI基準は、PCI SSCに参加してくださったPOの方々との協業によってかたち作られていきます。POは現在、全世界に800社強あり、多くの関連事業者が参加してくださっています。新しい基準の策定や、改定、制度を考案、決定するに当たり、いろいろなフィードバックをPOからいただいています。

PCI SSCは、グローバルなオープンフォーラムです。法人であれば、原則どなたでもPOに参加していただくことが可能です。現在、アジア・太平洋地域では67団体あり、この内、日本は残念ながら10社と少ない状況です。日本の市場規模、PCIに対する取り組みを勘案すると、もっとPOが増えて、日本の声を反映させていく努力が必要なのではないかと思います。

PCI DSSの準拠は、日本では事実上法律要件の一部になっています。もっと日本の特殊事情、環境といったものがPCI DSSの中に反映させていくことが必要と考えています。

POに参加するには年間3,750ドルの費用が必要になりますが、いろいろなメリットがあります。簡単にご紹介しますと、一番重要なのは、PCIの基準やプログラムをドラフトの段階でレビューすることができ、そのうえでいろいろなご意見やコメントを提示していただくことが可能です。それと、海外の動向やPCI基準、プログラムに関するニュースがPCI SSCから定期的にニュースレターとして送られます。また、PCI SSCが立ち上げるタスクフォース（SIG (Special Interest Group)と呼ばれています）があります。POの方からPCI基準やペイメントセキュリティに関する共通課題をご提示いただいたときに、それを議論するためのタスクフォースを立ち上げます。それにはQSA、アクワイアラ、国際ブランド、ベンダーなど、いろいろな方々を招集して、課題に取り組んでいきます。そして1つの解答、結論を出していくという枠組みがあり、これにも参加していただくことができます。

さらに、PCI SSCが主催する、ISA,PCIPなど人材育成トレーニングおよび資格認定のプログラムがありますが、これらのご参加料の割引が受けられます。そのほかいろいろ細かいこともあるのですが、ぜひこのようなメリットをご理解いただき、ご検討いただければと思います。

PCI基準とプログラムの最新動向

続きまして、PCI基準とプログラムの最新動向についてお話しします。PCI SSCは、PCI DSSをはじめとしまして、PO、あるいはQSAのような方々からいろいろなご意見をいただき、それに応じて基準やプログラムの更新、策定などを行っていきます。このような動きは、いずれ国際ブランドがルールに落とし込んでいきます。そうなると、アクワイアラを通じて、サービスプロバイダあるいは加盟店にいろいろな影響を及ぼします。ですので、できるだけ早い段階でこういう情報を収集・把握していただき、ご理解していただくことをお勧めします。

まず最初に本年1月に「ソフトウェア・セキュリティ・フレームワーク」が発表されました。これは企業から情報流出が起きているケースでその原因を調査していく中で、使われているアプリケーションプログラムに脆弱性があり、導入している加盟店も知らないところで平文のカード情報のファイルがPOSの中に残っていたケースなどがありました。実際、POS端末やモバイル、スマホ、サーバなどではいろいろなプログラム、アプリケーションが使われカード情報が処理されています。したがって安全なソフトウエアおよびそのライフサイクルに関する基準を策定することはとても重要な課題です。そういう議論を経て、ソフトウェア・セキュリティ・フレームワークがつくられています。

次に「Best Practices for Maintaining PCI DSS Compliance」です。ベストプラクティスなので、基準ではありませんが、PCI DSSに準拠した企業が、いかに持続するか、維持するのかは共通の課題になっております。PCI SSCがSIGを立ち上げて、議論を行い、ドキュメントにまとめられています。

PCI DSSは原則年1回のレビューで準拠状況を確認しますが、このレビューは、その時点がどうかというのはわかりますが、普段の状況は把握できません。大切なことは、自社のリスクをしっかり理解して、どういうリスクがあるのか、どういう頻度で何をどれだけ見たらいいのかを企業のカルチャーとして、作り上げていくということが非常に重要だと思います。このガイドブックには、テクニカルな観点だけではなくて、会社の体制、管理方法などがベストプラクティスにまとめ上げられています。

後編へ続く

※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のPCIセキュリティスタンダードカウンシル（PCI SSC）日本アソシエイトダイレクター　井原 亮二氏の講演に加筆を加え、紹介しております。

2019年6月5日8:00

■PCIセキュリティスタンダードカウンシル

2020年に向けた日本での取り組み、日本語サイトへの対応を強化

次に、2019年から年末にかけての取り組みについて紹介します。まず、P2PEですが、現在バージョン3.0が準備されています。すでにRFCは行われていまして、皆様からご提示いただいたご意見に基づき修正作業をしています。早ければ年内に3.0が出る予定です。

それから「カード・プロダクション・アセッサー・プログラム(Card Production Assessor Program)」 ですが、これはカードを製造したり、あるいはエンボス、エンコードをする事業者向けのPCI基準（Card Production Physical Standard / Card Production Logical Standard）があり、毎年各ブランドが独自にレビューし評価をしています。そのため事業者側に大きな負担がかかっていますので、PCI SSCが評価者を認定し、その人が1回レビューをすれば、その結果を5ブランドで共有することで、事業者の負担を大幅に軽減できます。

次に「Contactless on commercial off-the-shelf (COTS)」ですが、例えばスマートフォンやタブレットなどで行われる非接触決済はこれからさらに進展していく事業分野ですが、この決済スキームのセキュリティ基準としてまとめ上げたものです。これも年内にリリースすることを目標としています。

最後にPCI DSS4.0で、今年の後半にRFCが、POに向けて行われる予定です。ドラフトをご覧いただき、皆様から意見をいただいて、必要な修正を施して、早ければ来年中のリリースを目指していきたいです。

続きまして、日本において、2020年に向けてPCI SSCがどんな取り組みをしていくかを紹介させていただきます。

PCI SSCは2019年から2020年にかけて、日本のカード会社、加盟店、サービスプロバイダが改正割販法あるいは実行計画の要件の達成をしていくための支援をしてまいります。具体的には特にPCI DSSに準拠されようとしている事業者を支援するために、それに必要なトレーニング、審査員などリソースを増強してまいります。また一方で、P2PE、PA-DSSというソリューションもできるだけ増やし、選択肢を多くして、皆様に使いやすいものを選べる柔軟性を持たせていきたいと考えております。

加盟店やサービスプロバイダから伺う声の中には、PCIをやりたいと思っているのだけどリソースが不足している、特に、「QSAに連絡をしてもスケジュールがいっぱいです」という声を聞くことがあります。ですので、このような課題に取り組んでまいります。

併せて、いろいろなチャネルを使ってPCI関連のセキュリティ基準に対する理解を向上、改善していただくための活動もしてまいります。

次にPCI SSCが提供する人材育成プログラムについて紹介します。まず最初に、インターナル・セキュリティ・アセッサー（ISA：企業内部セキュリティ評価者）で、これは加盟店、サービスプロバイダ、カード会社など、企業の内部のセキュリティ評価者となります。PCI SSCは、PCIDSSの準拠状況を自社で自ら評価できる人材を育成し、その方々を認定しています。認定された方々はPCI SSCのサイトに登録されます。ISAは、PCI DSSの要件を理解し、一方で自社の状況、システム運用の状況を理解していらっしゃる中で、必要な対応をとるための指揮をとっていただくことになります。同時に、QSAのオンサイトレビューが入ったときに、いろいろな調整役を果たしていただくわけですが、もう1つ、ISAはQSAの代わりにオンサイトレビューをすることが認められています。ですので、現在、QSAのレビューを受けていらっしゃる方々も、できるだけISAを活用していただくことによって、結果的にコスト削減につなげることもできると思います。PCI DSSの準拠を目指していらっしゃる企業には、やはりこういうスキルを持たれた方を最低1名は育成されるべきと考えております。

次にPCIP (PCI Professional)という資格がございます。これは組織内の人材育成という意味では、ISAのような内部監査を前提としているわけではなく、PCIの基準に精通した人材をより広く育成するための制度であり、海外などを見るとこのPCIPという資格は、むしろSAQ、自己診断をご自身でやるときに、PCIPの方がリーダーシップを発揮して取り組んでいるケースもあります。PCIPは、オンサイトによる1日のトレーニング、あるいはオンライントレーニングとテストを受けて資格を取得することも可能です。合格者はPCI SSCのサイトにお名前が登録されます。2019年4月8日と9日に東京で、ISAとQSAのオンサイトのトレーニングを開催します。受講料は一般の企業は3,100ドルですが、POの方々は1,800ドルとなっております。ISA、QSAともに事前にオンライントレーニングがございまして、それを受けていただいた上で、2日間のオンサイトによるトレーニングを受けていただくことになります。その上でテストを受けていただき、合格すると、ISAの個人のお名前と会社名の2つが登録されます。資格の有効期限は1年ですが、更新はオンラインのトレーニングで可能となっております。日本の企業がISAやQSA、あるいはPCIPといった資格を取得するときにネックになるのが、言語の問題ですが、日本で行うトレーニングはすべて日本語のサポートが付きます。講師の説明は同時通訳が付きますし、テキストは日本語のものが提供されます。テストも日本語で受けていただくことが可能です。ISAは昨年東京でトレーニングを行った結果、40名強ぐらいの方々が新規にISAになっていただき、その方々が今年更新するわけなのですが、その更新のトレーニングもオンラインで日本語でできるようになります。

PCI SSCには日本語サイトがあります。URLの頭にJa.を付けていただくといきなり日本語のサイトにアクセスできます。このサイトをご覧いただくと、日本語のいろいろな教材ツールがアップされています。特に加盟店、中小の加盟店も含めて、今どんな事故が起きているのか、どんな事案があるのか、それに対してどんな対応が好ましいのかを、日本語で解説している資料、あるいはカード決済や情報セキュリティでよく使われる用語解説集など、すべて日本語で用意されておりますので、ぜひ一度お時間のあるときにご覧いただき、ダウンロードしてお役立ていただければと思います。

PCI DSSはペイメントセキュリティのベースライン

最後に、PCI SSCが主催するイベントをご紹介します。2019年はインドに加え、ラテンアメリカ、北米、ヨーロッパ、アジア太平洋の各リージョン単位でイベントが予定されております。アジア太平洋では昨年5月に、東京（恵比寿）で開催しましたが、300名強の方にご参加いただきました。今年はオーストラリアのメルボルンで11月20日・21日の2日間をかけて開催いたします。POに参加されますと、2名まで無料で参加いただけますし、併せてISA、PCIPのいろいろなトレーニングもセットで行っておりますので、もし興味があればぜひ参加をご検討いただければと思います。

まとめとしまして、PCI SSCとして考える今後の課題について、説明させていただきます。PCI DSSは、今年で丸15年になりますが、日本においては、ようやくカード情報を取り扱う事業者の皆様の認知を得られるようになってきたと実感しております。これまで大変多くの方々にご協力やご支援をいただいてきました。これは行政当局、経済産業省、あるいは業界団体の日本クレジット協会（JCA）、日本カード情報セキュリティ協議会（JCDSC）、あるいは国際ブランド、メディア関連の方々、もちろん加盟店、サービスプロバイダ、アクワイアラ、ベンダ、いろいろな方々のお取り組みを経てなんとかここまでこれたということで、この場をお借りして深く御礼を申し上げたいと思います。ありがとうございます。

ただ、PCI DSSは、私の感覚で申し上げますと、登山に例えるとまだ5合目ぐらいではないかなと思っています。特に、多くの加盟店からすると、実行計画の中で求められているPCI DSSよりも、非保持化を目指しているケースが圧倒的に多いと聞いています。その理由の1つは、PCI DSSは要件が多くてハードルが高いと、マイナスの印象を持っていらっしゃるからなのだろうと思います。

一方で、PCI DSSというのは、あくまでペイメントセキュリティのベースラインだと言われています。PCI DSSをやれば絶対に安全だということではなくて、常に新しいリスクに備えるべきだということになっています。例えばPCI DSSの要件の中には、3カ月に1回、脆弱性テストを受けると規定されています。また、カード情報にアクセスするパスワードは少なくとも90日に1回は変更すると規定いています。これらを行えば、絶対に安全であると誰にも断言できないわけです。PCI DSSに対する考え方として、対応を求められる加盟店と、実際これを推進している側には、まだまだ大きなギャップがあると考えています。

このギャップを埋めていく努力が必要です。加盟店にとってPCI DSSが、きちんと選択肢として位置付けられるようになっていくまで、理解を進めていく必要があるのだろうと考えています。

あらためて、PCI DSSとはいったい何なのだろうと考えてみたときに、カード情報を安全に管理していく手段を突き詰めていくと、PCI DSSの要件に行き当たるものだと思います。ですので、カード情報の安全な管理方法を考えていくと、自然とPCI DSSの要件が見えてきますので、PCI DSS準拠を目的化してしまうよりも、本質的に、自社にどんなリスクがあって、何をすべきなのかという観点から入っていくと、PCIに対する理解が深まっていきます。ある意味、発想の転換のようなことが必要になってくるのではないかと思うのですが、そのときにやはりカギになるのが、人材だと思っています。組織の中で、そのような知見やマインドを持った人材を育成していただいて、組織の内側から変えていくことが必要だろうと考えていますので、PCI SSCとしては次の5年、これを課題の1つとして、ぜひ取り組んでまいりたいと思っております。

前編へ戻る
※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のPCIセキュリティスタンダードカウンシル（PCI SSC）日本アソシエイトダイレクター　井原 亮二氏の講演に加筆を加え、紹介しております。

2019年6月7日19:00

インターナショナルシステムリサーチ（ISR）は、クラウド型アイデンティティ管理サービス「CloudGate UNO（クラウドゲートウノ）」でFIDO（ファイド）2の認定を2019年6月6日に取得したと発表した。

ISRは、2008年から企業向けクラウドサービスのアクセス制限や認証強化サービスとしてCloudGateを提供しており、2014年のFIDOアライアンス加盟以来、FIDO U2Fに対応するなどさらなる認証強化に努めてきた。そして、今回のFIDO2認定取得にて、ISRは世界初のクラウド型パスワードレス認証サービスを提供する企業として日本からより多くの企業へ、それぞれの企業に合ったFIDO2対応認証デバイスを用いた、パスワードレス認証の普及に努めていく方針だ。

FIDO2（Web認証）は、W3CのWeb認証仕様（WebAuthn）とFIDOアライアンスのデバイス間連携仕様（CTAP）から成る技術仕様で構成され、生体認証デバイスなどを利用してウェブブラウザーを通じたオンラインサービスへの安全なログインを実現する認証仕様となる。 FIDO2を利用した認証では、パスワードの代わりとしてFIDO2に対応した認証デバイスを使用することで、パスワードレス認証が可能だ。

これにより、CloudGate UNOとシングルサインオン連携した他のサービスプロバイダが提供するクラウドサービスにも、CloudGate UNOを介してFIDO2を利用したパスワードレス認証が可能になる。CloudGate UNOユーザーは、これまで利用してきたパスワードを使うことなく、FIDO2対応認証デバイスで認証し、CloudGate UNOから複数のクラウドサービスへシームレスにアクセスすることができる。

2019年6月10日14:00

エントラスト・データカードは、このほど「nCipher Security」の買収を完了したと発表した。nCipher Securityは、タレス（Thales）の汎用ハードウエア・セキュリティー・モジュール（HSM）事業部門となる。

汎用HSM市場は、データおよびアプリケーションのセキュリティー強化に対する世界的需要、暗号利用の増加、そしてEU一般データ保護規則（GDPR）や電子本人確認・認証・トラストサービス（eIDAS）規制など、個人情報保護規制によって後押しされ、急成長しているそうだ。HSMは最高レベルの暗号セキュリティーを提供できるため、クラウド・サービス、モノのインターネット（IoT）機器、その他のデジタル・イニシアチブにおけるネットワークやサイバーセキュリティーのリスクを最小化するために導入されている。

汎用HSMは、エントラスト・データカードのソリューションにおける中核的要素であり、同社の公開鍵インフラ（PKI）とセキュア・ソケット・レイヤー（SSL）のセキュリティ・インフラを支える役割を果たしている。エントラスト・データカードは、nCipherソリューションを自社のオンプレミスPKIとマネージドPKI、そしてIoT機器のクレデンシャル・認証・ライフサイクル管理と共に提供する。

なお、nCipherの従業員300人以上が、エントラスト・データカードのチームに加わった。nCipher Securityは今後もフロリダ州サンライズを拠点とし、英国ケンブリッジのサイバーセキュリティ開発センターと香港の営業サポート・センターを維持する。

2019年6月13日7:00

Gardiaは、2019年6月12日より開始したバンクが提供する新しい決済手段「モノ払い」に対して、Gardia独自の与信審査サービスと債務不履行リスクに対する保証サービスを提供開始したと発表した。

まずはエボラブルアジアが運営する総合旅行プラットフォーム「エアトリ」と、ナノ・ユニバースが運営する自社オンラインストアで「モノ払い」を利用できるようになる。

バンクが提供する「モノ払い」は、あらゆるオンラインストアなどに埋め込める、「不要なモノ」で「新しいモノ」が購入できる決済手段であるそうだ。 「モノ払い」は、「お金」を介さない現代版物々交換のような新しい決済手段となる。

Gardiaは、これまで同社が保証と決済の両面から培った与信・審査ノウハウを最大限活用しながら、バンクの新決済手段を支援するという。

2019年6月14日12:00

電子チケットサービス「ticket board」を運営するボードウォークは、2019年6月14日の「チケット不正転売禁止法」施行に伴い、不正防止に役立つ入場専用アプリ「LIVE QR（ライブ・キューアール）」の提供を新たに開始すると発表した。

ticket boardは、従来から電子チケットの特徴を生かし「購入時の同行者の指定」や「公演直前の座席通知」など、さまざまな角度からチケットの不正転売への対策を講じてきたが、 チケット不正転売禁止法施行に伴い、さらに強化した防止策を有する電子チケットアプリ「LIVE QR」を開発、サービスの提供を開始した。

今回は、 不正転売を「牽制」「抑止」「検知」する機能を加えることで、未然に防ぐことが可能なシステムを構築。まず、一定時間ごとにQRコードが切り替わり変化することで、 事前にキャプチャされたQRコード画像による入場を抑止する（最新のQRコードのみ有効）。 さらに円を常に周回する動きにより、キャプチャ行為を牽制。またQRコード自体は暗号化されているため、偽造が困難だとしている。

さらに、従来、（チケットの本人確認が必要な場合）写真付きの身分証明書の持参を来場者に依頼し個別チェックを実施していたが、「LIVE QR」はアプリ内に顔写真の登録が可能になった。アプリを起動した上で撮影した写真のみ利用可能で、顔認証登録が必須の公演の場合、申し込み中の写真の変更はできないことから、不正転売の抑止ができる。

そのほか、昨年発生したネットワーク障害で、電子チケットの利用ができなくなるという事態が発生したことを受け、ネットワーク障害への対策として「公演前日にダウンロードを促すメール」を配信し、リスクを軽減する。同アプリでは、前日に一度でもQRコードを表示していれば、当日オフラインであっても入場が可能だ。

2019年6月19日11:30

Visa Inc.は、米国時間の2019年6月17日、人工知能（AI）を活用するVisa Advanced Authorization（VAA）による金融機関の詐欺被害の抑止効果が、年間で推定250億ドル以上に達し、加盟店や消費者のためのより安全なグローバル決済エコシステムの実現を可能にしているという新たな解析結果を発表した。

VAAはVisaのグローバル決済ネットワークVisaNetにおける取引承認をリアルタイムに監視、評価する包括的なリスク管理ツールで、金融機関は新種の不正パターンや傾向を迅速に特定し、対策を行うことができるという。昨年VisaNetで処理された加盟店と金融機関の間の取引件数は1,270億件に達している。金融機関が不正な取引を迅速に特定、防止しながら、正当な利用を承認できるよう、全取引をAIにより1件あたり1ミリ秒の速さで、すべてのVisaNet取引を解析したそうだ。

VAAは不正取引を防止し、金融機関や加盟店は不正リスクを抑制できる一方、カード会員にとっては真正利用阻害によるストレスの減少に繋がるという。Visa Advanced Authorizationは129カ国の8,000社以上の金融機関に導入されている。VisaはAI基盤に潜在的な不正利用を特定させるため、人の脳をモデルにしたニューラルネットワークをいち早く導入した。

Visaは、人間の知能とAIのような技術に同時に投資する多角的なアプローチにより、世界の不正利用の発生率を0.1%という史上最低水準に維持しているとした。

2019年6月25日8:00

最新技術を駆使した個性あるペイメントカードの投入で差別化を促進し市場に活気を――

韓国に本拠地を置き、ICカードの開発・製造、金融プラットフォームの開発・提供などをグローバルに展開するフィンテック企業、KONAインターナショナル。同社はメタルカードの世界トップサプライヤーでもあり、ほかにも木やLEDなどさまざまな素材・技術を用いたペイメントカードの製造を手がけている。KONAインターナショナルでは、意匠性の高いペイメントカードは、ユーザーに持つ喜び、使う楽しみを提供し、ロイヤリティの向上、利用促進にもつながると、日本市場に異素材カードの導入を提案している。（提供　KONAインターナショナル）

優良顧客向けに、重厚感のあるメタルカードが人気
国際ブランドクレジットカードにも採用

KONAインターナショナルは、1998年創業の、韓国に本拠地を置くフィンテック企業だ。主軸はICカードの開発・製造であり、韓国2カ所の拠点で、年間2億枚を製造。韓国市場において7割のシェアを占め、ほかにもアメリカ、アジア、中東、ヨーロッパなどグローバルで幅広く事業を展開。日本では主に大手印刷会社などとの協業によって、事業の領域や規模を拡大してきた。

同社が今、日本市場において力を入れているのが、異素材カードの導入提案だ。同社は数少ないメタルカードの製造技術を有するメーカーであり、世界トップの供給実績を誇るという。近年、国際ブランドクレジットカード会社にも、同社のメタルカードが採用された。

重厚感があり、ステイタスを感じさせるメタル素材は、上位クラスのクレジットカードによく馴染む。金属に印刷する技術も進歩しており、意匠性の高いカードの製造が可能になっている。

メタルカードの素材は、チタンとステンレスの2種。さらに、フルメタルと、半分プラスチックを使用したハーフメタルの２つの仕様があり、ハーフメタルの場合には接触だけでなく非接触にも対応するデュアルインターフェースを採用することが可能だ。

メタル独特のリッチな質感は幅広い層に好まれており、韓国では、比較的若く流行に敏感な層を主要顧客として抱えるネットバンクが、希望者に有料でメタルカードを発行している例があるという。KONAインターナショナル 日本事務所 カントリーマネージャーの笹井幸一郎氏は、「日本でもこういったアプローチがどんどん増えていくのではないかと見ています」と語る。

企業の要望にフレキシブルに応えられるよう、同社では2019年より生産設備を増強し、量産体制を整備。一方で、数十枚単位からの試行段階の要望にも、真摯に対応していきたいとしている。また、カード製造ではなく、すでに発行しているICチップ供給による受託製造といった受注にも応じる。

デジタル化時代にも衰えないリアルカードの魅力
顧客ロイヤリティ向上のツールとして、効果に期待

KONAインターナショナルでは、異素材として、メタルのほかに、環境にやさしい木材シートを使ったカードも製造。韓国では過去5年間に1,000万枚を発行した。また、LEDを組み込んだカードなどもある。台湾では日本のアニメキャラクターをあしらい、決済時にLEDが光るカードが発行されていて、アニメ好きの若者に非常に人気が高いという。

最近、Appleがクレジットカード「Apple Card」を発行すると発表し、そのリアルカードのスタイリッシュなデザインが話題になった。このことが物語っているように、ネット決済やモバイル決済が広がり、リアルなペイメントカードの出番が減少傾向にあるといっても、人々は魅力的なカードには反応する。しかも、モノがあるからこそ、クチコミの波及効果も速くて大きいのである。

意匠面、機能面ともども、ペイメントカードの製造技術は大きく進歩している。これら最新技術を生かしたリアルカードが、デジタル化時代の差別化の切り札になる可能性は十分ある。「デジタル化が進展している今だからこそ、楽しく面白みのあるカードを市場に投入して、どういった反響が得られるかを検証してみる価値は大いにあると考えます」と笹井氏は熱弁する。

韓国ではペイメントカードがユーザーのコレクションの対象になっていて、カード施策の反応が即座に跳ね返ってくる。イシュアにとっては、テストマーケティングを行いやすい環境だ。例えばSamsungカードでは、顧客ロイヤリティ・プログラムの一環として、意匠性の高いカードをいくつも発行して、テストを繰り返しながら、高い効果を上げているという。リアルカードはキャッシュレス先進国、韓国でも、有用なツールとして活用されているのだ。

これまで何年にもわたって日本の協業先とともに、日本企業が求める世界最高峰の品質水準を追求してきたKONAインターナショナル。物流においても、セキュリティロジティクスという国際ブランド基準に則った品質を確保している。加えて、世界トップのキャッシュレス大国、韓国の知見を活かせることが、同社のサービスを利用するメリットと言えるだろう。日本でのキャッシュレス化のさらなる推進においても、同社の技術は注目に値しそうだ。

■お問い合わせ先
KONAインターナショナル
グローバルセールス　日本オフィス
〒141-0021東京都品川区上大崎2－15－19　MG目黒駅前2F
TEL：03-4540-1788
お問い合わせ先：笹井( koichiro.sasai@konai.com)
HP：https://konai.com/

2019年6月27日8:00

日本でも2～3年をめどにシェアトップ目指す

出荷台数世界トップの決済端末プロバイダー、Ingenico Group（以下、インジェニコ・グループ）の日本法人Ingenico Japan株式会社（以下、インジェニコ・ジャパン）は業務拡大に伴い、東京都港区虎ノ門の「虎ノ門琴平タワー」4階に本社を移転した。国内での端末の出荷台数が急成長し、売上高は前年比4倍となるなど事業は順調だ。今回は、同社 代表取締役社長エリック・グルニェー氏、最高技術責任者（CTO） グザビエ・ミシェル氏、セールス&ビジネスディベロップメント部部長 矢部啓人氏に、国内での戦略について説明してもらった。（提供：Ingenico Japan株式会社）

インジェニコ・ジャパン、マネジメント刷新でさらに戦略強化

2016年に日本進出を果たしたインジェニコ・ジャパン。フランスのインジェニコ・グループ本社でR&D（研究開発）やオペレーションなどを担当していたグルニェー氏が派遣されるなど、マネジメント体制を一新し、日本市場での本格的な展開へ向けた経営改革や基盤づくりに奔走してきた。

グルニェー氏は「2018年から約1年かけて、会社の方針を固めながら、チームを大きく刷新しました。マネジメントの刷新は、日本において、ビジネスを大きく成長させるという野心に基づいています。われわれはグローバル№1の決済端末出荷台数を誇り、日本でも2～3年をめどにトップを目指しています。大きな変革期を迎えつつある日本の決済革命をリードしていきたいです」と意欲を示す。

チーム構成も大きく変わった。東京と札幌の2極体制で展開していたオペレーションを東京の新本社に集中。約40人の社員は7～8割が新しい顔ぶれになった。矢部氏は、「グローバル企業らしく、社員の国籍はさまざまです。実にインターナショナルで多様性のあるチームになっています」と胸を張る。

端末の出荷台数が急増し、売上高前年比４倍

経営改革の成果はすでに数字に表れている。2018年売上高は前年比4倍と急成長し、2019年以降も更なる成長を見込んでいる。

日本に進出しているグローバル企業での採用に加え、大手家電量販店ノジマや全国の主要な百貨店グループでの相次ぐ採用が業績拡大のけん引役となり、ドラスティックかつ確実に国内シェアを拡大している。

決済手段の多様化や2018年6月1日の改正割賦販売法施行に伴うセキュリティ強化も追い風となり、インジェニコ端末への期待はより一層高まっている。また、インバウンド（訪日外国人）が増加するなか、百貨店などでは加盟店で顧客の目の前でクレジットカード決済手続きをする「面前決済」への移行も進んでいる。グルニェー氏は「銀座の百貨店でスーツを買ったとき、店員が決済のためにクレジットカードを持っていってしまったことに衝撃を受けました」と話す。

こうした客の目の届かない集合レジで処理するオペレーションは、インバウンド（訪日外国人）顧客を中心に不安を感じられることが多かったが、小売り事業者にカード情報の適切な管理や不正使用の防止といったセキュリティ対策の実施を義務付けた改正割賦販売法の施行に伴い、売場内への決済端末の設置が求められるなど状況が一変したのだ。

グルニェー氏は、「東京2020以降、インバウンド顧客はさらに増え、セキュリティ対策の重要性はこれから加速度的に高まっていきます。フランスの企業として、日本の決済革命を支える役目を担っていく考えです」と力を込める。

日本での品質要求をフランス本社と共有し、端末の開発に活かす

また、ミシェル氏は、「日本での飛躍の原動力となっているのが、日本市場の要望をくみ上げ、それをフランスの本社の技術部隊と連携し、端末の開発に活かしていく仕組みを強化したからです」と話す。

例えば、最近1年～1年半の間、インジェニコの端末をクレジットカードだけでなく、あらゆる決済方法に対応させる取り組みを強化した。ミシェル氏は、「とりわけ、交通系電子マネーで用いられている非接触型ICカードの技術方式『FeliCa（フェリカ）』の認定を受けるには苦労しましたが、それだけ知見もたまりました」と語り、笑顔を見せる。

日本はQRコード決済のビジネスが動き始めるなど、まさに「決済革命前夜」の様相を強めている。インジェニコの端末は一台の端末でさまざまな決済方法やサービスに対応できるのが強みで、QRコード決済、さらにポイントカードへの対応など、日本市場向けのカスタマイズに力を入れている。

グルニェー氏は、「日本企業の要求水準は高く、海外では問題にならない細かい部分にも注意を払う必要があります。しかし、それに対応していくことは、インジェニコ・グループをさらに強くすることにつながります。サポートやオペレーション部隊を強化し、端末販売後のフィールドサービスにも注力したいです。地に足を付けたビジネスを展開していきます」と説明する。

世界№1の決済端末メーカーとしての実績に加え、国内で蓄積された知見が発揮されるのはまさにこれからだ。いずれにせよ、日本のキャッシュレス化の未来図を描く、同社の今後の展開から、ますます目が離せない。

■お問い合わせ先
Ingenico Japan株式会社
〒105-0001　東京都港区虎ノ門1-2-8
虎ノ門琴平タワー 4階
TEL：03-6268-8730
e-mail：info-jpn@ingenico.com
URL：http://ingenico.co.jp/

2019年7月2日19:31

国際的な第三者認証機関であるテュフズードの日本法人テュフズードジャパンは、クレジット決済端末のIC化などで要求されているブランド認定試験について、サポートサービスの提供を開始した。

テュフズードジャパンは2019年7月より、VisaやMastercard、JCBといった国際ブランドを利用する決済端末の導入時に必要となるブランド認定試験に関するサポートサービスの提供を開始した。同試験は決済端末の新規導入や既存端末のIC化などに要求されるものだが、以前より国際ブランドの規格や試験等に不慣れな場合には、実施のハードルが高い問題があった。

今回のサポートサービスの提供開始により、すでに行っている各種認定試験や監査と併せて、国際ブランド決済端末のIC化に関する必要な認定をテュフズードで包括的にサポートできるようになる。

2019年7月3日8:00

韓国に本拠地を置くフィンテック企業、KONAインターナショナルの得意分野の1つが、決済シーンや各種IDカードの本人確認に活用が広がっている指紋認証だ。同社は指紋センサーカードの開発から製造までを自社内で完結できる、世界で唯一のベンダーを自負している。韓国・金浦工場に年間800万枚を製造可能な生産体制を整え、カスタマイズにもきめ細かく対応している。現在、日本市場から多く聞かれている要望が、社員証への指紋認証の導入だ。同社はこれを、指紋センサーカードのサプライヤーとして、また、インレイメーカーとして、積極的にサポートしていく考えだ。（提供　KONAインターナショナル）

年間800万枚の指紋センサーカードの製造が可能
Visaのアメリカでの実証実験にも参加

韓国の大手フィンテック企業、KONAインターナショナルは、電子部品を内蔵したタイプのカード、いわゆる電子カードの分野でも定評がある。ワンタイムパスワードを発行するタイプのカードや、CVV（セキュリティコード）がダイナミックに変わるクレジットカード、また、これにBluetooth Low Energyを搭載した仮想通貨決済用のカードなど、最先端技術を駆使したさまざまなカードを開発・製造。同社が韓国内に保有する2カ所の製造拠点のうち、金浦空港近くにある金浦工場では、これら電子カードを年間800万枚製造することが可能な生産ラインを整えている。

この電子カードのラインナップの1つが、指紋センサーカード。同社は指紋センサーカードの開発から製造までを自社内で行える、世界で唯一のベンダーである。カードのサプライヤーと、インレイメーカー、２つの立ち位置から世界各地で指紋認証技術の導入・活用をサポート。昨年はアメリカで実施されたVisaの実証実験にもサプライヤーとして参加した。

KONAインターナショナル 日本事務所 カントリーマネージャーの笹井幸一郎氏は、「指紋認証は技術としてはすでに完成しており、本人確認の手段として今後非常に有望です」と述べる。KONAインターナショナルでは、利用シーンや目的に沿うようにこの技術をほかの技術と組み合わせ、カスタマイズした製品として提供することが可能だ。笹井氏は、「アプリ開発の段階からお手伝いし、しっかり成果につなげていきます」と自信を見せる。

高いセキュリティと利便性を同時に実現
社員証などIDカードへの活用が加速

指紋センサーカードでは、指紋情報はカード内に保存される。カードをかざすと指紋認証が行われ、その結果、NFCの処理を行うためのユニークIDが発行される仕組みにより、高度なセキュリティを保っている。一度カードをかざすだけで指紋認証ができるという点で、ユーザーの利便性も高い。さらに端末設置側も、システム変更の必要がなく、既存のNFCのリーダライタがあれば新たに生体認証のスキャナを設置する必要もないため、オペレーションとコストの両面でメリットがある。

幅広いシーンに活用が広がることが期待される指紋認証だが、決済に関しては、現在、国際ブランドクレジットカード各社が非接触取引におけるCVM（本人確認手段）として規格を検討している最中で、本格的な導入までにはやや時間がかかりそうだ。「指紋認証は非接触取引における上限（日本では1万円程度）を事実上撤廃出来るセキュアで利便性の高い手法です。今年の夏以降、日本でも実証実験を行うところが増えるのではないかと見ています。その際にはわれわれもぜひ、参加させていただきたいと考えています」（笹井氏）。

一方、今、日本市場からの引き合いが多いのが、社員証への活用だ。同社は国内印刷会社などと協業しながら、個々の企業が求める厳しいセキュリティ基準をクリアする社員証を提供していく意向である。

コストもよりリーズナブルに。小ロットから導入が可能
近い将来にはFIDO2のパスワードレス認証にも対応予定

指紋認証というと、以前はセンサーの精度が低かったり、バッテリーを内蔵するとカードに厚みが出たりといった欠点があったが、技術革新の結果、非常に使いやすい環境が整い、同時にコストも下がってきている。100枚単位での受注にも応じる。

指紋認証を行うに当たっては、指紋の登録が必要であるが、このオペレーションには大きく２つの方法がある。ひとつは、加盟店の店頭や、社員証の場合であれば企業の総務部内などに端末を設置し、ユーザーがその場所に出向いて登録を行う方法。もう1つは、カードといっしょにパソコンに装着できる小型のリーダライタを送付して、ユーザー自身がパソコンから登録する方法。同社ではこのリーダライタの製造も自社で行っており、1台当たり500円以下で提供が可能だ。2要素認証のアプリケーションの場合、NFCリーダーと生体認証スキャナーを併用したPCログインのシステムと比較し、コストパフォーマンスは高い。

同社は、グローバルな非営利団体FIDO（Fast Identity Online）アライアンスが定めたセキュリティ基準「FIDO2」の認定を取得している。次の展開として、同社では、「FIDO２」対応による、指紋を用いたパスワードレス認証の実現を目指している。スポンサーメンバーとしても活動し標準化に貢献する。

指紋認証を搭載したカードの普及に向け、同社の存在感はますます高まることになりそうだ。

■お問い合わせ先
KONAインターナショナル
グローバルセールス　日本オフィス
〒141-0021
東京都品川区上大崎2－15－19　MG目黒駅前2F
TEL：03-4540-1788
お問い合わせ先：笹井 (koichiro.sasai@konai.com)
HP：https://konai.com/

2019年7月4日8:00

屋内、屋外、自販機、無人機など多彩な決済を支援

出荷台数世界トップの決済端末プロバイダー、Ingenico Group（以下、インジェニコ・グループ）の日本法人Ingenico Japan株式会社（以下、インジェニコ・ジャパン）では、国内市場でも多彩な決済端末を提供している。同社では、「Move/5000」「APOS A8」「AXIUM D7」といった新端末を投入。また、今後キャッシュレス化が進むと予測される自動販売機のマーケットにおいて、Selfシリーズの3機種を投入する方針だ。（提供　Ingenico Japan株式会社）

本業特化の戦略で、顧客のあらゆる用途に対応

出荷台数でグローバル№1を誇るインジェニコ・グループの強みは、決済端末の豊富なバリエーションにある。インジェニコ・ジャパン代表取締役社長 エリック・グルニェー氏は、「インジェニコは、屋内、屋外、自販機、無人機向けといった豊富な決済端末を用意し、モバイルやPOSとつなげるデスクソリューションなど、あらゆる用途に対応する。コアビジネスに特化し、豊富な決済端末ソリューションを提供できることが強みです」と胸を張る。

日本市場の決済革命の中で、今後急速に普及していくと考えられるのが、飲食店のテーブルにおいて顧客の目の前で処理ができる「面前決済」だ。インジェニコ・ジャパンは、世界基準のテーブル決済ソリューションを実現するために、Move/5000、APOS A8、AXIUM D7の3種類の新しい端末を用意している。

これらの3機種は、ブルートゥース、Wi－Fi、4Gのあらゆる回線に対応する。また、“3面待ち”対応で、FeliCa／NFC、磁気ストライプ、ICチップとPIN入力に対応する。さらに、二次元QRコードなどあらゆる決済方法に対応し、日本の顧客にとっての使いやすさを追求しているのが特徴だ。

日本でモバイル決済を普及させ、顧客体験を改善

Move/5000は、タッチパネル搭載のフルカラーディスプレイで操作性と視認性に優れたワイヤレス決済端末だ。電子サインにも対応しているほか、レシートを印字するためのプリンターを内蔵しており、レストランでのテーブル決済や宅配サービスの玄関での決済などさまざまなシーンで活用できる。

普及版のMove/2500の上位機種の位置づけで、幅広いユーザーからの支持が期待されている。最高技術責任者（CTO） グザビエ・ミシェル氏は、「欧州、東南アジアといった海外市場ではモバイル端末が一般的で、Move/5000はベストセラーのモバイル端末です」と胸を張る。

日本はモバイル端末が主流になっていない唯一の国とされ、インジェニコ・ジャパンは戦略的にモバイル機種の普及を強化する方針だ。ミシェル氏は、「東南アジアの屋台でも、モバイル端末での決済が当たり前になっています。日本にもモバイル機種での決済を広げ、待ち時間を減らし、顧客体験を改善したいです」と意気込む。

APOS A8は、Android搭載のオールインワンモバイルPOS端末。大画面タッチパネル搭載のフルカラーディスプレイで、電子広告・クーポンや電子サインなど多用途に活用できるのが特徴だ。カードリーダーやPINパッド、電子サインを1 台に集約し、圧倒的なスペースコストの削減を実現する。

AXIUM D7は、Android搭載のオールインワン次世代POS端末。タッチパネル搭載のフルカラーディスプレイで操作性・視認性に優れている。サブスクリーンでPIN入力や電子サインができるほか、クラウドサービスセンターに接続し、在庫管理や各種の経営分析など店舗ビジネスをサポートする。

日本企業との戦略的なパートナーシップを重要視

セールス&ビジネスディベロップメント部部長 矢部啓人氏は、「大企業、中規模以上の企業とのビジネスを拡大するには、現在のパートナー企業との関係がより一層大事になります。さらに、これから注力していく中小事業者や自動販売機の市場は、戦略的なパートナーシップや、ジョイントベンチャーなどの座組を考えています」と構想を述べる。

今年2月には、GMOフィナンシャルゲート株式会社ならびに 芝浦自販機株式会社と共同で、インジェニコ製の無人機向け決済端末「iUC280」を組込んだ日本の自動券売機市場向けの決済ソリューションを発表した。芝浦自販機の券売機「KCシリーズ」と連動し、飲食店をはじめ各種業態における自動発券機におけるオールインワンカード決済ソリューションとして順次展開し、自販機決済の革命をリードする狙いだ。

また来年以降、自販機マーケットにはSelfシリーズの3機種の新製品投入を予定している。非接触決済（FeliCa／NFC）専用のスリムな「Self／2000」、非接触リーダに加えてICカードリーダとPINパッド付きの「Self／4000」、タッチパネル搭載（PIN on Glass、タッチPIN）の「Self／5000」と多様なラインアップで顧客のニーズに応える。3機種ともカメラを搭載し、二次元QRコード決済に対応しており、新たなパートナーを開拓中だ。

グルニェー氏は、「電子マネーへの対応は日本で成功するカギとなります。FeliCaの認定は苦労しましたが、このプロセスを経験してきたことは大きな財産となり、電子マネー対応でも他社を一歩リードしています。自動販売機はほぼ飽和状態ですが、コンビニエンスストアやホテルのフロント業務、駐車場などで、店員がいなくても決済できるビジネスモデルが登場し、無人機決済の出番が増えることは間違いありません」と口にする。この分野の開拓でも、いち早く市場を開拓し、リードしていく方針だ。

グルニェー氏は、「インジェニコの強みは、Visa、Mastercardなどとの連携したグローバルで頼れるエコシステムや、安心・安全を提供するセキュリティ力の高さがあります。今後、あらゆるシーンで決済方法が大きく変わっていく日本にとって、インジェニコが選ばれるブランドであるための重要な要素です」と語ってくれた。

豊富なインジェニコの端末ラインアップは、日本におけるキャッシュレス化の推進をけん引する存在となりそうだ。

■お問い合わせ先
Ingenico Japan株式会社
〒105-0001　東京都港区虎ノ門1-2-8
虎ノ門琴平タワー 4階
TEL：03-6268-8730
e-mail：info-jpn@ingenico.com
URL：http://ingenico.co.jp/

2019年7月5日9:23

パスワード認証に代わる新たなオンライン認証のための技術仕様の標準化を提唱するFIDOアライアンスは、2019年7月4日に記者説明会を開催し、国内メンバー企業による新たなFIDO認定の発表、最新のFIDO導入事例を紹介した。

FIDOは“共有の秘密に依存しない”のが特徴

記者説明会では、FIDOアライアンス EC・ボードメンバー・FIDO Japan WG 座長を務めるNTTドコモの森山 光一氏が登壇。FIDOアライアンスおよびFIDO２の最新状況の説明、国内メンバー企業からの新たなFIDO認定の発表、国内での活動成果報告および今後の展望、実際のFIDO認証の利用デモを実施した。

FIDO（Fast IDentity Online）アライアンスは、セキュリティと利便性の両立を目指し、2012年7月に設立されたグローバルな非営利団体だ。近年、不正アクセス、なりすましなどによるパスワードの流出が後を絶たない。FIDOアライアンスでは、ユーザーが数多くのIDとパスワードを覚えなければならないという煩わしさを解消するため、FIDO認証モデルに基づく技術仕様の策定、技術仕様を導入展開するためのプログラムの運営、各標準団体との協業による普及の推進などを行っている。

現在、FIDOアライアンスは、40社のボードメンバーをはじめ、スポンサーメンバー、アソシエイトメンバー、リエゾンメンバーの約250社で運営されている。

FIDO認証は、“共有の秘密に依存しない”のが特徴だ。IDとパスワードをサーバに格納するのは不正アクセスの要因となるため、認証器という概念を導入して、オンライン認証とローカル認証に分類している。FIDO認証鍵に秘密鍵を格納し、サーバに登録した公開鍵で署名検証することで、利用者・端末とサーバが秘密を共有しない仕組みを担保している。

また、FIDO認証モデルでは、公開鍵方式を活用したオンライン認証と、利用者が認証器に適切な秘密鍵を保有することを確認するためのローカル検証を分離しているため、検証を行うための生体認証の方式や装置の種類を問わないそうだ。

AndroidやWindowsでFIDO エコシステム 拡大

FIDOの仕様には、パスワードレス認証の「UAF」と2段階認証の「U2F」がある。そして、「FIDO2」は、「UAF」「U2F」の仕様の良いところを取り込んで広がりを可能にするためにデザインされた仕様だ。W3C（World Wide Web Consortium）の「Web認証（WebAuthn）」とFIDOアライアンスの「デバイス間連携仕様（CTAP）」の技術仕様で構成され、生体認証器を利用して、Webブラウザを通じたオンラインサービスへの安全なアクセスが可能だ。

FIDO2仕様は、2018年12月にITU（国際電気通信連合）の正式な国際標準となった。また、Android7.0以降のAndroid OS端末がFIDO2認定を取得。これにより、端末メーカーは個別にFIDO認定を受けなくても済むようになった（特別な生体認証器を組み込む、追加の最適な要素を組み込むなどは例外）。また、Microsoft Windows HelloがFIDO2認定を取得したため、Windows 10を実行している互換性のあるすべてのデバイスがFIDO2認定を取得している状態となっている。

日本でのFIDO2認定製品が広がる

日本では、FIDO認証モデルの展開・推進に向けて、「FIDO Japan WG」が活動している。国内のFIDOアライアンスメンバーは20社だが、FIDO Japan WGは6月30日時点で31社が参加している。

国内での商用導入も増えており、たとえばNTTドコモでは、500万台以上の端末でFIDO認証が用いられている。FIDO２認定製品・サービスとしては、ヤフー、KDDI、LINE、ソフト技研、Quado、インターナショナルシステムリサーチ（ISR）が6月までにリリースを発表した。これに加え、日本電気（NEC）、富士通、NRIセキュアテクノロジーズ（NRIセキュア）が新たにFIDO2認定を取得したとリリースした。NECは、同社のFIDOサーバー製品である「NC7000-3A-FS」で認定を取得した。NRIセキュアは同社のFIDOサーバー製品がFIDO2を含むユニバーサルサーバーの認定を取得した。

富士通は、手のひら静脈認証装置「PalmSecure（パームセキュア）」で、国内初の認証器としてFIDO2認定を取得している。当日は、PalmSecureのデモも実施。また、サービス提供者として初のFIDO認証を取得したヤフー、国内初のFIDO2セキュリティキーによるパスワードレスでのシングルサインオン認証サービスを提供しているISRもデモを行った。

例えば、ヤフーでは、「従来（Yahoo!JAPAN IDでのログイン）よりもかかる時間が3割以上（37.5％）短くなっています」と、同社サービス統括本部 ID・PIM本部 プロダクト企画部 リーダー 酒井公希氏は効果を説明した。

EMVCoとの協力関係を拡大し「Web Payment Security Group」設立

FIDOアライアンスでは、新たな取り組みとして、「Identity Verification and Binding Working Group（IDWG：本人確認と認証に必要な紐づけに関する作業部会）」と「IoT Technical Working Group（IoT TWG：IoTに関する技術作業部会）」を設立した。IDWGは、認証器を紛失した時などに発生するアカウントの設定・再設定に対して、必要な本人確認を適切に実施するため、要件定義などに加えて設定プログラムの策定なども視野に入れ、活動を行う。また、IoT TWGでは、IoT機器の利用において、その利用者がユーザーアカウントと紐づける際にマニュアルオンボーディングといわれるパスワードの設定などが必要な状況であり、それを解決するためにパスワードレスでのIoTデバイスの利用設定と認証フレームワークの策定に着手するという。

なお、決済関係の動きとして、2019年4月17日、前述のW3C、クレジットカード、デビットカードなどの決済で広く使われているEMVペイメントエコシステムの仕様を管理するEMVCoとともに、Webペイメントセキュリティビジョンと相互運用性を議論する新グループ「Web Payment Security Group」を設立すると発表した。これまでFIDOアライアンスとEMVCoはリエゾン関係にあり、2018年6月4日には、FIDO認証で利用される証明書と署名をEMVの「3-Dセキュア（3DS）メッセージ」で拡張性と相互運用性を確保した上でどのように受け渡すかについて、協力関係を拡張して進めてきた。

今回のグループでは、既存のEMV Secure Remote Commerce（SRC）およびEMV 3D Secure（3DS）とFIDOアライアンスのFIDO2仕様、W3CのWeb認証APIとPayment Request APIの各仕様レベルの議論を補完するという。さらに、将来の技術仕様に関するコラボレーションの基盤も提供するそうだ。

2019年7月10日8:30

Worldpay（ワールドペイ）は、世界でトップクラスの決済プロバイダーであり、年間400億以上の取引を処理している。また、世界146カ国、126通貨で300以上の支払い方法をサポートしている。2019年5月1日、2日にイギリス・ロンドンで開催された「RetailEXPO（リテールエクスポ）」において、同社の取り組みについて話を聞いた。

アジアの決済サービス提供に力を入れる

Worldpayは、Visa、Mastercard、American Express、JCB、銀聯などの国際ブランドはもちろん、ローカル決済を含め、世界のさまざまな通貨をサポートしている。テスコ（Tesco）など大手企業も同社の決済を利用している。

英国では、アジアの決済のサポートにも力を入れており、銀聯やWeChat Payと連携している。Worldpay シニア・アカウント・ディレクターのAndy Johnson氏は、「現在はAlipayに注力しており、大手スーパーマーケットやドラッグストアで日常的に使えるようにしていきたいです」と話す。すでに高級デパートでAlipayが使用できるが、これから利用できる箇所をさらに増やしていく方針だ。また、アントフィナンシャルも中国だけではなく、イギリスの人々をターゲットにすることを考えているといい、これからの大きな変化に備えて準備しているそうだ。

Worldpayはアクワイアラとして世界でも指折りの存在だが、アジアとオーストラリアの決済の提供に力を入れていきたいとしている。

「Pazien」で決済の利用やセキュリティの状況を可視化

また、Worldpayでは、プロセッサー、ゲートウェイ、注文管理のデータを自動的に収集し、その数値を分析する支払い分析プラットフォーム「Pazien」を提供している。すでにオンラインでは2年前から同プラットフォームを提供しているが、5月からオフラインの法人向けにサービスを提供している。

Pazienにより、売り上げの分析、ブランチの比較、フィッシングやチャージバックのデータなどを可視化することが可能だ。また、決済手段の分析もでき、どういう支払い手段でどの程度支払われたのかも把握できる。

Johnson氏は、「たとえば、グローバルカンパニーの場合、自分たちのいろいろな機能を閲覧できます。1つのポータルでいろいろな国が見れて、現金の流れも把握できます」とした。400近いペイメントシステム、セキュリティのデータを閲覧できる。同社によると、すべてを可視化できるソリューションを提供しているプロバイダーは他にはないとした。

※取材は2019年5月1日、2日にイギリス・ロンドンで開催された「RetailEXPO（リテールエクスポ）」において

2019年7月10日8:55

タレス（Thales）は、2019 年7月9日、アクセス管理に関する新たな国際調査「タレス アクセス管理インデックス2019」の結果を発表した。同調査は世界11の国と地域のIT意思決定者1,050名（日本から100名を含む）を対象として実施した。今回の調査結果によって、クラウドアプリケーション利用によってサイバー攻撃の標的になりやすくなると考える企業が半数に近い49%に上り、組織が攻撃を受ける理由の上位3つの内の1つに入った。そのほかでは、IoTデバイスが54%、ウェブポータルが50%となり、クラウドアプリーケーションが保護されていないインフラに近接するという結果となった。日本だけの結果を見ると、クラウドアプリケーションへの攻撃への懸念が最も高く45％、次いでウェブポータルが43％、モバイルアプリケーションが39％となっている。

事業活動の根幹としてクラウドアプリケーション利用が進む中、ITリーダーの大多数の97%（日本：94％）が、クラウドサービス利用を継続するためにはアクセス管理が必須であると考えているが、過去12カ月間におけるデータ漏洩への懸念に対し、組織内に専任のCISO（チーフ・インフォメーション・セキュリティ・オフィサー）を配置している組織は38%（日本：32％）に留まっている。自社が保有するソリューションの選択に関して、CISOが責任を持っていると回答したIT意思決定者は79%（日本：78％）に達している一方、CISOがクラウド・アクセス管理に関して最終決定権を持っている割合はわずか14%（日本：9％）という低い結果となった。従来からのCIO（チーフ・インフォメーション・オフィサー）に信頼を置くとする企業が48%（日本：20％）に上り、クラウドセキュリティに関して、意思決定者と実行者が分断されていることが顕著になっている。

また、94%（日本：82％）の組織が過去12カ月間にアクセス管理関係のセキュリティ・ポリシーを変更した。特に、セキュリティおよびアクセス管理に関するスタッフ教育の実施が52%（日本：37%）、アクセス管理システムへの投資拡大が45%（日本：33%）、アクセス管理を取締役会の優先事項としているのが44%（日本：26%）といった変化が起きている。その一方、日本の現状は、いずれの対策も調査対象国の中で最も低い数値となった。

さらに、セキュリティ・ポリシーが更新されているにも関わらず、95%（日本：93％）のITリーダーは、クラウドへのアクセス管理が依然として自社の懸念事項になっていると考えている。最大の懸念対象は、セキュリティへの影響が48%（日本：52%）、ITスタッフの労働時間が44%（日本：35%）、運営間接費およびITコストが43%（日本：40%）という結果となっている。また、アクセス管理ソリューション導入への最大の課題として、コストが40%（日本：40%）、人手不足が39%（日本：33%）、すべての統合の困難が36%（日本：36%）という数値が明白になった。

クラウド・ソリューション利用において、外部利用者によるオンライン・リソースへのセキュアなログインのためのアクセス管理を実施している組織は75%（日本：65%）に上る。特にクラウドとウェブベースのアプリの保護においては、2要素認証が有効なツールであると58%（日本：44%）が考えている。次いで、スマート・シングル・サインオンが49%（日本：41%）、生体認証が47%（日本：43%）と挙げられている。日本の現状は、すべての対策において遅れていることが明らかになった。

2019年7月23日8:00

TIプランニング ペイメントナビ編集部は、2019年9月4日、「不正使用対策・セキュリティセミナー2019」を開催します。ICカード対応、不正使用対策、PCI DSS/非保持化、本人認証強化策などを網羅したセミナーとなる予定です。

経済産業省／日本クレジット協会が2016年2月に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」は、2020年3月も迫り、いよいよ佳境に入りました。サービスプロバイダや決済端末関連企業等の対応が進むと同時に、改正割賦販売法によって加盟店管理もより厳しくなっています。

ペイメントナビ編集部では、2019年9月に「不正使用対策・セキュリティセミナー2019」を開催予定です。同セミナーは2016年から開催して参りましたが、今回もEMV、本人認証強化策、不正検知（フラウド）サービス、非保持化/PCI DSS等、さまざまなセキュリティ対策に関して、さまざまな講演を実施するセミナーを開催する運びとなりました。

今回の「不正使用対策・セキュリティセミナー2019」により、加盟店やサービスプロバイダ、関連企業様等のセキュリティ意識の向上を目指します。有益な無料セミナーとなりますので、ぜひ参加をご検討いただければ幸いです。

☆開催概要

※本申し込みにあたりお預かりしたお客様の個人情報（氏名、住所、電話番号等）は、主催、協賛各社において、今後の営業、マーケティング、各社取り扱い製品またはサービスに関するご案内のために利用させていただきます。なお、ご記入いただきました個人情報につきましては、各企業の個人情報保護ポリシーに則って、適切に扱われます。

■講演プログラム

■注意事項
※本セミナーはセッションごとのお申込みが可能です。
※本セッションは基調講演、ゲストセッションに加え、最低1つはスポンサーセッションを選択ください。
※当日の写真撮影、録音は禁止させていただきます。
※セミナーのプログラムは、予告なしに内容を追加や変更することがございます。ご了承ください。

2019年7月23日8:05

TIプランニングは、2019年9月5日に無料セミナー「カード決済ソリューションフォーラム2019」を開催します。

国内では、クレジットカード、デビットカード、プリペイドカード、送金サービス等、様々な支払いプロダクトが展開されています。また、カード形状に加え、モバイルの活用も増加しています。

そういった国内における安心・安全なカード決済サービスは、オンリーワンの魅力を持つプロダクト、および決済ソリューション・システムが支えています。また、決済に付随したさまざまなサービスが展開されています。

そこで、2019年も注目の決済サービス、独自性の高い決済関連のシステム・ソリューション、およびサービスを紹介するセミナーを開催させていただくことになりました。ぜひ参加をご検討いただければ幸いです。

☆開催概要

※本申し込みにあたりお預かりしたお客様の個人情報（氏名、住所、電話番号等）は、主催、協賛各社において、今後の営業、マーケティング、各社取り扱い製品またはサービスに関するご案内のために利用させていただきます。なお、ご記入いただきました個人情報につきましては、各企業の個人情報保護ポリシーに則って、適切に扱われます。

■9月5日の講演プログラム

※本セミナーはセッションごとのお申込みが可能です。
※本セッションは、最低1つはスポンサーセッションを選択いただくことが必須となります。基調講演、ゲスト講演のみのお申込みや参加はご遠慮いただければ幸いです。
※コンサルティング目的の応募はご遠慮いただければ幸いです。
※セミナーのプログラムは、予告なしに内容を追加や変更することがございます。ご了承ください。

2019年8月2日8:46

セブン&アイ・ホールディングスは、2019年8月1日に記者説明会を開催し、傘下のセブン・ペイが運営するバーコード決済サービス「7pay（セブンペイ）」において、抜本的な対策には時間がかかることから、2019年9月30日24：00をもって同サービスを廃止すると発表した。

被害金額のすべてを補償へ
不正は「リスト型アカウントハッキング」の可能性が高いと説明

セブンペイは、7月1日にセブン‐イレブンアプリ上に搭載することでサービスを開始したが、スタート直後から不正アクセスが相次いだ。セブンペイでは、利用者からの報告、クレジットカード会社等との連携で不正被害額の特定を進めてきたが、7月31日17時現在の被害状況は、808 人、3,861万5,473 円となっている。同社では、不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償する。

今回の不正アクセスの原因について、外部セキュリティ会社との連携では、「攻撃者が どこかで不正に入手したID・パスワードのリストを用い、7pay の利用者になりすましつつ、 不正アクセスを試みる『リスト型アカウントハッキング』である可能性が高い」とした。リスト型アカウントハッキングの要因として、ID入力のないエラーの後、パスワードエラーが起き、不正なチャージが行われたという報告があったそうだ。また、ログインパスワードがチャージ用パスワードと同一だったという声をもらったとした。

リスト型攻撃を防げなかった理由として、同社では、①7payに関わるシステム上の認証レベル、②7payの開発体制、③7payにおけるシステムリスク管理体制の3つを挙げた。システム上の認証レベルとしては、「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなかったとした。また、開発体制として、グループ各社が参加していたが、複数のサービスにまたがっり、金融チーム、アプリチームと別れていたため、システム全体の最適化を十分に検証できていなかった。

リスク管理体制として、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後さらなる検証が必要と考えているとした。

なお、クレジットカードに関しては、外部の決済処理事業者に委託しており、同社では保持していないという。そのため、カード情報の漏洩はないそうだ。

7iD に関連する個人情報は漏洩の痕跡はなし
nanaco自体の還元率も見直しへ

被害者に対しては、今後とも運営会社である セブン・ペイを中心にグループとして、対応を進める。また、グループ共通のID である 7iD に関連する個人情報については、明確な漏洩の痕跡は認められなかったが、7月30日に 7iD のパスワードリセットを一斉に行った。

セブン&アイ・ホールディングスの金融ビジネスとして、2001年には、セブン銀行のATMサービスをスタートし、続けてクレジットカード事業に参入。2007年には、電子マネー「nanaco」のサービスを開始した。今年はキャッシュレス社会の高まりやバーコード決済の普及、顧客利便性向上に向けて、セブンペイを開始した。

今回の不正アクセスを受け、セブンペイは廃止するが、今後もさまざまなキャッシュレス決済の可能性を探るとともに、グループ外部のさまざまな決済サービスとの連携を積極的に推進していきたいとした。セブンペイの開始も見込んで、発行6,000万枚を超えるnanacoのポイント還元率も100円で1ポイントから、200円で1ポイントに変更しているが、今後はnanaco自体の還元率も見直す予定だ。スマホ決済については、今後も検討はしていくという。