2019年11月28日8:00

ネットプロテクションズは、後払い決済サービス「NP後払い」のシステム・サービスのアップデートを順次開始すると発表した。これにより、 即時与信、請求・支払いの個別最適化、与信通過率向上、システムの無停止化といったメリットがあるという。

Image may be NSFW.
Clik here to view.

ディープラーニングを含む複数の機械学習技術を導入
1.8億件超の取引情報を与信に活用へ

後払い市場は2018年5,720億円のマーケットから、2023年は2兆円になるというデータもある。国内では2014年以降にpaidy、ZOZO、メルペイなど新たなプレイヤーが増えており、海外でもKlarna、zipといったプレイヤーが登場している。

ネットプロテクションズの「NP後払い」の2018年度年間ユニークユーザー数は日本人の約10人に1人に当たる1,350万人、年間総流通額も2,500億円を突破しており、「社会インフラまで成長しています」と、ネットプロテクションズ マーケティンググループ シニア・プロデューサー 長谷川 智之氏は成長している。後払いは、従来のクレジットヒストリーに結び付かず、事業者独自の与信判断でユーザーに信用を付与しているため、クレジットカードを持たない・利用したくない層も利用可能な金融サービスだとした。そのため、他の金融サービスにも応用できるサービスであると同社では考えている。

現在、後払いを取り巻く課題として、ユーザーによる不正利用、加盟店による不正販売が挙げられる。長谷川氏は、「 高精度の与信モデルを構築することにより、不正利用をこれまで以上に精度高く排除しつつ、より多くの利用者・加盟店に対して利便性高く後払い決済を提供していくことを目的 とした取り組みです」と強調した。

今回新たに実現するサービスについて長谷川氏氏は、①「即時与信実装」、②「請求・支払いの個別最適化」、③「与信通過率向上」、④「システムの無停止化」の4つを挙げた。テクノロジーとデータ活用のアップデートにより、システム処理のみでこれまで以上に正確にデータを捉えられるようになったそうだ。AI活用の強化では、従来の決定木方式はもちろん、ディープラーニングを含む複数の最先端の機械学習技術を導入する。また、データベースをマイクロサービス化し、柔軟な規模対応が可能となった。

データベースの活用では、1.8億件超の取引に含まれる情報のうち、 例えば商品明細情報など、従来は与信に活用できていなかった情報についても活用できる。また、空室情報など、与信時に手動で参照していた外部データについてシステム処理で参照でき、活用する外部情報の量・種類を継続的に増強できる。たとえば、メールアドレス、外部サイトでの利用状況なども参考にできるとしている。

即時与信の対応で即時出荷等に対応
後払い決済初、請求・支払いの個別最適化

4つの機能強化をみると、まずリアルタイムオーソリゼーションの即時与信を実装する。これにより、即時出荷に対応、運用負荷軽減、売上既存リスクの低減といったメリットがある。これまで同社では、「なるべく多くの人に利用してもらう」という与信ポリシーを優先し、「NP後払い」では競合他社が行っているリアルタイム与信を採用してこなかったという。即時与信を採用すると、目視の詳細審査で通過していた取引がNGになる可能性もある。具体的には、95％の取引を5～10分、5%の取引を2時間以内で処理していた。そのため、より即時性が求められるファッションの領域などは他社に流れるケースもあった。アップデートでは、大量のデータを活用し、従来からの与信ポリシーを優先したままシステム処理のみで与信判断を行うことが可能になったため、即時与信の実装を可能とした。

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

2つめの請求・支払いフローをシステム処理で自動的に個別最適化する取り組みは、 後払い決済では初の試みとなるそうだ。これまでは、一元的な請求・支払いフローだったが、今後は支払い期限や支払い手段などを取引ごとに個別に対応する。同機能は、2020年度以降に順次開始していく予定だ。

Image may be NSFW.
Clik here to view.

3つめの、与信通過率向上では、従来NG判断していた取引のなかでもOK判断にできる取引が増えるという。また、ロイヤルカスタマー、予約注文、金額可変といった与信緩和オプションも提供可能だ。

Image may be NSFW.
Clik here to view.

4つめのシステム無停止化では、AWSへのサーバー移行、マイクロサービス化により、99.99％の稼働を目指すとしている。

Image may be NSFW.
Clik here to view.

新システムは、2019年11月からシステム対応加盟店に順次導入する。2020年度には、与信緩和オプション、ロイヤルカスタマーオプション、金額可変オプション、SMS/着信認証を順次標準装備予定だ。さらに、予約注文オプションや請求・支払いの個別最適化などもその後実装していく。

Image may be NSFW.
Clik here to view.

利用には加盟店の実装、ECサイト構築サービス等の開発が必要
次世代与信は今できる最高形と自信を見せる

なお、今回のシステムは、従来のNP後払い加盟店がそのまま利用できるわけではく、システムのアップデートが求められる。現在、一部加盟店が来春に実装予定となっており、EC構築ベンダーやショッピングカートにおいてアップデート版の後払いが利用できるように開発中だ。

今後は、BtoB決済の「NP掛け払い」、会員制のカードレス決済「atone（アトネ）」といったサービスも含め、共通データベースの活用を視野に入れている。

Image may be NSFW.
Clik here to view.

取締役CTO 鈴木 史朗氏は、今回のシステムについて、「18年間のノウハウやナレッジが集まっています」と説明した。即時与信の実施により、短期的には未回収率が増えるという指摘に対し、「実際に、何のガードもなく利用いただく場合には、0.数パーセント程度増えていくというのはありますが、ヘッジできるだろうと見込んでいます」とビジネスアーキテクトグループ　シニア・データサイエンティスト　磯部 裕樹氏は話す。

また、代表取締役社長（CEO） 柴田 紳氏は、「何もないところからNP後払いを生み出してきました。次世代与信も、今できる最高形にしたつもりです」と自信を見せた。

2019年11月29日18:55

大日本印刷（DNP）は、Arm Limitedと協業し、高セキュリティなエッジコンピューティング技術と莫大なデータ量にも対応できるIoT（Internet of Things：モノのインターネット）クラウドサービスを連携させた「次世代のIoT事業」を創出するプロジェクトを2019年12月に開始すると発表した。

Image may be NSFW.
Clik here to view.

DNPはArm社との協業の第一弾として、エッジデバイス等に組み込むDNPのセキュアエレメント（eSE：embedded Secure Element）と、Arm社のIoTクラウドサービス「Pelion（ペリオン） IoT Platform」を組み合わせた機器メーカー向けIoTサービスを開発する。

DNPは、ICカードのソフトウエア開発等で培った、外部の攻撃から機密情報を守る耐タンパー技術とセキュアプログラミング技術を応用し、IoT機器等に組み込むセキュアエレメント（eSE）を2018年に開発し、機器メーカーや金融機関等に提供してきた。eSEは暗号鍵や証明書などを保持し、通信時に重要情報の暗号化や復号を行うもので、決済端末をはじめ、高いセキュリティが要求される分野で実績があるという一方Arm社は、IoT デバイス自体や取得データ、接続状況などを一元管理する IoT クラウドサービス「Pelion IoT Platform」を2018 年からグローバルで展開している。

Image may be NSFW.
Clik here to view.

DNPは、今回Arm社と共同開発したプロトタイプを利用したコンセプト実証（PoC：Proof of Concept）を2019年度末までに実施する。その後、PoCで得られた知見をもとに、2020年度より本格的にサービス・製品を販売し、2021～2023年度の3年間で累計10億円の売上を目指す。

2019年12月5日20:30

セブン銀行と電通国際情報サービス（ISID）の合弁会社であるACSiON（アクシオン）は、 不正検知プラットフォーム「Detecker（ディテッカー）」の提供を2019年12月より開始すると発表した。

Image may be NSFW.
Clik here to view.

「Detecker」は、セブン銀行が培ってきた金融犯罪対策の緻密なノウハウを不正検知モデルとして搭載しており、企業のオンラインサービスに攻撃者がアクセスする際の一連の挙動から、通常の利用者とは異なる不自然な動きをAIを用いて検知することが可能だ。

また不正検知時に、攻撃情報をプラットフォーム上で蓄積・共有することで、同一の攻撃者から全てのプラットフォーム利用企業を守る“面”での防御を可能とする。業界を横断して活動する攻撃者に対し、“点でなく、面で守る”ことで不正利用の未然防止につながるとしている。

2019年12月9日8:37

FIDOアライアンスは、2019年12月5日、最新のFIDO導入事例や国内での今後の取り組みについて紹介する記者説明会を開催した。同日にはFIDOアライアンスの活動を紹介するセミナーも開催され、スポンサー企業によるデモンストレーションも行われた。

Image may be NSFW.
Clik here to view.

AndroidやMicrosoftなどプラットフォーム対応が加速

FIDO（Fast IDentity Online）アライアンスは、2012年7月に設立されたグローバルな非営利団体だ。現在、国際的には約250社・団体で活動しており、Visa、Mastercard、Amazon、Googleといったグローバル企業が多く名を連ねている。また、日本では、「FIDO Japan WG」が活動しており、NTTドコモ、LINE、ヤフーがリーダーシップを発揮している。

FIDOでは、共有された秘密を公開鍵暗号を利用して強固なアプローチを目指している。FIDOアライアンス エグゼクティブディレクター 兼 CMO（チーフマーケティングオフィサー）アンドリュー・シキア氏は、その特徴として、「オープンスタンダード」「公開鍵暗号」「シングルジェスチャー」「フィッシング耐性のある多要素認証」である点を挙げた。

FIDOの仕様には、パスワードレス認証の「UAF」、2段階認証の「U2F」、また、「UAF」「U2F」の仕様の良いところを取り入れた仕様である「FIDO2」がある。

2019年の動向として、まずプラットフォーム対応が挙げられる。FIDOアライアンスのFIDO2仕様のWeb APIコンポーネントであるWebAuthnが、正式にW3C Web標準として勧告された。また、FIDO2のブラウザは、Google Chrome、Microsoft Edge、Mozilla Firefox、Apple Safari、Operaをサポートしている。特に、Googleは、Android 7.0以降のプラットフォームを対象にFIDO2認定を取得した。また、Microsoftでも、Windows HelloでFIDO2認定を取得し、Windows 10デバイスでFIDO認証の利用が可能になった。これにより、20億超のデバイスでFIDOが利用できるようになっている。シキア氏は、「採用情報を考慮すれば、着実に成功に向かいつつあるといえるでしょう。業界の主要な業者がFIDOを採用しています」と話す。

Image may be NSFW.
Clik here to view.

韓国で初めてのハッカソンを開催、新カンファレンス開催も

グローバルでみると、GoogleとMicrosoftでは、プラットフォームに加え、サービスプロバイダとして機能するようになった。また、Intuitではモバイルアプリ全体でFIDOパスワードレス認証を展開し、SMSベースの多要素認証と比較してサインイン時間を78％短縮し、認証の成功率80～85%を99.9％とした。英国の国民保健サービスNHS（National Health Service）では、開発者がアプリのログインにFIDO生体認証を使えるためのオープンソースが提供されている。米国連邦調達庁（General Services Administration：GS）では、login.govのFIDO認証を有効にした。これは、米国の公務員と連邦政府の従業員が連邦政府機関とオンラインでやり取りするためのシングルサインオンWebサイトだ。eコマースサイトのeBayでは、AndroidやChromeに対応したサインインを可能にしている。

Image may be NSFW.
Clik here to view.

ワーキンググループ（WG）では、モノのインターネット（Internet of Things：IoT）分野の「IoT部会」、本人確認と認証に必要な紐付けに関する「ID部会」と、それぞれ新しい作業領域を立ち上げた。例えば、IoTの領域では認証の課題に直面しているが、IoTデバイスからパスワードを使った認証をなくし、セキュアなオンボーディングの自動化を行っている。

また、開発者向けのイベントとして韓国でハッカソンを開催。同イベントは成功し、他の地域での開催も検討中だ。今後の予定として、FIDO認証と周辺の技術、イノベーション、そしてFIDO認証を採用しているプレイヤーのエコシステムに焦点を当てた新たなカンファレンス、「Authenticate」を2020年6月2～3日に米国シアトルで開催するという。

Image may be NSFW.
Clik here to view.

世界初、FIDO2を実装したモバイルペイメントアプリもスタート

続いて、日本での活動について、FIDO Japan WG座長のドコモ プロダクト部 プロダクトイノベーション担当部長 森山 光一氏が紹介した。日本では2016年10月に「FIDO Japan WG」が発足から3周年を迎えたが、メンバー企業は発足当初の10社から2019年12月には43社まで拡大している。

2019年5月には、インターナショナルシステムリサーチ（ISR）がFIDO2（Web認証）を活用してSSO（シングルサインオン）サービスでのパスワードレス認証を開始している。また、7月には、ゆうちょ銀行が、「ゆうちょ認証アプリ」にFIDO認証を搭載し、ログインや送金時の認証が可能となった。9月23日には、LINE Payの提供する「LINE Payアプリ」がFIDO認証の搭載を開始している。これは、世界で初めて、FIDO２を実装したモバイルペイメントアプリだ。

2019年11月11～13日には、国内で初めてFIDOアライアンスが主催するFIDO相互接続性テストを開催した。同相互接続性テストには、10の国・地域からFIDOアライアンスメンバー以外の企業を含めて14社が参加している。

Image may be NSFW.
Clik here to view.

新たなFIDO製品認定としては、Capy（サーバー）、KDDI（認証器：BLE接続でiPhoneを外部認証器として利用可能なアプリケーション）、ナレッジスイート（サーバー）が取得している。

直近の動きとして、大学ICT推進協議会の認証連携部会と、パスワード不要のシンプルで堅牢な認証システム構築に向けたディスカッションを行っている。入学前、入学後、そして卒業後の本人確認のためのオンライン認証にFIDO認証を適用する検討をしており、2019年12月12～14日に開催される大学ICT推進協議会 2019年度年次大会の中で発表予定となっている。

また、NTTドコモでは、2020年2月以降に、不正ログインを未然に防ぐ「dアカウント パスワードレス認証」を開始する予定だ。

12月5日の午後には、第6回 FIDOアライアンス東京セミナーを開催。スポンサーとなるディー・ディー・エス、飛天ジャパン、 Nok Nok Labs, Inc.、 Yubico Inc.、インターナショナルシステムリサーチ、 OneSpan Japan 、 ソフト技研が展示を行った。

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

2019年12月10日19:30

ユーシーカードと日立製作所は、生体情報を暗号化して登録・照合する「公開型生体認証基盤(PBI)」を活用した、指静脈認証による手ぶらでのキャッシュレス決済の実証実験を2019年12月12日から順次開始し、2020年3月末まで実施すると発表した。

Image may be NSFW.
Clik here to view.

同実証実験では、ユーシーカードおよび日立の社員、数百名を対象に、クレジットカード番号と指静脈情報を紐付けるユーザー登録をしたのち、ユーシーカード加盟店である飲食店など複数店舗において、指静脈認証のみで決済を行う。複数の店舗における、クレジットカード番号に紐付けた指静脈認証決済は、国内初の取り組みとなる。

ユーザー登録は、ユーシーカードが発行するカードに加え、世界中で発行されているVisaやMastercardのロゴ付きのカードであれば対応可能だ。本格展開時には、会員制ホテル・リゾート、アミューズメント施設やフィットネスジム、年々増加する訪日外国人旅行客が利用する施設などを対象に、手ぶらでのキャッシュレス決済サービスの普及を目指す。

同実証実験では、新たに、クラウドサービス上にPBIを活用した指静脈認証システムを構築する。そのため、店舗側で新たなシステム構築を行うことなく、タブレット端末と指静脈認証装置を設置するとサービスを開始できる。従来、クラウドサービス上で生体認証を利用するうえでは、個人情報であるユーザーの生体情報の漏えいリスクが課題だったそうだが、今回のシステムでは、生体情報を復元困難な形に暗号化して登録・照合するPBIを用いることで、生体情報自体をクラウド上に保存する必要がないとしている。また、クレジットカード情報と暗号化された生体情報は別々に保管される仕組みとなっており、情報漏えい防止の観点においても十分強化されたセキュリティ対策を施しているそうだ。

これらにより、店舗側の負担を最小限に抑えるとともに、ユーザー側も一度の情報登録のみで、複数の店舗で、安全かつ迅速な手ぶらでの決済が可能となり、双方の利便性向上と、クレジットカードの不正利用・なりすましなどの防止を実現するとしている。

なお、同実証実験においては、GMOペイメントゲートウェイの決済代行サービスを利用している。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年12月11日8:00

ペイパル（PayPay）は、2019年12月6日、モバイルコマースに関するグローバル調査（PayPal mCommerce Study）の2019 年度版を発表した。同調査によると、日本のeコマースにおけるモバイル端末の利用率は全体の7割以上となったそうだ。

Image may be NSFW.
Clik here to view.

くつろぎながら商品を購入する人が7割
マーチャントのモバイル対応は最下位

モバイルコマースに関する調査は、イプソスの協力を得て、モバイルコマースに関するグローバル調査を、日本など11カ国で2万2,000名のコンシューマー（利用者）と4,600 のマーチャント（ビジネス、加盟店）を対象に実施した。同調査の結果をPayPal Pte. Ltd.東京支店 加盟店営業部 部長 野田陽介氏が紹介した。

今回の調査で得ることができたデータは、「コンシューマーにおけるモバイルコマース利用状況 」「マーチャントにおけるモバイルコマースの対応状況 」「モバイルコマースを成長させる要因ならびに障壁」だという。

日本のハイライトとして、コンシューマーがショッピングにモバイル端末を使用する比率は73％となり、全体で4位だった。他国では、インドが最も高く、ドイツとフランスが最も低い。北米やヨーロッパの国々では依然として PC が好まれているそうだ。

日本の単価は8,384円となり、家でくつろぎながらショッピングする人が70％となった。日本では、買い物にモバイル端末を利用する割合が、11か国中4位に上る一方、マーチャントがモバイルに最適化されたサイトまたはアプリを提供している割合は49%（グローバル平均：63%）となり、11か国中最下位だった。

Image may be NSFW.
Clik here to view.

海外サイトで買い物する人は20％
世界各国のモバイルコマースでのPayPalの浸透は？

また、海外サイトで買い物をする人は20％で、「日本人は海外から物を買うことへの抵抗があります。言語の問題は少なからず気にしています」と野田氏は説明する。海外のサイトのセキュリティを懸念して、海外のオンラインショップを信用していないことも挙げられる。海外サイトで購入する製品は、日本では手に入らないものが多いという。

オンライン販売を行っている日本のマーチャントの海外顧客による売上は全体の26%を占める。そのため、海外顧客をターゲットとすることで売上を拡大する可能性があるとした。

さらに、ソーシャルコマースの利用状況は27％と、4人に1人となった。日本では18～36歳の若者がソーシャルコマースを使用する可能性が最も高く、コンシューマーのニーズに応じた対応をしていく必要があるとしている。

なお、世界的にモバイル端末上で最も利用され、好まれている決済方法は「PayPal」だという。国別では、英米国に加えて、オーストラリアやドイツでもPayPalは最も使用されている決済方法となっているとした。

Image may be NSFW.
Clik here to view.

2019年12月24日18:30

デジタルセキュリティベンダーのタレス（Thales）は、2019年12月24日、多要素認証およびアクセス管理、シングルサインオン機能による顧客保護を目的として、SafeNet Trusted Accessソリューションが、すべてのMicrosoftアプリケーションスイートへの統合が完了したと発表した。Azure Active Directory（AD）との統合によって、SafeNet Trusted Accessを実装する企業が、Office 365に留まらずMicrosoft cloud、その他製品、レガシーのWindowsドメインにもシームレスでセキュアなアクセスを実現できる。

「タレス アクセス管理インデックス2019」によると、約半数の企業が、クラウドアプリケーションはサイバー攻撃を受ける要因になると考えているそうだ。世界のIT意思決定者1,050名（日本から100名を含む）を対象に実施した調査でもクラウドアプリケーション（49%）が3位にランクインしていた。１位のIoTデバイス（54%）、2位のウェブポータル（50%）といったインフラストラクチャのセキュリティ対策不足に続く順位となっている。

SafeNet Trusted Accessでログインを一元管理できることで、ユーザーはすべてのアプリケーションへのログインが可能になり、IT管理者も環境内のOffice365と他のすべてのアプリケーションを一元的に保護できるようになる。短期間での導入とスマートシングルサインオン機能を実装するSafeNet Trusted Accessにより、顧客はOffice 365やその他のアプリケーションへの権限に応じて、条件付きアクセスやさまざまなレベルの認証を活用できるようになる。PUSHやハードウェアトークン、SMS、Grid、PKIなどの多要素認証にも対応し、アプリケーションやサービスへのアクセス権限を持つ人のみアクセスが可能になる。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年12月24日18:30

RSAは、Yubicoとの戦略的パートナーシップおよび共同ソリューションを通じて、モダン認証とID保証のエンタープライズソリューション「YubiKey for RSA SecurID Access」を提供すると発表した。同ソリューションは、YubicoのFIDO2対応ハードウェアデバイスと、RSA SecurID Accessが提供する企業向けセキュリティ、リスクベース認証、簡略化した認証情報のライフサイクル管理のメリットを組み合わせている。

今回の戦略的パートナーシップにより、RSA SecurID Accessの企業向けセキュリティによって支えられているYubiKey for RSA SecurID Accessは、シンプルなログインで、さまざまな職場環境のニーズに対応するとした。

YubiKeyは、プッシュ通知、ワンタイムパスワード、SMS認証、生体認証といったRSA SecurID Accessの既存の認証方法をさらに広げ、多様なユーザーやニーズに広範なサポートを提供する。FIDO認証は、デスクトップ、ノートパソコン、モバイルが制限されている環境（コールセンターなど）へのパスワードを使用しないログインなどに適しているそうだ。また、この共同ソリューションは、ユーザーのアクセス、デバイス、アプリケーション、振る舞いに、IDインサイト、脅威インテリジェンス、ビジネスコンテキストをもたらし、ユーザーが名乗る通りの人物であるという信憑性を企業に提供する。

なお、RSA SecurID Accessは現在、企業全体にわたって導入、管理、使用されるYubiKey for RSA SecurID Accessなどの一連の認証オプションに必要な、バックエンドのソフトウェアおよびサービスを提供している。RSA SecurID Accessは、孤立したIDを関連付け、また、パートナーエコシステムの1つであるRSA Readyで、データセンターから、エンドポイント、ネットワークの境界、クラウドに至るまでの企業のアプリケーション全体にわたって、セキュアな登録、アクセス制御、ポリシー実行、ライフサイクル管理を行うための一元化されたプラットフォームを提供するそうだ。顧客は、セキュアな（多要素認証の）登録や、セルフサービス、緊急アクセス、あらゆるエンタープライズアプリケーションをまたいだ単一のFIDO登録といった機能が利用可能になる。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年12月26日16:50

ラクーンフィナンシャルは、BtoB掛売り決済サービス「Paid（ペイド）」において、加盟企業が管理画面へのログイン時に、登録されたIPアドレスのみがアクセスできる「IPアドレス制限機能」を新たに提供開始した。

Image may be NSFW.
Clik here to view.

「Paid」は、企業間取引における掛売り決済で発生する請求業務を全て代行し、未入金が発生した際も100％代金を支払うサービスとなる。新たに提供を開始したIPアドレスの制限機能は、社外のネットワークからのアクセスを防ぐことで情報管理が強化され、なりすましや不正アクセス、情報漏洩リスクの低減を実現するという。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年1月7日8:30

イスラエルのHUB Securityは、ブロックチェーンのトランザクションにおける暗号鍵管理に強みを持ったユニークなHSM（ハードウェア・セキュリティ・モジュール）を提供している。同社のHSMの強みと決済領域での展開について、CEOのEyal Moshe氏に話を聞いた。

エンド・トゥ・エンドの暗号化技術や鍵管理を実施

決済環境は、従来のSWIFTをはじめとした銀行間決済システムをはじめ、以前よりもセキュリティリスクが高まっている。例えば、マルタの Bank of Valletta では、不正送金により24時間システムが止まり、約1,300万ユーロが送金された。バングラデシュの銀行でも同様の被害が起こっており、このような事件によって、マーケットは決済システムに問題があると認識している。SWIFTのCISO（チーフセキュリティオフィサー）はイベントにおいて、「銀行で使っているシステムは30～40年前で、それに対して襲ってくるテクノロジーは最新である」とコメントしている。

Image may be NSFW.
Clik here to view.

HUB Securityでは、このような最新のリスクに対応したセキュリティソリューションを提供していている。同社では、一番重要な銀行と金融機関の決済ネットワークの保護に対してのセキュリティソリューションを提供している。Moshe氏は、「我々のベースとなる人材や技術がイスラエルの諜報部隊にかかわった人間で、セキュリティに対する経験値や知識の高いメンバーで構成されています。もともと軍向けに製品と技術を提供していましたが、その技術を民間の決済システムに転用しています」と説明する。イスラエルでは、軍事に対する国として、サイバーセキュリティ分野への投資は他の欧州諸国よりも進んでいるとした。

銀行システムも軍事も、ネットワークからシステムを完全に切り離すことはビジネスを継続するうえで難しい。そのため、「HUB（ハブ）のソリューションとして、エンド・トゥ・エンドの暗号化技術や鍵管理を高度なレベルで行い、ネットワークを分離しない形でもセキュア環境を保持していくことが重要です」とMoshe氏は説明する。

承認要求は小型のHSMに表示

HUB Securityのソリューションはシンプルであり、銀行のシステムとの連携が取りやすいという。また、攻撃を受けやすい銀行の決済システムに特化したソリューションを提供している。

具体的には、決済のプロセスの中で行う承認プロセスに特化し、同プロセスでハッキングが起こらないようなセキュリティソリューションを提供している。マルタの銀行でのハッキングでは、ハッカーが決済の流れの中でのポリシーを変更し、不正な送金が行われている。すべての保護が必ずしも有効に機能しているわけではないため、HUB Securityでは承認のプロセスをどう守るかに注力している。承認の処理は、HUB Securityが提供する耐タンパのハードウェアセキュリティソリューションのみで行われるため、仮にハッキングによりシステムの変更がされても不正な送金ができないとした（ソリューションの流れ）。

承認要求は小型でポータブルのHSMに表示される。その承認がデータセンター内のHSMに送られて、メインのサーバとやり取りを行い処理が実行される。マネージャーのみがHSMで承認し、確認は本社にあるメインサーバとの連携で行われる。そのため、ハッカーがPCやスマホを使って社内ネットワークに入って処理しようとしてもできない仕組みとなっている。また、HUB Securityではブロックチェーンの鍵管理保護に高い技術を備えており、今後拡大が予想されるブロックチェーンを利用した金融サービスを保護している。同社のHSMは、汎用のOSを使った仕組みではなく、自身で開発した独自の技術となっており、高いセキュリティレベルを実現している。

Image may be NSFW.
Clik here to view.

日本をはじめアジア市場での展開に力を入れる

現状は欧州の金融機関がクライアントとなるが、2019年秋は香港フィンテックウィーク（Hong Kong FinTech Week）、シンガポール・フィンテック・フェスティバル（Singapore Fintech Festival）、日本のサイバーテックなどのイベントに参加し、アジアでの展開にも力を入れている。Moshe氏は、「日本のマーケットでも銀行の決済、トランザクションを保護していきたいです」と意気込みを見せた。

なお、将来的な構想としては、現在はミニHSMを提供しているが、さらに小型化してチップ化し、クレジットカードなどの決済のトランザクションに使用される仕組みを目指していきたいとした。

2020年1月8日16:00

グローリーは、決済端末と決済情報中継サービスをワンストップで提供するキャッシュレスソリューションを強化し、2019年11月より販売を開始した。

具体的には、決済端末において、クレジットカード、電子マネーなど、１台でさまざまな支払い手段に対応可能なマルチ決済端末「PFM-100」をラインアップに追加した。磁気ストライプ、接触IC、非接触ICカードリーダー/ライター機能を一体化したコンパクトモデルで、レジ周りの省スペース化および店舗側の業務効率化につなげるという

また、決済情報中継サービスにおいては、新たにスマートフォンを用いた「コード決済」が取り扱い可能となる。

グローリーは、JR東日本メカトロニクスと協業し、リッチクライアント方式を採用したマルチ決済端末「PFM-100」を提供している。

また、国際的なセキュリティ基準「PCI DSS」への準拠や、「PCI P2PEソリューション」のプロバイダー認定を取得している。

Image may be NSFW.
Clik here to view.

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年1月14日9:00

PCI Security Standards Council（PCISSC）は、2019年9月にバンクーバー（カナダ）で開催された北米コミュニティミーティングにおいて、PCI DSS Version4.0（以下、4.0）について発表した。同基準ドラフトの主なポイントについて、PCIセキュリティ・スタンダード・カウンシル（PCI SSC）日本アソシエイト・ダイレクター　井原 亮二氏に話を聞いた。

Image may be NSFW.
Clik here to view.

リリースは早くとも2020年後半以降

PCI SSCでは、コミュニティミーティングを年に３回開催、その内北米でのコミュニティミーティングは、4.0の発表もあり注目度も高く、1,300人強が参加したという。また、日本からも複数のQSA（認定審査機関）やPO（参加団体）が参加している。今回は4.0の発表に加え、PCI P2PEもVersion3.0が発表され、2020年１月より18カ月の移行期間となっている。P2PEも3.0となり、よりフレキシビリティが広がったそうだ。

4.0は現在、PO（参加団体）、QSA、ASVによるファーストドラフトのレビューを受け、その結果のフィードバックを元に中身を見直していくプロセスとなっている。今後は、ファイナルドラフトの最終レビューを経て、リリースは早くとも2020年後半以降となる。現基準はPCI DSS3.2.1だが、1.0から2.0、2.0から3.0へと基準が更新されるごとに大きな変更が行われている。井原氏は、「Version3.0が発表されてから6年経ちましたが、新しいテクノロジーや決済環境が変わっていく中で、PO始めステークホルダーから多くのフィードバックがあり、それを反映してきました。今回もいくつかの大きな見直しが行われています。ファーストドラフトについても多数のフィードバックを受けておりますが、その骨格が大きく変わることはないと考えています」と説明する。

オブジェクティブ（目標）に基づいて、基準を再設計

具体的な変更点として、１つはオブジェクティブ（目標）に基づいて、基準を再設計していく。例えば、PCI DSSはパスワードの桁数など要件の記載通りにすることが目的ではなく、パスワードに対する攻撃に対抗することが重要だ。要件書には、新たにセキュリティオブジェクティブという項目が追加され、各要件が目指している本来の目的を説明している。そして、その要件と目的をつなぐために各項目ごとにインテント（意図）文が追加されている。この結果、準拠対応方法に柔軟性がもたらされる。

「従来通り各要件の記載通りに対応する方法に加え、新たなオプションとして独自の対応方法（カスタマイズアプローチ）を審査員がレビューして当該要件が目指している目標が十分に達成できると判断した場合であれば準拠が可能です。PCI DSSの記載要件に無理に合わせるのではなく、自社の独自の取組みが審査員によって評価されます」（井原氏）

例えば、日本企業の中には、独自の方針に沿ってセキュリティ対策を行うカード会社、決済事業者、加盟店もあるが、「独自の対策が評価されて、4.0のインテントで求められている要件の目標が達成されると判断されば、よりPCI DSSが準拠しやすくなります」と井原氏は期待する。

準拠対象範囲（スコープ）の確認も通常要件で定義

また、4.0では、新しいテクノロジーをベースに基準を見直している点も特徴として挙げられる。以前からPCI DSSの基準は例えばクラウドをベースとした要件の記載になっておらず、QSAの判断に委ねていたが、4.0ではクラウドサービスなど多様な技術の採用を支援する。

認証では、パスワードを前提とした要件定義が行われていたが、多様な認証手法も視野に入れた記載となっている。

PCI DSSのオンサイトレビューでは、まず最初に準拠すべき対象範囲（スコープ）を定める。これは、定期的に行われるべきプロセスだが、これまでは要件書には定義されていなかった。3.2.1では、DESV（Designated Entity Supplemental Validation）という、過去に情報流出を起こしていたり、事業者のカード情報が集中するなど国際ブランドが特に指定した事業者に対して行う追加要件として定められており、定期的および組織や仕組みが変った時にスコープの再確認を行う必要があった。4.0ではこれが一般要件（要件12）で求められる予定だ。

その他、「NIST（米国・国立標準技術研究所）などではパスワードの方針をアップデートしており、PCI DSSとは必ずしも整合していない場合もありますので、その観点から基準を見直しています。12要件の骨格は変わりませんが、より説明をクリアにしたり、オブジェクティブベースにするために書き換えるなど、細かな変更点があります。サービスプロバイダのみの要件など、切り分けをしている部分もあります」（井原氏）

「実行計画」の下でPCI DSSの準拠を求められているアクワイアラ、サービスプロバイダ等に対しては最終版がリリースされた段階でできるだけ早期に説明が必要と考えている。

なお、PCI SSCでは、セキュリティに関しての人材育成も重要であるとした。4.0の審査をする際、「カスタマイズアプローチでは受審する事業者側で、PCI DSSの要件を把握し、自分たちの取り組みを理解して、審査員と議論ができる人材が不可欠です」と井原氏は話す。PCI SSCでは、「PCIプロフェッショナル（PCIP）」のオンラインによる日本語版講習を開始、すでにセミナーなどでも説明を行ったが、カード会社等の意識は高かったそうだ。また、日本クレジット協会も同取り組みに理解を示したという。

Image may be NSFW.
Clik here to view.

Image may be NSFW.
Clik here to view.

2020年1月15日8:00

アイ・アイ・エムとセイコーソリューションズは、2019年11月21日にプライベートイベント「COMPUS 2019」をJPタワー ホール＆カンファレンス（東京都千代田区）で開催した。同イベントでは、セイコーソリューションズ データサービス本部 CREPiCO統括部長 渡邊 圭一氏が「セイコーソリューションズが実現する安全・安心のキャッシュレス社会」と題して講演した。

Image may be NSFW.
Clik here to view.

タッチパネル液晶にカメラ搭載の「AT-2300」

セイコーソリューションズは、ペイメント領域において、決済端末および、情報処理センター「CREPiCO決済情報処理センター」を展開している。これまで、ファーストフード、コンビニエンスストア、書店などの店舗に約2万台、訪問販売、宅配便、外商などに5万台のモバイル決済端末を納入している。また、同社が強みを持つタクシー向けには、約5万台の導入実績がある。「CREPiCO決済情報処理センター」では、安心・安全・堅牢なセンターとして、24時間365日の常時監視で加盟店の決済事業をサポートしている。

Image may be NSFW.
Clik here to view.

現在の決済のトレンドとして、政府の「キャッシュレス・消費者還元事業」により、2019年10月以降はトランザクションが増加していると言われる。また、訪日外国人の増加によるQR/バーコード決済、「Visaのタッチ決済」をはじめとしたEMVコンタクトレスの推進も行われている。さらに、スマートデバイスの普及により、決済以外の付加機能との連携も求められる。安全面では、偽造カードの試用の防止、PCI DSSをはじめとしたカード情報の保護、堅牢なセンターの運営が重要だ。

セイコーソリューションズでは、店舗向けにモバイル決済端末「AT-2300」を開発し、タッチパネルの液晶画面で操作性を向上させている。2019年12月には、非接触クレジット（NFC）に対応。また、端末にはバーコードカメラが搭載されており、2020年1月にはAlipayやWeChat Payといったモバイル決済が可能となる（タクシー専用モデルは2020年2月にQR決済対応予定）。暗証番号入力のPINパッドは、セキュリティ基準の「PCI PTS」に準拠している。

Image may be NSFW.
Clik here to view.

また、PCI DSSに準拠した「CREPiCO決済情報処理センター」では、加盟店のカード情報非保持化をサポートするP2PEソリューションプロバイダの認定を取得している。これにより、外回り接続方式で加盟店のカード情報非保持化に加え、決済端末とセンター間で暗号化した情報をやり取り可能となり、内回りでの運用が可能だ。同センターでは、パナソニック製の「JT-R600CR」を紐づける形でP2PEに対応している。

Image may be NSFW.
Clik here to view.

タクシーメーター連動の「AT-7400」、非連動の「AT-2300EZ」

タクシー向けには、タクシーメーター連動の「AT-7400」、非連動のモバイル決済端末「AT-2300EZ」を用意している。AT-7400 はメーターや車載プリンターと連動し、コンパクトで多機能なため、タクシー会社のニーズに合っているという。一方、AT-2300EZは、メーターとは連動しないが、操作部、通信モジュール、プリンターが一体となるため、キャッシュレスのニーズが高いタクシー会社のニーズに対応し、複数の車両間など、臨機応変に使用できるとした。

セイコーソリューションズでは、2019年10月15日にAT-7400を利用したタクシー用決済システムにおいて、全国交通系電子マネーによる承認を取得している。同承認により、AT-2300/2300EZにおける交通系電子マネーの一般利用も可能となった。

Image may be NSFW.
Clik here to view.

決済系ソフトやフードサービスも提供

なお、セイコーソリューションズでは、決済系ソフトウェアとして、決済時の対外接続を統合するパッケージソフトウェア「SEGTRAN（セグトラン）」、カード決済自動パッケージソフトウェア「CAPS（キャップス）」といった決済系ソフトも展開しており、400社での採用実績がある。

また、飲食店向けには利用者のスマートフォンやパソコンから事前注文・決済、デジタル注文が可能な「オーダリング連携サービス Linkto」を提供している。デニーズには、メニューの注文、会計が、利用者のスマートフォンで 行える「デジタル注文決済サービス」を提供している。また、カッパ・クリエイトが運営する「かっぱ寿司」の持ち帰り予約注文に、来店者のスマートフォンやパソコンから事前注文・決済が可能なサービスを提供している。

2020年1月15日18:30

ヤマトフィナンシャル（YFC）は、ネット総合決済サービス「クロネコwebコレクト」においてクレジットカードの不正利用防止を目的とした検知機能を2020年1月21日より提供すると発表した。

Image may be NSFW.
Clik here to view.

EC市場の拡大と共にクレジットカード不正利用は増加の一途を辿っており、2018 年の国内における被害額は約 235 億円、その中でも番号盗用による「なりすまし被害」が急増している。こうした事案は、主に通販事業者がその損失を負担するため、事業継続におけるリスク要因となっている。また 2018年6月施行の「改正割賦販売法」により通販事業者等のクレジットカード加盟店に対して多面的・重層的な不正利用対策が義務化された。

こうした中、「クロネコwebコレクト」では、EC・通販事業者がクレジットカード決済をより安全に導入できるよう、システムの追加開発が不要かつ、無料で利用可能な不正検知機能を追加する。

EC・通販事業者が、「クロネコwebコレクト」でクレジットカード決済を利用した時に、YFCが独自に所有する情報を元に不正利用の危険度を判定し、メールで通知する。EC・通販事業者は、その判定結果を商品出荷の判断材料として利用できる。

また、APIにて連携することで、よりスピーディーな判定結果の返信も可能だ（別途費用が発生）。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年1月15日18:30

大規模事業者向けに暗号資産ウォレット管理システムを提供するフレセッツは、秘密鍵をHSM（Hardware Security Module）で管理できるアップデートを実施した。これにより暗号資産の取引所は、より強固なセキュリティで秘密鍵を守ることが可能となる。

Image may be NSFW.
Clik here to view.

金融機関の鍵管理においてHSMの利用は必須のコンプライアンス要件となって久しい一方で、暗号資産の業界でHSMに対応したウォレットはほぼ存在しない状況が続いていたという。 HSM対応のウォレットは、 物理的に悪意のあるアクセスを受けた場合であっても、 秘密鍵を取り出すことが原理的に不可能であり、より安全な秘密鍵の管理が可能となるそうだ。また、フレセッツは、 ICカード市場で世界最大のシェアを占めるタレス（Thales）の協力を得て、このHSM対応を実現した。

フレセッツEWMシステムは、これまでの一般的なハードウェアウォレットに加え、業務レベルで実用可能なHSMにもいち早く対応することで、最も高度なセキュリティ基準が求められる取引所の運営事業者に、より安全かつ強固な鍵管理の仕組みを提供するそうだ。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年1月24日8:30

国際的な不正のトレンド、PCI DSS4.0、非対面の不正使用対策など最新のセキュリティ動向を紹介

日本でもクレジットカード等の不正使用対策は課題となっています。クレジット取引セキュリティ対策協議会は、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」（以下、実行計画）を策定し、2020年に向け、国際水準のクレジットカード取引のセキュリティ環境を実現し、安全・安心なクレジットカードの利用環境の整備を進めてきました。2019年度は実行計画の最終年度となりますが、2020年3月の期限に向けて、その取り組みは大詰めを迎えています。実行計画は改正割賦販売法の法令上の実務指針とうたわれているため、次年度以降も不正対策のベースとなると思われますが、安心・安全な決済取引に向けて、サービスプロバイダ（カード会社や決済事業者）や加盟店は不正対策を継続して行う必要があります。

そこで今回のフォーラムでは、ポスト2020の取り組みとして、国際ブランド2大ブランドの新たな不正対策、PCI DSSの新バージョン、後払いなどの不正対策のトレンド、大手加盟店の不正使用対策などを紹介することとなりました。

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部では、2011年11月に初となる「ペイメントカード・セキュリティフォーラム」を開催。計7回のフォーラムを開催して参りましたが、現在はペイメントカードセキュリティ対策に関して、国内を代表するフォーラムの1つとなりました。そして、2020年3月19日に第8回目となる「ペイメントカード・セキュリティフォーラム2020」を開催する運びとなりました。

本フォーラムの開催により、サービスプロバイダや加盟店、およびカードセキュリティに関わる全てのプレイヤーのセキュリティ意識の向上につながれば幸いです。

※本申し込みにあたりお預かりしたお客様の個人情報（氏名、住所、電話番号等）ならびアンケートのご回答情報は、主催、協賛各社において、今後の営業、マーケティング、各社取り扱い製品またはサービスに関するご案内のために利用させていただく場合があります。なお、ご記入いただきました個人情報につきましては、各企業の個人情報保護ポリシーに則って、適切に扱われます。

■講演プログラム（予定）

※プログラムは、予告なく変更される予定です。タイトル、講演内容や講演者は確定次第、順次追加予定です。予めご了承ください。最新情報は、本サイトをご確認ください。

【事前に必ずご確認のうえお申し込みください】
・ご登録情報は主催者ならびに3月19日時点の協賛企業で共有されます
・ご講演スライドと配布資料はご講演企業の意向により、異なる場合があり、配布がないケースもございます。
・また、会場の後方はスライド画面が見えにくい場合がございますので、当日は前方にお座りいただくことをお勧めします。
・セミナー中の写真撮影、録音はお断りさせていただきます。

Image may be NSFW.
Clik here to view.

2020年1月31日8:20

ソフトバンクグループのBBソフトサービスは、2019年12月度のインターネット詐欺リポートを発表した。

2019年12月度は決済サービス事業者をかたるフィッシング詐欺サイトが増加した。詐欺ウォールで収集したクレジットカード会社やオンライン決済サービス会社をかたるフィッシング詐欺サイト数は、10月に62件だったものが、11月には40件まで減少し、12月は109件と前月の2.7倍まで増加した。

Image may be NSFW.
Clik here to view.

また、詐欺ウォールで収集したフィッシング詐欺サイトにて盗用されたブランドの上位10件として、12月度は前月に10位以下だったクレジットカード会社やオンライン決済サービスがランクインしている。

オンライン決済サービスでは、他のフィッシング詐欺サイトと同様に社名もしくはブランド名を詐称した偽のメールから、偽のログインページにアクセスさせ、ログイン情報（ID・パスワード）やクレジットカード情報、氏名、メールアドレス、住所などの個人情報を詐取している。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年2月17日18:20

SCSKは、2019年12月に同社データセンター「netXDC」において、ペイメントカード業界における国際的なセキュリティ基準「PCI DSS（Payment Card Industry Data Security Standard）」の最新バージョン、3.2.1の認定を取得したと発表した。

対象は、netXDC千葉センター、netXDC千葉第2センター（千葉県印西市）、およびnetXDC三田センター、netXDC三田第2センター（兵庫県三田市）となる。

PCI DSSは、加盟店やサービスプロバイダなどがペイメントカードの会員データを安全に取り扱うことを目的に策定された、クレジットカード業界の国際的なセキュリティ基準となる。同基準は、国際カードブランド5社（American Express、Discover、JCB、Mastercard、Visa）が共同設立したPCI SSC（Security Standards Council）によって運営されている。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年2月19日21:25

デジタルセキュリティベンダーのThales（タレス）は2020年2月19日、富士通（ヨーロッパ）がタレスのクラウドハードウェアセキュリティモジュール（HSM）と鍵管理ソリューションを採用したと発表した。富士通がヨーロッパ全域で提供する包括的なセキュリティソリューションにおいて、マネージドPKIセキュリティおよびエンタープライズデータ暗号化の新サービスの強化を実現するという。

Image may be NSFW.
Clik here to view.

富士通は、自社のマネージドMicrosoft認証局（CA）サービスにタレスのクラウドHSMサービスであるData Protection On Demandを統合し、高度なセキュリティと利便性を誇るエンドツーエンドのエンタープライズ公開鍵基盤（PKI）サービスを提供するそうだ。さらに、同社の新サービスであるエンタープライズデータ暗号化サービスにタレスの鍵管理プラットフォームを統合し、顧客の安全な暗号鍵のライフサイクルマネージメントを実現する。

富士通はタレスとの提携を拡大し、タレスの鍵管理プラットフォームを利用したエンタープライズデータ暗号化サービスの提供を開始した。強固な暗号化方式に加え、ライフサイクル全体を通して暗号鍵を保護する鍵管理システムによってデータセキュリティを確保し、効果的で、規制に準拠したデータ保護を実現するという。新サービスは、富士通のデータ保護ポートフォリオの1つとして、オンプレミス、ハイブリッド、マルチクラウド環境を問わず、全てのデータを保護するために提供される。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2020年2月28日18:10

日本クレジットカード協会（JCCA）は、クレジットカードのEC加盟店向けに、クレジットカード情報および個人情報の漏えいの未然防止に向けた簡易診断ツールを「クイズ方式」にて作成した。

Image may be NSFW.
Clik here to view.

JCCAでは、多発する不正アクセス・情報漏えい被害の未然防止に向け、加盟店ECサイト向けに基本的な漏えい対策のポイントを取りまとめ「クイズ方式」で確認できるツールを作成。クイズを進めていくことでECサイトにおける漏えい対策で不足しているポイント等を簡易に確認できる内容となっており、クレジットカードのEC加盟店がシステムや法令に関する詳しい知識がない場合でもECサイトでとるべき対策を理解することが可能となっている。

この記事の著者

Image may be NSFW.
Clik here to view.

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト