カード決済セキュリティガイド~2020年に向けて重要なペイメントカードのセキュリティ対策を紹介~

カード決済セキュリティガイド
~2020年に向けて重要なペイメントカードのセキュリティ対策を紹介~

2020年の東京五輪に向け、国内でも安心・便利に利用できる決済サービスの構築が進められている。2014年12月26日には、政府から「キャッシュレス化に向けた方策」も発表されるなど、非現金化に向けた動きも加速しています。

グローバルでは、Apple PayやAndroid Pay、Samsung Payなど、新たな決済サービスが発表され、今後は国内でもニューテクノロジが生まれると予想されます。

便利な決済サービスが広がる一方で、“決済は利便性とセキュリティのトレードオフ”といわれるように、セキュリティ対策が重要となります。特に近年は、カードを提示しない「CNP(Card Not Present)」での不正が顕在化しています。また、リアルの世界では、経済産業省が2014年7月にクレジットカードの完全IC化を目指すと発表しました。さらに、日本クレジット協会(JCA)でも2020年までに100%IC化を目指しているように、業界あげてICクレジットカードの推進が行われています。

本書では、リアル店舗やネット加盟店のセキュリティ対策、PCI DSS準拠事例、POS端末やスマートフォン決済のセキュリティ強化、国際的に求められるセキュリティ対策などについて紹介しています。本書が国内におけるカード決済セキュリティ強化に向けた参考となれば幸いです。

「カード決済セキュリティガイド」
※カード決済セキュリティの仕組みとは書籍が異なりますので、ご注文の際はお気を付け下さい
●発行:TIプランニング
●出版日時:2015年9月15日
○編集:ペイメントナビ/ペイメントワールド編集部
●販売:2,000円+税(当面の間、送料は無料で提供します)

※クレジットカード(Visa、MasterCard、JCB、American Express、Diners)および銀行振り込みが可能です。個人の方からのお申込みは、クレジットカードのみとさせていただきます。
■初めて弊社と取引を行う企業のお客様
お申込みを確認後、当社からご請求書をお送りいたします。書籍が完成次第、ご請求書をお送りします。入金確認後、当社より書籍を発送いたします。

第1章 2020年に向けて求められるカード決済セキュリティのトレンド 
●近年では非対面での不正利用が増加
対面でのEMV ICカード化が進むと期待
・非対面で重要な3つの本人確認 海外取引ではAVSを用いるケースも
・業界団体では「3-Dセキュア」を推奨に 「ワンタイムパスワード」による3-Dセキュアの認証も登場
・生体認証やワンタイムパスワード 新たなテクノロジで不正を防止
・PCI DSSもしくは非保持サービスで情報漏洩対策強化 加盟店が検知システムを導入するケースも
・加盟店に向けてのトークンサービスが徐々に広がる 国際ブランドもイシュアに対してサービスを提供
・2014年10月のライアビリティシフト施行 EMV化が遅れている韓国でも対応が進む
・クレジット取引セキュリティ対策協議会が設立 2020年に向けセキュリティ対策がさらに重要に

第二章 インターネット決済における不正利用対策
■日本航空(JAL)
より安全なオンライン航空券予約の実現に向けて不正検知サービスを導入
手動では検知できなかった取引も見分けることが可能に
・2015年1月より「CAFIS Brain」を本格導入 フラウドツールの導入で効率的な不正検知を実現
・日本向けのルールやスコアを追加して精度を高める 部署内で知見を共有し、さらなる検知アップを目指す
●不正検知システムによるセキュリティの強化策 加盟店向けのソリューションも登場
■ゴルフダイジェスト・オンライン
ゴルフダイジェスト・オンラインのトークナイゼーション導入のメリット
カード番号を乱数に置き換えて、安全なカード情報の管理が可能に
・国内で初めてトークナイゼーションを導入 カード情報が漏洩せず、システムとして非常に安全な仕組みを提供
・障害時にはベンダー頼みになる課題も 今後はカード情報を決済代行事業者に委託する可能性も
・トークナイゼーションは自社の技術者の確保が必要に 5~7年で見ると運用コストを抑制可能
■GMOペイメントゲートウェイ
トークンによる決済処理で、カード番号の漏洩リスクを軽減
加盟店がクレジットカード番号に触れない(=「処理」「伝送」「保持」しない)サービスを提供へ
・外資系等の加盟店からトークン化の要望が増加保存だけではなく「伝送」「処理」も不要に
・PCI DSS準拠に向けてのスコープを削減可能
■ソニーペイメントサービス
独自の認証システム「認証アシストサービス」をリアル加盟店にも提供
トークナイゼーションや「外貨決済サービスAVS機能」でカード会員情報を保護
・チャージバック率は0.002%以下 認証アシストサービスにおいても個人の属性情報等の認証項目を追加
・5年以上前からトークンに置き換えるサービスを提供 外貨決済サービスでは、郵便番号、住所の照合を行うAVSに対応
●日本のクレジットカードの不正利用率の状況は?
■イーディフェンダーズ
国内におけるチャージバックの現状と対策は?
・チャージバックの発生金額は12~13万円程度が多い
・チャージバックの基準はカード会社で若干ポリシーが異なる 場合によっては決済代行事業者が被害を飲むケースも
・発送前のひと手間でチャージバック発生を抑制 楽天はチャージバックが少ない傾向に

●特別レポート
トークナイゼーションについて
 日本セーフネット株式会社 チーフエバンジェリスト 亀田 治伸
・暗号化との違い
・クレジット業界におけるトークン化の歴史
・乱数処理の許容範囲
・トークン化システム導入時の注意点

第三章 リアルにおける不正利用の動向
■東武百貨店
ICクレジットカード対応携帯POSを導入し、150万件の処理を突破
10年間の運用から販売員や顧客が使いやすい端末に刷新
・2013年2月から端末を順次切り替え 2016年度は約65%程度の処理を想定
・5~6年運用しても問題ない端末に作りこむ ICクレジットカード化は時代の趨勢
●国内でもEMV対応のmPOSが数多く登場
国際セキュリティ基準「PCI PTS」の概要と重要性
 キヤノンマーケティングジャパン株式会社 BSソリューション企画本部 モバイルソリューション企画部 SI協業推進課 山本大輔
・国際セキュリティ基準「PCI PTS」とは
・「PCI PTS」の規格と概要
・「PCI PTS」準拠によるメリットと重要性
・「PCI PTS」が必要な理由
・2020年に向けて
・PCI PTS4.0対応のプリンター一体型決済端末
・NTTデータの決済プラットホーム「CAFIS Arch」に対応
■日本NCR株式会社
世界標準の中でのNCRのPayment Solution
セキュアなPOS決済ソリューション、不正検知システムを提供
・オムニチャネルに注目が集まるなか、セキュリティも重要に POSベンダーとして導入企業が簡単に導入できる仕組みを用意
・米国のペイメントセキュリティは日本と近い? 欧州は国に応じて若干ペイメントのターミナルが異なる
・「RES ePayment」は日本で初めてPA-DSS v3.0の認定 POSアプリケーションとは独立したパッケージソフトウェア
・不正検知/防止プラットフォーム「Alaric-NCR FRACTALS」を国内で提供 ルールエンジンと適応型分類エンジンで不正を防止
mPOS・モバイル端末決済を支える「DUKPT」とは?
 タレスジャパン株式会社 Thales e-セキュリティ事業部 シニアテクニカルスペシャリスト 山神 真吾
①mPOSにおけるセキュリティとDUKPTの概要
②DUKPTを導入することによる利点
③具体的な適用の方法
■ロイヤルゲート
ハイセキュリティのスマホ決済サービスを目指す「PAYGATE」の取り組み
PCI DSS準拠DUKPT完全対応のスマホ決済プラットフォームの強みとは?
・mPOSのアプリケーションをワンストップで提供 パブリッククラウドとオンプレミスのハイブリッドでPCI DSS準拠
・DUKPTを採用したキーマネジメントを実施 デバイスで暗号化してからはHSMまでは複合化できない
・端末は一台一台IPEKをインジェクションして加盟店に送付 アプリケーションや端末までスコープの対象範囲を広げてPCI DSS準拠
・HSM以外はパブリッククラウド上で運用 2016年度にはグローバルでサービス展開へ

第四章 カード決済のセキュリティを支えるHSMとは?
■タレスジャパン株式会社
モバイル決済におけるセキュリティリスク管理の新潮流
NFCのモバイル決済で注目を集めるHCEの運用にHSMは有効
・HCEによるモバイルペイメントが普及の兆し 通信キャリア・TSMなど複数の団体との調整が不要に
・HCEにおいて鍵は短期間のみ利用される HSMは鍵を生成するプロセス全体をコントロール
・鍵交換技術の実装にHSMが有効 イシュアにとってセキュアな鍵の生成が可能に
・HCEによりモバイル決済の普及が加速 HSMで「人」「プロセス」「技術」の包括的なセキュリティ強化
■日本ヒューレット・パッカード株式会社
世界の決済サービスを陰から支える「HP Atalla」
米国のカード決済処理の70%を保護するHSM
・HPは総合セキュリティ製品を提供 業界をリードする「TippingPoint」「Fortify」「ArcSight」
・「FIPS 14002 Security Levels レベル3+」に準拠 決済サービスを利用する企業で35年以上の実績
・金融サービスを保護する4つの「HP Atalla」 決済用HSMとしてNSPを提供
・SCAによるセキュアリモート管理を実現 世界最大のプロセッサーのVisaで採用

第五章 国際ブランドのセキュリティへの取り組み
■ビザ・ワールドワイド・ジャパン
決済のデジタル化と国際的な取り組み
・対面での不正利用防止にはEMV ICカードが有効 日本は加盟店で17%、ATMは0%の普及率
・米国でもEMV化が進むと、次の標的は? 日本では大型加盟店のPOSのEMV対応が課題
・EMV準拠のペイメントトークンを提供 決済のデジタル化ではトークナイゼーションが有効に
・トークンの番号が仮に漏洩しても不正利用を回避 2020年に向け対面、非対面で一気通貫の決済を提供へ
■MasterCard
「MasterCard Digital Enablement Service(MDES)」によるセキュリティ強化
トークンによる、安心・安全な決済サービスの実現
・実カード番号をトークン化 情報漏洩による不正利用リスクを回避
・MDESは、セキュアエレメントだけではなく、HCEにも対応可能 既存の決済インフラでトークン決済
・トークン取引はEMV暗号情報を伴う オンライン加盟店にもトークンサービスを提供へ

第六章 米国のセキュリティ動向
アメリカのカード不正とその対策              
 和田文明
・世界の不正の半数以上を占める
・EMVセキュアチップ化
・新Buy Secureイニシアティブ
・EMV CONNECTION
・Vantiv
○金融機関向けのカードやオンラインの不正対策とデータセキュリティサービス
○マーチャント(カード加盟店)向けのカード不正対策とデータセキュリティサービス
・Bill Guard
●指紋認証でログイン・決済時の認証を強化

第七章 PCIセキュリティ基準の最新動向
「PCI DSS」などの国際基準を普及・促進を図るPCI SSCの取り組みは?
 ~PCI Security Standards Council International Director Jeremy King氏インタビュー
・PCI DSSはVersion3.1へアップデート 品質保証プログラムによりQSAの品質を監視
・PCI DSSの準拠はアジア太平洋地域ではオーストラリアが先行 日本は決して対応が遅れていない?
・PCI P2PE(Point-to-Point Encryption)を推奨 モバイル決済ではSRED対応が重要に
・欧州ではPCI P2PEへの移行が進む PCI HSMではFIPSよりも広範囲をカバー
・PCIのトークン化ガイドラインと国際ブランド推奨のガイドラインとの違いは? PCIで加盟店が如何に対応するのかを記載
●「PCI DSS」等のカード決済のセキュリティを普及促進するPCI SSC

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP