NFCのモバイル決済で注目を集めるHCEの運用にHSMは有効 最新の決済トレンドにも対応できる強固なセキュリティを実装(タレスジャパン株式会社)

2015年10月1日8:20

タレスは、決済に関わるセキュリティについて40年以上の歴史があり、世界の80%の決済トランザクション処理に絡んでいる。EMV、HCE等のモバイル決済においてもデータ保護を進めており、モバイル決済の新技術として活用が進む「HCE (Host Card Emulation:ホスト・カード・エミュレーション)」においても決済用HSM(ハードウェア・セキュリティ・モジュール:Hardware Security Module)「payShield 9000」の役割は年々高まっている。

さまざまなペイメントの保護に活用可能なHSM
HCEではHSMが従来通り利用可能

タレスは、決済用HSMとして、「payShield 9000」という決済に特化した製品を提供している。同社では、90年代からクレジットカードのIC化に向けたテクノロジを提供しており、国内でも2000年初頭にVisaやMasterCardと協力し、発行の支援を最初に行った。通常の決済トランザクションやカード発行に加え、モバイル決済の環境など、新たなテクノロジにも追従して機能を追加している。また、暗号モジュールのセキュリティ要件を定義する米国連邦情報規格「FIPS140-2 レベル3」、情報システムのセキュリティ評価基準を定めた国際標準「Common Criteria」、ペイメントカードの国際セキュリティ基準「PCI DSS」を運営するPCI SSCが定義したHSMのセキュリティ基準「PCI HSM」に準拠している。

近年は、モバイルウォレット、NFC、HCEなど、モバイルを活用したさまざまな決済の手法が生まれている。決済環境自体は、モバイルだろうとカードだろうとバックエンドの仕組みは同じだが、モバイルネットワークやサービスプロバイダのセキュリティをどう確立するのかが課題となっている。

特にモバイル決済の環境としては、新たなテクノロジとしてHCEが注目されている。従来のモバイルペイメントでは、セキュアエレメント(SE)を使った仕組みが構築されてきたが、HCEはクラウドベースのソリューションとなっている。SEの場合、モバイルオペレーターが絡むため、技術的な実装などが課題となっているが、HCEの場合、クラウド上に実装するため鍵の管理もなくなり、カード情報もトークン化されてモバイルデバイスの中にあるため非常にセキュアな情報となる。また、情報のアップデートもクラウド上で可能となり、SEに比べるとアップデートや認証が行いやすくなる。現状、SEの場合、モバイルオペレーターの中でセキュリティが確立されていない課題もあるため、タレスではHCEの方がセキュリティレベルは高くなると見ている。HCEは確立された決済環境の中で管理でき、余計なセキュリティの範囲を考えなくて済むため、HSMが従来通り利用できるそうだ。

決済アプリケーション用として設計されたThales e- Security のpayShield 9000

決済アプリケーション用として設計されたThales e- Security のpayShield 9000

 

鍵交換技術の実装にHSMが有効
イシュアにとってセキュアな鍵の生成が可能に

HCEは、鍵を生成する際にカードスキームとしてHSMで行われ、イシュアにとってはよりセキュアな鍵の生成方法がとれるという。HCEで使うPANのレンジは実際の物理的なカード環境で使うものとは異なるため、仮にデータが盗まれても、それを使って対面取引で悪用されたり、非対面取引に使うことはできない。また、鍵をどう保管するかという、ストレージの部分については、HSMの内側にのみ存在し、イシュアの環境の中だけでセキュアな形で暗号化されている。

アカウントマネジメントモジュールについては、アカウントのアーキュレーションをサポート。例えば、あるユーザーがモバイルサービスを使う場合、銀行への登録を行うが、まずはユーザーのデバイスの適格性をチェックする必要がある。方法は各イシュアにより異なるが、利用者に対してアクティベーションコードを供給し、アプリケーションのダウンロードを行う。アプリケーションがインストールされ、鍵のプロビジョニングが終わると、ユーザーは店舗で支払いが可能になる。また、マスターキーはカードから分離。鍵交換技術を使用するためにHSMが利用され、モバイルデバイス側に格納されている鍵は暗号化された形式で携帯デバイスに格納される。

PANに関しては、HCEは通常のカードは利用しない。物理的なカードで使っているPANとは代替となるPANもしくはトークンが使用される。この場合、鍵は一回限りの使用となり、すでにプロビジョニングされた鍵が全部使われた場合には、イシュアから再度もう一度鍵をプロビジョニングすることが必要となる。

タレスのHSMは、「人」「プロセス」「技術」の包括的なセキュリティ強化を実現。また、HCEにおいても強力なマスター鍵保護、暗号データの確証、セキュア・チャネルの構築により、ビジネスを支援可能だ。

■「PR」お問い合わせ先

thales
タレスジャパン株式会社
e- セキュリティ事業部
〒107-0052・東京都港区赤坂2-17-7
赤坂溜池タワー8F
TEL03-6234-8180
URL:https://jp.thales-esecurity.com/
Email:jpnsales@thales-esecurity.com

この記事の著者

ペイメントナビ編集部

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

page toppagetop