2015年7月21日7:00
「MasterCard Digital Enablement Service(MDES)」によるセキュリティ強化
トークンによる、安心・安全な決済サービスの実現
Appleの「Apple Pay」やSamsungの「Samsung Pay」には、MasterCardが提供するペイメントトークンサービス「マスターカード・デジタル・イネーブルメント・サービス(MDES:MasterCard Digital Enablement Service)」が利用されています。今回は、カード番号をトークン化するフローやそのメリット、「MasterPass」をはじめとするデジタルウォレットへの適用について紹介します。
実カード番号をトークン化
情報漏洩による不正利用リスクを回避
オンラインにつながるデバイスは、現在も世界に120億台あり、2020年には500億台に達するという予測が米国で発表されています。また、オンラインデバイスをショッピングに利用するニーズも高まりつつあります。カード業界は50年近くの歴史となりますが、磁気に代わる技術として20年ほど前にEMVが導入されました。また最近では、モバイル等のデバイスを決済に活用するデジタル化が急速に進んでいます。
モバイル決済の普及は加速していますが、その一方で安全性に対する不安もささやかれています。MasterCardでは、10年以上前からNFC対応モバイル決済の実証実験を行っており、現在までにも世界各国で様々な取り組みが行われていますが、爆発的な普及に至っていない背景としてはセキュリティの課題も大きいと考えられます。「MDES」では、プラスチックカードに印字された番号とは異なるトークン番号を生成して、デバイスやサーバーに情報を書き込むことを想定しています。
今後は、モバイルデバイスを様々な決済シーンで利用するニーズが高まることが想定されるため、決済端末にモバイルデバイスをかざすNFC非接触決済だけではなく、QRコードを決済やクーポン・オファー等の周辺サービスに利用するなど、新しいテクノロジーも積極的にサポートしていきたいと考えています。
「Apple Pay」等の場合は、モバイルデバイス内にトークン情報を格納していますが、オンラインショッピングでは、利用者のカード情報を預かるネット加盟店も多数存在するため、将来的にはこれらの加盟店が管理するカード情報もトークン化してゆく予定です。
MDESは、セキュアエレメントだけではなく、HCEにも対応可能
既存の決済インフラでトークン決済
また、MasterCardは、セキュアエレメントに依存せずソフトウェアベースで安全な決済を実現する、HCE(ホスト・カード・エミュレーション)ベースのMasterCard Cloud Based Paymentという仕様を昨年発表しました。HCEでは、決済取引時に利用する鍵を格納するセキュアレメントが存在しません。よって、クラウド側とモバイル側で密接なやり取りを行うことで、取引のたびに異なる鍵を利用する設計となっています。MDESはHCE対応決済のクラウド側の機能も備えています。
トークンは、既存の決済インフラとメッセージフォーマットをそのまま活用できるよう設計されています。MasterCardのカード番号は、現状5ではじまりますが、トークン番号も同様にMasterCardに割り当てられた番号帯から発番されます。
※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のマスターカード ジャパンオフィスマーケットデベロップメント エキスパートセールス ディレクター 中原美奈子氏の講演をベースに加筆を加え、紹介しています。
