pci dssサービス紹介サイト - ペイメントワールド

[ 2013年01月24日 - PAYMENT WORLD ]カード決済システムに対するセキュリティのグローバルトレンド(上)

2013年1月24日22:39

カード決済システムに対するセキュリティのグローバルトレンド(上)

タレスジャパン

タレスが提供する決済用ハードウェアセキュリティモジュール(HSM)である「payShield 9000」は、暗号化および顧客のPINを生成、保護、および保存するために利用されており、全世界のペイメントカードのトランザクションの約7割の処理を保護しています。NFCを利用したモバイル非接触決済やスマートフォンを活用した決済ソリューションにおいてもタレスのHSMが重要な役割を果たしています。

全世界のカード決済の70%を処理
3,000を超える金融機関から支持を受ける

タレスはグローバルに事業を展開しており、6万8,000人の社員を有しております。また、1.3兆円の事業規模を誇るグローバル企業です。タレスには、eセキュリティという部門があり、全世界のカード決済の70%を処理しています。また、全世界の3,000を超える金融機関から支持されており、EMVカードの発行に関してはリーディングソリューションの1つとなっています。すでに40年にわたり、データセキュリティソリューションを政府、金融機関、大手企業に提供しています。弊社を一言で言うならば、「ペイメントカードのエキスパート」となり、また長期的に信頼関係を築けるパートナーとして認められています。

昨今、ペイメントの世界では、モバイル決済が注目を集めています。「ワールド・ペイメント・レポート」による調査結果では、毎年50%の成長でモバイル決済が伸びています。興味深いデータとして、世界中で携帯電話のユーザーは約50億いますが、銀行口座の数は16億であるということです。弊社では、携帯電話は、支払いの際にとても良い手段になると考えています。

さらに、ジュニパーリサーチ発表の調査によると、2年後にモバイル決済市場は6300億米ドルに達するとされています。世界、そして日本においてモバイル決済は主流になるため、今後はこれをどう受け入れていくのかを考えていかなければなりません。

モバイル非接触決済にはプロビジョニングとトランザクションが重要
HSMによりモバイル端末へ安全にデータ送信

まず、モバイルの非接触型決済を実現するためには、NFC対応端末、そしてNFC対応のPOSターミナルが必要となります。主要なモバイルOSを提供するGoogle、Blackberry、MicrosoftについてもNFC対応を行っています。そして、市場にはNFC対応の機種が80以上存在します。また、加盟店側としてはNFC対応のPOSターミナルを数多くのベンダーが提供しています。単に製品ラインアップに設けているだけではなく、現に加盟店に存在し利用がスタートしています。

発行・プロビジョニング時の保護された環境

モバイルの非接触型決済には、スマートフォンへモバイル決済アプリケーションを安全に届ける機能である「プロビジョニング(Provisioning)」、決済トランザクションにセキュアな線路を敷く「トランザクション(Transaction)」が重要となります。

実際支払いを行う際にはNFC対応携帯電話から決済端末までの距離は4cm程度になります。一方で、このトランザクションをすべて確立させるためには、世界各国を流れていくため、ハッカーが脆弱性をつくことも考えられます。プロビジョニングには重要なステップが2つあり、それは「プリパーソナライゼーション」と「パーソナライゼーション」になります。プリパーソナライゼーションは、個人のデータを受け入れられるように準備する段階のことを指します。アプリケーションコードをロードしたり、所有者情報を保護するために必要なパーソナライゼーションキーを設定する行為のことを指します。これは展開モデルによってOTA(Over the Air)で行ったり、ビューロによって準備を整えることになります。次にパーソナライゼーション段階では、パーソナライゼーションキーを活用して個人のアカウントデータをモバイル端末にロードします。

従来型のカードを発行するプロセスとモバイル端末とのプロセスを比較すると、カードを発行するイシュアや銀行が、データをサードパーティのサービスプロバイダ(パーソナライゼーションビューロ)に送る必要があります。次にサードパーティのサービスプロバイダがデータを準備してカードに搭載し、物理的なカードが消費者に送られます。時にイシュアが即時発行を行っている場合には、カードは支店に送られます。このような経路を通る際にデータをセキュアに保護するためにHSM(Hardware Security Module)が用いられています。

モバイル決済のアプリケーションを展開するためには、イシュアがサービスプロバイダに送る部分はカードと同様ですが、モバイル端末へのデータ送信はMobile Network Operator(MNO)に送られます。そして、最終的には消費者が手にしている携帯端末にアプリケーションが展開されていきます。この際に、機密データを暗号化したうえでセキュアに届ける必要があります。また、それぞれのモバイルアプリケーションにユニークなキーが生成されるため、HSMによる暗号化が重要となります。

※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のタレス トランスポート&セキュリティ香港リミテッド e-セキュリティ事業部門 リージョナル マーケティング ディレクター ジム イップ(Jim Yip)氏の講演をベースに加筆を加え、紹介しています。

 

■お問い合わせ先 〒107-0052 東京都港区赤坂2-17-7  赤坂溜池タワー8F タレスジャパン株式会社 e-セキュリティ事業部 http://jp.thales-esecurity.com/japan.aspx jpnsales@thales-esecurity.com TEL:03-6234-8180

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド