究極のカードセキュリティ「トークナイゼイション」を阻む壁 | PCI DSS Ready Cloud

2017.02.17

究極のカードセキュリティ「トークナイゼイション」を阻む壁

  • このエントリーをはてなブックマークに追加
ここ10年で「お金」も急速にIT化している。電子マネーは日常的なものになり、インターネットでのクレジットカード利用も進み、利便性は大きく向上した。しかし、その利便性に死角はないのだろうか。お金が情報化されたことにより、「犯罪の利便性」も大きく向上している。カードセキュリティは現行の技術だけでは守れない時代になっているため、常に最新情報を収集していく必要がある。fjコンサルティング瀬田陽介氏は、カードセキュリティのコンサルティング業務をしているが、セキュリティ技術だけなく、カード業界の動向、カード犯罪捜査関連の動向にも詳しい。本連載では、瀬田陽介氏に、ペイメントカードの最新テクノロジー、セキュリティや電子決済などについて、疑問や意見をぶつけて答えていただく。

世の中は便利になり、航空機のチケットもiPhoneから購入し、iPhoneの中に電子チケットを入れ、そのまま搭乗できるようになった。必要なのはクレジットカード番号の入力だけ。どんどん便利になるのはありがたいが、ふと、ゾッとすることはないだろうか。拾ったiPhoneに、不正に入手したクレジットカード番号を入れても同じことができてしまい、そのまま飛行機に乗ることができてしまう。

不正使用の額が増加に転じる

利便性の陰で、当然ながら不正使用の被害も急増している。ここ10年は不正使用被害額が減少していた日本のクレジットカード市場でも、一昨年を底に再び増加に転じ、昨年は100億円の大台を超えてしまった。今年も速報ながら、100億円を超えるのは必至と見られている。増えてきた原因は、番号盗用の被害によるものだ。現在は、被害原因の6割にのぼる。

カード番号が盗まれる原因は、インターネット加盟店が処理しているカード情報の流出が大半だ。しかしここ数年では対面の店舗における被害も米国を中心に激増している。小売店やホテルなどは自社のサイトでカード情報を処理し、顧客のカード情報をサーバーに保存しているところも多い。それらのカード番号が流出し、不正に使われるのだ。「偽造カードを製造する手口は先進国では減少しています。しかし流出したカード情報を使って、インターネット加盟店で高額な商品を購入したり、あるいはプリペイドカードにチャージをするという手口が増えています」(瀬田氏 以下同じ)。また大量に流出したカード情報自体がダークウェブなどで売買され、換金されているという。

カード番号流出対策「トークナイゼイション」

小売店のカード情報流出を防止する手段として登場したのが「トークナイゼイション」と呼ばれる技術だ。セキュリティに関する国際的なカード業界団体には、「EMVCo」(Europay、MasterCard、VISAの頭文字。ICチップ搭載ペイメントカードのEMV規格などを策定)と「PCI SSC」(Payment Card Industry Security Standard Council。PCI DSSなどのデータセキュリティ基準を発行する。)があるが、両団体ともカードセキュリティの切り札としてトークナイゼイションを推進しており、ペイメントカード業界の本気度がわかる。
「トークナイゼイションの考え方のポイントは、小売店などで保存されるカード番号を無価値なもの(Devaluation)にしてしまうというものです。無価値な情報であれば、悪意のあるものに狙われることはない。決済する際に無効な番号に置き換えてしまえば、流出しても不正使用することができないということです」。しかし、オーソリ(取引承認)するときは有効なカード番号が必要で、同時に小売店に残す番号は無効なものにしなければならない。この矛盾を可能にするのが、カード番号のトークン化(トークナイゼイション)だ。

具体的には16桁のカード番号を暗号アルゴリズムを用いて、16桁の別の番号に1対1で変換する。この変換された番号がトークンとなり、Apple PayやAndroid Payなどのデジタルウォレットに保存される。決済をするときは、このトークン(仮番号)が真正のものであるかどうかが、トークン変換を担うトークナイゼイション・サービス・プロバイダー(TSP)に問い合わされ、真正なものであればカード会社側で正規番号に変換され処理される。
ここでのポイントは、トークン化された番号は、そのままカード番号として使うことができないという点だ。つまり、小売店は正規のカード番号を保存せず、トークンのみを保存するので、万が一これが流出をしても、カード番号として利用することはできない。流出しても無価値な情報にしてしまえばいいという発想だ。

トークナイゼイションが普及すれば、ダークハッカーたちにとっては、セキュリティレベルが低いホテルや小売店を狙うことは意味がなくなる。狙うとすれば、TSPに設置される認証サーバーまわり(正規のカード番号とトークンを両方管理している)だが、これらは一般的に国際ブランドが運営しており、当然ながら最高レベルのセキュリティ対策が施されている。ハッキングの壁は、加盟店を狙うのとは比べものにならない。

使用料金の支払いがネック

このトークナイゼイションサービスは、AmericanExpress・MasterCard・VISAの3国際カードブランドが既に開始済み。しかし、カード発行会社の中には消極的なところもある。「問題はブランドトークンの使用料と対応するための費用です」。
国内の加盟店手数料によるカード会社の収入は縮小の一途をたどっている。以前は決済金額の5%が標準で、飲食店などでは信用度に応じて10%ということも少なくなかった。しかし、SquareなどのモバイルPOSサービスが登場すると、手数料は一気に3%前半にまで下がった。カード発行会社の収入源が少なくなっているのだ。ここからさらにトークナイゼイションのブランドトークン使用料を支払わなければならない。国際ブランドのうち、JCBとDiscoverはトークナイゼイションを導入するかどうかについては表明していない。「トークナイゼイションを導入するには、高い技術レベルも必要とされます。他社に技術開発を委託するにしても莫大な費用がかかります」。

日本でも今年から始まるApple Pay、Android Payといったモバイルペイメント。国際的にはトークナイゼイションに対応することが参加の前提条件となっているが、カード加盟店側のNFCのリーダーがTypeA/Bに対応したものが非常に少ない日本では、すでに普及しているTypeF(Felica)のリーダーを利用する形でローンチした。この経緯を見る限り、日本では国際ブランドのトークナイゼイション導入はいったん見送られたと推測される。
セキュリティ技術の開発にはコストがかかる。VISAやMasterCardなどは潤沢な資金と優秀な技術系の人材を活かして、トークナイゼイションを含めたペイメントテクノロジーの研究開発を推進している。これらのペイメントテクノロジーへの積極投資をできるか否かが、数年後、カードや支払い手段の安全性のみならず事業そのものの競争力に確実に影響してくるだろう。(牧野 武文氏:2016/11/4)

■ 関連サービス
POS加盟店向けカード情報非保持化を実現するクラウド型のトークンサービス: Cloud Token for Payment Card

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加