2023年6月1日9:00
近年、スマートフォンやタブレットなどの汎用端末に活用する「COTS(commercial off-the-shelf)デバイス」、スマートフォンアプリなどのSDKを利用する決済が注目されており、今後さらなる広がりが期待される。クレジットカードセキュリティ対策協議会は、「クレジットカード・セキュリティガイドライン」の付属文書16として「スマートフォン・タブレット等のアプリを利用した決済に関するセキュリティ対策の技術要件について」を付属文書として作成した。同文書は限定的に公表されており、加盟店や事業者はアクワイアラ(加盟店開拓事業者)経由で取得することとなるが、同ガイドラインの策定の背景やCOTSやアプリ決済のセキュリティのポイントについて三菱UFJニコスとフライトシステムコンサルティングに解説してもらった。
左から三菱UFJニコス イノベーション推進部長 矢嶋浩明氏、フライトシステムコンサルティング 代表取締役社長 片山 圭一朗氏
汎用端末の決済アプリに関する付属文書を作成
必要であればアクワイアラ経由で取得可能に
クレジットカードセキュリティ対策協議会では、2020年の東京オリンピック・パラリンピックに向けて、国際的な水準に合わせたクレジットカード取引のセキュリティ環境を整備する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)を2016年3月に策定し、発行カードやクレジットカード決済端末のIC化で大きな成果を上げた。実行計画は2020年4月より「クレジットカード・セキュリティガイドライン」(以下、セキュリティガイドライン)に継承されたが、「セキュリティガイドラインではmPOS(モバイルPOS)のような、汎用端末の決済アプリを使用する方式を想定した書き方となっていませんでした」と三菱UFJニコス イノベーション推進部長 矢嶋浩明氏は説明する。
近年は「Tap to Phone」「Tap on Phone」「Tap On Mobile」といった対面取引において汎用端末を決済端末に活用するソリューションが登場している。また、決済代行事業者が非対面取引においてWebブラウザを経由せずにオンラインのアプリ決済を提供するケースが増えている。セキュリティガイドラインでは非対面取引におけるJavaScript型の非保持、PCI DSS準拠については記載されているが、アプリ決済については説明がなかった。
協議会では、年に1回のセキュリティガイドライン、および付属文書の改訂があるが、3月15日の発表に合わせ、今回の付属文書16として「スマートフォン・タブレット等のアプリを利用した決済に関するセキュリティ対策の技術要件について」が策定された。なお、同付属文書は協議会の会員のみに公表しており、加盟店やサービス事業者は必要であればアクワイアラ経由で取得できる。
協議会のテクニカルグループで議論
「PCI MPoC」や国際ブランドの基準を参考に作成
同付属文書は、三菱UFJニコスが議長会社となるクレジット取引セキュリティ対策協議会のテクニカルグループで議論された。専門性が高いテーマのため、すでにCOTSとして「Tapion」サービスを提供するフライトシステムコンサルティングをはじめ、決済端末メーカー、決済処理センター、決済代行会社、セキュリティ会社などの有識者によるプロジェクトを組成し策定を行った。
スマートフォンを活用した決済端末としては、2010年以降、ジャックを挿入したり、Bluetoothと連携するモバイルPOS端末(mPOS)が登場している。日本クレジットカード協会では2011年にスマートフォン等によるクレジットカード決済端末の必要最低限の安全基準を定義した「スマートフォン決済の安全基準等に関する基本的な考え方」を取りまとめ発表した(参考)。例えば、mPOSにおいて、ICカードリーダで認証する場合は、EMV4.2 Book2-Security and key Management“11.1 Security Requirements”以上の要件に準拠していること、PINパッドはPCI PTS認定要件に準拠することが記載された。マグストライプでのカード情報の読み取りはSRED(エスレッド)と呼ばれる技術を使用し、カードをスワイプした瞬間に情報を暗号化することを記載している。今回の付属文書は、同ガイドラインと見比べても齟齬が出ない内容となっているそうだ。
付属文書の内容は、対面取引におけるmPOS並びに「Tap to Phone」のような汎用端末を利用した決済端末を開発するにあたって求められる事項を取り纏めており、PCI SSCの定める「PCI MPoC」(Mobile Payments on COTS)、およびVisa、Mastercardといった国際ブランドの基準を参考に作成した。「PCI MPoC」は「PCI CPoC」等からの改定が進められていたため情報は少なかったが、すでに同基準をウォッチしているフライトシステムコンサルティングなどの意見を参考に、盛り込んだそうだ。
アプリ開発や配信方法、遠隔監視、Wi-Fi基準等を記載
ハッカー対応など、COTS参入の難易度は高い?
具体的には、アプリケーションの開発時に関する要件、アプリの配信方法に関する要件、さらに、遠隔監視など端末管理に関する要件、Wi-Fiを使う場合の基準などが記載されている。
「Tapion」を提供するフライトシステムコンサルティング 代表取締役社長 片山 圭一朗氏は、「例えば、AppleのApp StoreやGoogleのGoogle Playにアプリをあげるよりも、直接ユーザーに配布した方が安全に思われるかもしれませんが、両社は第三者証明が付いており、改ざんされていないことを証明してくれます。そのため、基本両社のアプリストアで提供し、そうしないのであれば相応の証明書を使うことが必要です」と説明する。
フライトシステムコンサルティングは国内で初めてタッチ決済を市販のAndroid端末で実現する技術「Tap to Phone」を使って開発された新しい決済ソリューション「Tapion」を展開。カフェ、カジュアルレストラン、キッチンカー、屋台、朝市などの小・中規模事業者、並びにオフィスや家庭などへの訪問販売を行っている加盟店に向け、今後本格展開を予定する
また、Wi-Fiに関しては、ガイドラインでは使用を認めているが、Tapionではユーザビリティの観点から利用しない方向だ。その理由として片山氏は「PCI DSSの観点として、3カ月に1回のパスワードの変更、ログを3カ月保持するなど、店舗の運用負荷が高くなり、それを考えると課題は大きいです。PCIのMPoCは禁止していませんが、PCI DSSの運用通りに行うと現実的に難しいです」と経緯を述べる。Wi-Fiも以前は脆弱性が指摘されたが、現在はセキュリティも強化されているため、現行のPCI DSSの基準のままでは使いづらいとした。
