EN

NRIセキュア ブログ

キャッシュレス決済、普及の鍵は「セキュリティ」|利便性と安全性の両立

目次

    website design against mobile payment

     スマートフォンによる非接触決済やQRコード決済、クレジットカード、デビットカード、交通系ICカードなど、私達の身の回りには様々なキャッシュレス決済の手段が日々登場し続けています。

     キャッシュレス決済という非常に手軽な決済手段だからこそ、セキュリティ対策を行ううえで注意しなければいけないこととは何なのでしょうか。

     

     本記事では、決済に関連する業界の最新動向を踏まえ、キャッシュレス決済のセキュリティ対策の最前線をご紹介します。

     生活に身近なキャッシュレス決済のセキュリティが今後どうなっていくのか?興味が有る方は必見です。

     

     

    NRI Secure Insight 2023

    キャッシュレス決済におけるセキュリティ最前線!

     そもそも「キャッシュレス決済」とは、貨幣や通貨といった現金を使わず、クレジットカードやデビットカード、あるいはスマートフォンなどの電子機器を使って決済を行うことを指します。

     そして、そのようなキャッシュレス決済が多く行われる社会のことを、しばしば「キャッシュレス社会」と呼びます。


     皆様の中にも、実際にキャッシュレス決済を日常的に行っている方も多くいるのではないでしょうか。

     かく言う私もその一人で、コンビニエンスストアやスーパーマーケットなどで日々様々なキャッシュレス決済を行っています。

     

     生活に浸透しつつあるキャッシュレス決済ですが、それを取り扱う企業(オンライン店舗や実店舗)は、どのようなことに注意してセキュリティ対策を行うべきなのでしょうか。

     

     この記事では、国際的なペイメントブランドであるVISAが毎年主催している「Visa Global Security Summits」に筆者が参加した際に見聞きした議論を要約し、キャッシュレス決済におけるセキュリティの最前線をご紹介します。

     

     代表的なキャッシュレス決済であるクレジットカードの不正利用の実態と、最新の対策についてはこちらをご覧ください。

    解説!クレジットカードの不正利用対策

    Visa Global Security Summitsとは?

     Visa Global Security Summits(以下「Visa Summit」)とは、国際的なペイメントブランドであるVISAが毎年主催している決済セキュリティのイベントで、南米、アジア太平洋、サブサハラ、欧州の4地域で開催されています。

     そのうち、筆者は2018年5月16日~17日に開催されたアジア太平洋地域のものに参加しました。


     今年のテーマは「The Future is Digital: Securing a Connected World」でした。
     あらゆるモノ同士がつながり、デジタル化していく世の中で、決済をいかに安全にできるか、という趣旨でしょう。まさに、キャッシュレス決済におけるセキュリティを議論するためのイベントとなっています。
     参加者の内訳ですが、シンガポールでの開催であるため、東南アジア諸国からの参加者が圧倒的に多いのはもちろんですが、中国・台湾からの参加者も多いのが特徴です(図1)。

     Visa_Global_Security_Summits_participants

     

    図1. Visa Summit 国/地域別の参加者数(単位:人)(NRIセキュアが作成)

     

     アリババが提供するAlipay(支付宝)やテンセントが提供するWeChatPay(微信支付)など、様々な決済サービスがしのぎを削っている中国においても、キャッシュレス決済に関するセキュリティが大きな注目を浴びていることが見て取れます。

    キャッシュレス決済における利便性 vs セキュリティ

      VISA Summit全体を通じて繰り返し議論されていたテーマは、消費者の利便性を維持しながらどのようにセキュリティを確保するのか、ということでした。それでは、なぜこのテーマが重要視されるのでしょうか。


     キャッシュレス決済が行われる例としてオンラインショッピングを考えてみましょう。
     消費者の利便性を最も重視するのであれば、買う側の手間は少ないほうがいいでしょう。例えば、早く欲しい商品を買いたいという消費者の思いをできる限り汲み取るとすれば、スマートフォンアプリ等で消費者が一度自分の情報を登録したら、それ以降は一切個人認証を行わず、24時間365日、いつでもすぐに商品の購入ができるようにするのがいいかもしれません。

     しかし、当然のことながらこのような設計はセキュリティ上安全とは言えません。デバイスやID/パスワード等の情報が盗まれて不正な購入が行われる可能性があるからです。

     

     それでは逆に、思いつく限りのセキュリティ対策を詰め込んだ、「安全な」ショッピングサイトにしてみるのはどうでしょうか。例えば、ログインパスワードは32文字以上で英数記号混在、パスワードは1週間に1度変更必須、特定のデバイスや特定の位置からのみ購入可能、というのはどうでしょう。

     ……こんなショッピングサイトでは誰も買い物したくありませんね。

     

     今あげたのはかなり極端な例ですが、キャッシュレス決済を考える上で、消費者の感じる利便性と消費者の情報を守るセキュリティ対策はどちらも欠かすことができない要素であり、そのバランスをよく考える必要があります。

     

    Pretty young lady taking a decision with scale above her head

    VISA Summitでは、このテーマに取り組んでいくために、以下の3つの技術やサービスが紹介されていました。順を追って解説していきます。

     

    1.生体認証

    2.3Dセキュア 2.0

    3.Visa ID Intelligence

    生体認証 

     まず、生体認証は、人間のもつ指紋、静脈、虹彩などの生体情報を用いて個人を特定する認証方法で、第三者によるなりすましが困難である点や本人が物理的に何かを持ち運ぶ必要がない点から、知識認証(例:パスワード)や所有物認証(例:ICカード)と比較して優れているとされます。

     

     利便性とセキュリティのバランスという観点からも、生体認証は優れた認証手段だと言えるでしょう。

     VISA Summitでは、生体認証プラットフォームを導入することでオンライン店舗だけでなく実店舗での決済にも生体認証を導入しようとする試みや、あらかじめ登録しておいた運転免許証の写真とその場で撮影した自撮り写真(セルフィー)とを突き合わせて顔認証を行うソリューションなど、ユニークな実例まで紹介されていました。


     また、生体認証のメリットだけではなく、生体認証が現在抱えている課題についても議論されていました。

     生体認証は現在でもスマートフォンやタブレット等のデバイスでよく用いられていますが、大抵の場合、生体認証が複数回失敗したときの代替手段として、パスワードによる知識認証が用意されています。

     もちろん、認証精度の観点からこのような設計となっているのは致し方ない面もあるのですが、これではパスワード情報が盗難にあったら生体認証が意味をなさなくなってしまいます。

     

     このような課題に対してVISA Summitで提案されていたのが、複数の生体認証を組み合わせて実装するという方式です(図2)。指紋と音声、静脈と顔認証など、複数の生体認証を実装することで、どちらかの認証がうまくいかない場合でも、もう一方の生体認証手段を用いることができるということです。

     

    cashless_payment_with_multiple_biometrics

     

    図2. 複数の生体認証を組み合わせるイメージ(NRIセキュア作成) 

    3Dセキュア 2.0 

     3Dセキュアとは、オンラインショッピングでクレジットカードによる決済を行う際、不正取引を防止するために本人認証を行うサービスのことです。

     消費者がクレジットカード番号、カードの有効期限等を入力した後に、カード所有者が事前に登録したID/パスワード等によって本人確認を行います。


     ……と、ここまで書いたのは実は3Dセキュア 1.0に関する説明です。今回のVISA Summitにて大々的に取り上げられていた3Dセキュア2.0は、上述したような本人認証を過去の取引や利用者の環境などから考えられるリスクに応じて行う「リスクベース認証」を採用しています(図3)。

     

    3DS-Version1.0-2.0

    図3. 3Dセキュア サービスイメージ

     

     つまり、従来の3Dセキュア 1.0では決済にあたり、一律にID/パスワード等による本人認証を求めていたのですが、3Dセキュア 2.0では、リスクに応じて認証が必要と判断される場合には認証を要求し、不要と判断される場合には認証をスキップして決済が行われるのです。

     したがって、3Dセキュア 2.0は、リスクの低い決済を行う消費者に対してはスムーズなショッピングを楽しんでもらうことができ、逆にリスクが高い決済に対しては確実に本人認証を行うことで安全を確保するという、利便性とセキュリティのバランスが取れた手段となっているのです。

     

    「3Dセキュア」とは?本人認証でクレジットカードの不正利用を防ぐ 

    Visa ID Intelligence

     最後は、上述した2つとは少し毛色が異なっています。

     Visa ID Intelligenceとは、VISAが認証技術のノウハウを有する様々な企業と提携することで、各加盟店に適した認証技術を紹介することができるようにするエコシステムのことです。

     

     上述したように、生体認証をはじめとする最新の認証技術はたしかに利便性・セキュリティの両面で優れています。しかし、加盟店がいざそのような技術を自らの店舗へ導入しようとしても、「既存のシステムと整合性が取れるだろうか」「数ある認証サービスの中でどの技術/サービスが自分の店舗に合うだろうか」など、様々な悩みや課題が生まれます。

     

     そのような悩みを解決するために、VISAが認証技術のノウハウをもつ企業と提携して各認証技術に適したAPIやSDKを開発し、加盟店がそれらを実装するための支援を行う、というのが、Visa ID Intelligenceです。

     

     2018年8月現在は、顔認証、指紋認証、音声認証などにのみ対応していますが、2018年内にはユーザのデバイス情報や位置情報を利用した認証技術の実装を可能にするAPIやSDKの提供も予定しているとのことです。

    businessman hand draws gear to success concept

    「意識しなくていい」セキュリティ対策

      VISA Summitで取り上げられた技術/サービスをいくつかご紹介しましたが、いかがだったでしょうか。

     どの技術/サービスも、消費者に便利な購買体験を提供しつつ、堅実にセキュリティ対策を行うという姿勢のもと考え出されたものです。そして、このような姿勢は、キャッシュレス決済のセキュリティを考える上で忘れてはならない原則であるとも言えるでしょう。


     それでは、このような技術/サービスが利便性とセキュリティを両立することができているのは、なぜなのでしょうか。それは、消費者が商品を買おうと思ってから実際に決済を終えるまでの経路において、セキュリティ対策が行われていることを消費者に過度に意識させない工夫を凝らしているからです。

     

     たとえば、生体認証は従来のID/パスワードによる知識認証と比べて、キーボード操作などの手間や時間がかからず、認証を行うデバイスに軽く指を添えたり、言葉を発したり、あるいはカメラを見つめるだけで認証が完了します。また、3Dセキュア 2.0では各決済のリスクに応じて認証の要否が決まりますが、その要否判断は消費者から見えないため、意識のしようがありません。

     極端な言い方をすれば、商品を買いたいという思いを持っている消費者にとって、加盟店が実施するセキュリティ対策は「手間」で「面倒」なものであることが多いのです。

     

     もちろん、全くセキュリティ対策を意識させないことは、逆に消費者に不安を抱かせることになる可能性があるため、PCI DSSへの準拠や通信の暗号化など、必要な対策はしっかり行う必要があります。

     

     しかし、特にキャッシュレス決済という非常に手軽な決済手段が確立しつつある今日においては、消費者にとって「手間」で「面倒」となる部分がより強調されやすいため、消費者の目線に立ったセキュリティ対策がますます重要になっていると言えるでしょう。

     

     ECサイトに必要なセキュリティ対策はこちらのブログでまとめていますので、合わせてご覧ください。

    クレジットカード情報を守りぬく|ECサイトに必要なセキュリティとは? 

     

    ※法律が定めるクレジットカード事業者に求められるセキュリティ対策についてはこちら
    改正割賦販売法でカード決済事業者に求められるセキュリティ対策

    おわりに

     デジタル化の波の中で、非常に手軽に行えるキャッシュレス決済が普及しつづけています。

     キャッシュレス決済において発生しやすいなりすましや不正利用などに対して適切なセキュリティ対策を行っていく必要がありますが、同時に注意を払わないといけないのは顧客体験です。

     

     数えきれないほどのオンラインショッピングサイトや実店舗が存在している現在、何を(what)買うかも重要ですが、どこで(where)、どのように(how)商品を買うかがますます重要になってきています。

     消費者がセキュリティを過度に意識せずとも安心して買い物を楽しむことができるように、便利さと安全が共存したセキュリティ対策を、今こそ考えていく必要があります。

     

    新規CTA