Skip to content

モバイル決済セキュリティの進化: SoftPOSとTap to Phoneソリューション

コンピュータの世界に一貫した傾向: 専用のハードウェアから、ソフトウェアで定義された納入事例を持つ既製のコンポーネントへと移行しています。 この傾向は、セキュリティの世界でも一貫しており、ハードウェアで守られた境界線からインテリジェントなソフトウェアによる保護へと移行しています。

Verimatrix(ベリマトリックス 社)はこれらの傾向の収束点に位置しており、Omdia社からは先見性のある新製品を開発する機敏さと決断力を評価されているほどです。 これは、弊社のVCAS製品によるコンテンツセキュリティから、進化する支払いセキュリティへの継続的なサポートまで、弊社がサポートするすべての業界に当てはまります。

利便性と不正行為の削減がもたらすイノベーション

支払いテクノロジーの革新を引き起こす2つの質問:

  • どうすれば、より多くの人に弊社のプラットフォームで支払いをしてもらえるのでしょうか? これは、支払いをより簡単に、より便利にするということです。
  • どのようにして不正を減らせるのでしょうか? 支払いの安全性を高めることで、システムからコストが排除され、消費者の信頼性が高まります(つまり、より多くの人が信頼できる安全なプラットフォームで支払いを行うようになるということです)。

支払いテクノロジー革新の年表を見ると、新製品や発売のたびに、利便性や不正検知を目的としていることがわかります。

Timeline of payment technology security

 

チップからソフトウェアへ: Tap to Phone取引への道を開く

 

カードによるモバイル決済が始まったとき、セキュリティは伝統的な「チップ」カードのアプローチを利用していました。 SIMカードまたは携帯電話内の専用チップ(別名Secure Element)のいずれかが使用されました。 これは、ハードウェアのセキュリティモデルでした。 Apple Payのようにエコシステム全体をコントロールしない限り、このモデルは展開するのに非常に不便であることがすぐにわかりました。

このブレークスルーは、Google社がHost Card Emulationと呼ばれるインターフェイスを通じて、アンドロイド携帯のNFCアンテナを開放したことによります。 突然、すべてがソフトウェアで構築できるようになり、カードによる完全な機能を持つモバイルウォレットを非常に簡単に展開できるようになりました。

しかし、セキュリティについてはどうでしょうか? そこで、Verimatrix(ベリマトリックス 社)の ソフトウェアシールディング 技術のような革新的なソリューションが必要になります。 ソフトウェアに適切なセキュリティアプローチを導入することで、ハードウェアを用いたソリューションと同等のレベルでモバイルウォレットを保護することができますが、その際に不便な点はありません。

COTS (Consumer Off the Shelf) デバイス

 

Square社やiZettle社のような画期的な企業の成功は、より利用しやすい支払い手段が求められていることを証明しました。 これまで専用のPOS (Point of Sale) 端末を設置することができなかった加盟店でも、新しいmPOSソリューションを利用することで、手頃で便利なカード支払いが可能になりました。

これらの初期のmPOSソリューションは、ユーザーインターフェースと接続性には市販のモバイルを使用し、カードに対するトランザクションの実行とセキュリティ要件の充足には専用のハードウェアを使用するというハイブリッドなアプローチを採用していました。

受け入れ側が発行側と同じように移行するのは時間の問題でした。 COTSデバイス上で動作する純粋なソフトウェアPOS端末(SoftPOS)に移行しています。 唯一の障害は、チップや磁気ストライプのあるカードを含む「すべてのカードを引き受ける」必要があることでした。 非接触型支払いの増加 は、この障害を取り除きます。NFCを搭載したアンドロイド端末であれば、専用のPOS端末と同じように、非接触型カードや電話機と簡単に通信することができます。

安全なTap to Phone支払い 

2015年に初期のTap to Phoneのトライアルが始まり、2019年に PCI(ペリフェラル・コンポーネント・インターコネクト)のCPoC(Contactless Payments on COTS)規格が発表され、このアプローチが正式に承認されました。 これにより、開発中のソリューションの数が加速しています。

PCIは支払いセキュリティに特化した組織であり、最近の規格では 実施しなければならない厳しい対策が定められているのは当然のことです。 セキュリティを重視する団体として、PCI(ペリフェラル・コンポーネント・インターコネクト)はより便利なデプロイメントモデルのためにセキュリティにおいて妥協することはありません。

現在の店頭でのカード支払いは、暗号化されたチャレンジレスポンスに基づいています。 端末はチャレンジを生成し、カードはそれに署名して取引を承認します。 その暗号処理を安全に保つことがPCI(ペリフェラル・コンポーネント・インターコネクト)規格の目的です。 この操作が安全であれば、支払い取引は安全です。

新しいTap to Phoneの実装を開始する際の重要なステップは、承認されたセキュリティラボによる監査が必要です。 これらのラボは、PCI(ペリフェラル・コンポーネント・インターコネクト)規格へのコンプライアンスを確認するために、独立した評価を行います。 消費者にとって、コンプライアンスは、支払いネットワークを信頼し続けることを意味します。 ベンダーにとって、コンプライアンスは単なる要求事項ではなく、ベンダーや他のすべてのステークホルダーのリスクへの曝露を最小限に抑えることが真の目的であると考えるべきです。

アプリシールディングソリューションによるCOTSデバイス上の取引の保護  

COTSデバイス上で動作するということは、純粋なソフトウェア環境で暗号を実行する必要があり、ホワイトボックス暗号やより広範なアプリシ―ルディング技術が必要となります。 この要塞化を行わないと、SoftPOSアプリケーションが攻撃を受けやすくなり、支払い処理が流出してしまいます。

Verimatrix(ベリマトリックス 社)は、過去8年間にわたり、この専門知識を銀行に提供し、発行者のウォレットを構築してきました。 現在では、SoftPOSへの移行しているテクノロジーベンダー、POSメーカー、およびペイメントプロセッサーにこれらのソリューションを提供しています。

もし、あなたがこのような道を歩み始めている、あるいはセキュリティラボとの連携を始めているのであれば、Verimatrix(ベリマトリックス 社)がどのようにしてプロセスを円滑に進めることができるかについて、ぜひ ご相談 ください。

Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Want to take a deep dive?

Connect with us

Anti-Piracy