ペンタセキュリティシステムズ(ペンタセキュリティ)が同社のセキュリティコラムにおいて、「クレジット取引でのセキュリティ」に関する記事を公開している。その内容は、韓国と日本の現金使用に関する文化の違いについて触れつつ、クレジット取引の際に適切な暗号化技術として「PCI DSS」を紹介するというもの。

■ペンタセキュリティに関する記事はこちらもチェック
【特別企画】企業に「セキュリティ文化」を根付かせるために必要なものとは?
【特別企画】コネクティッド・カーにシグネチャー方式のセキュリティは不可 - ペンタセキュリティ
【特別企画】コネクティッド・カー時代を目前にペンタセキュリティが日本メーカーとのパートナーシップ締結に意欲 - オートモーティブ ワールド 2017

同コラムでは、まず韓国人の筆者が感じた日本の現金使用文化が語られている。電車・バス・タクシーなどの公共交通や食事、ショッピングなど、あらゆる日常的な行為にクレジットカードが利用でき、スマートフォン支払いも普及している韓国に対し、いつも現金を準備しなければならない、日本の現金文化に不便さを感じていたという筆者。だが、日本の現金文化に対応し、ある程度慣れ韓国に戻った際に、自国のクレジット決済についての問題点が垣間見えたという。

その上で筆者は、クレジット取引安全のための装置について言及。クレジット取引の安全を担保する最も一般的であり、事実上の国際標準のセキュリティ基準「PCI DSS」を紹介する。

JCB、アメリカン・エキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカード企業が共同で委員会を組織し、策定したPCI DSS。同規格は、事実上の国際標準として通用されており、クレジット取引の基準としてEMV規格(EuroPay、MasterCard、Visaの間で合意したICカード統一規格)を使用する日本もPCI DSS規格に準拠したセキュリティ対策を樹立しているという。

一方で、韓国においてPOS加盟店の基準でPCI DSS規格を準拠するためには、努力と費用が必要であることも紹介。「小さくてきれいな店を出したいという夢があっても、クレジット取引基準を合わせることが難しくて最初からあきらめなければならないほど」だという。ちなみに、このような問題を韓国ではVAN(Value Added Network)会社がクレジット取引プロセスの中間段階で解決しているという。VAN会社らは、クレジットカード会社の代わりに加盟店を募集し、端末機などのデバイスを提供して、カード決済承認の過程を中継。売上データを整理する伝票の買い取りサービスなどを提供している。クレジットカード会社と加盟店の面倒な仕事を代行してくれるが、「取引1件ごとに別途の課される手数料が決して少なくない」そうだ。

このような状況を説明したうえで同コラムでは、2017年3月に改正された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 2017」について言及。2016年版のガイドラインとの違いを「POS加盟店に要求されたセキュリティ対策の中で非保持とPCI DSS対応の部分で、『非保持』の方法として『暗号化』を追加し、その内容としてPCI DSS規格の中で『PCI P2PE(Point to Point Encryption)』の構造に言及しているというところ」と紹介している。

PCI P2PEは、カード会員の情報をカードリーダー端末機から決済が承認されて処理されるサーバまで安全に転送・処理する方式に対する規定で、同ブログでは、その基になる技術を「暗号化」と定義。そのまま暗号化ではなく、「P2P暗号化」、すなわちクレジットカード端末機からカード会社のアプリケーションサーバを経て、データベースに保存されるまで、データが移動する全過程にわたる「E2E(End to End)の暗号化」と紹介している。

加えて、P2PEまたはE2EEが現実的でないという主張をする意見に対し、「エンドツーエンドの暗号化は、端末機から情報を暗号化して、通信区間でSSLを使ったり、区間暗号化を活用することで、何の問題もなく簡単に実装できる技術である」ため、安全かつ簡単だと評価。難しくて複雑なPCI DSS規格の中でまずP2PEから適用しなければならないとしている。これは、「他の国々でもすでに一般的に実施している措置」とのことで、韓国ではP2PE措置を取らないと事業を開始することもできないという。

続いて同ブログでは、この規格の安全性の根拠として、「DUKPT(Derived Unique Key Per Transaction)」を挙げている。DUKPTは、カードリーダー端末とサーバの間に情報が伝送されるたびに毎回新たに生成される「One Time Encryption Key」を使用し、暗・復号化する鍵管理技術。DUKPTは情報を送信するたびに、鍵を変更する仕様のため、悪用される危険が非常に少ないそうだ。よって「DUKPTはPCI DSS規格に最も適合した暗号化方式」だという。同ブログでは「クレジット取引の際DUKPTなどの適切な暗号化技術を利用すれば、十分なセキュリティ効果を得られる」と結論。「盗もうとしても、盗まれない。それで、適切な暗号化技術を利用すれば、十分なセキュリティ効果を得ることができる」との見解を示している。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: