ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2017年08月23日

「3-Dセキュア2.0」とは何か? 非対面決済におけるセキュリティ対策の切り札になるか

2017年5月24、25日に韓国・ソウルのグランド ハイアット ソウルで開催された「Visa Security Summit」に参加した。同サミットでは、今後の不正使用対策の切り札になり得るソリューションとして、リスク・ベース認証を実現する「3-Dセキュア(3-D Secure)2.0」が紹介された。3-Dセキュア2.0での加盟店での取引は、イシュア側でリスク・ベース認証を利用して、リスクの高い5%ほどの取引のみに対して承認を要求する。また、動的なワンタイム・パスワードは複数の方式をサポートするなど、利便性とセキュリティを両立させたサービスとなるようだ。

執筆:TIプランニング代表取締役 池谷 貴

photo
(クリックで拡大)

非対面決済における認証の重要性は増している

(© chombosan – Fotolia)


現在はこれといった決め手がない非対面決済の本人認証対策

 「Visa Security Summit」は、2017年で13回目の開催。今回のサミットでのトピックの1つとなったのは、非対面の不正使用対策の強化だ。

photo
(クリックで拡大)

Visa Security Summitの様子


関連記事
 リアル店舗での不正使用対策は、これまで不正の温床だった米国でのICカード対応(EMV ICカード化)が進行。カードへのEMVチップの搭載に加え、加盟店の対応端末も200万台まで増加している。

 現在は、米国における42%の取引、10億トランザクションはEMV取引になったという。これにより、EMVチップは、58%の偽造被害が減り、加盟店全体で39%の不正被害率の減少につながっている。

 日本でも、経済産業省がリアルの加盟店に対し、ICクレジットカードに対応した決済端末の導入の義務化を目指しており、第192回臨時国会において、2016年12月2日に可決・成立し、12月9日に公布された。

 また、発行カードでも、業界挙げての100%IC化を目指している。日本クレジットカード協会によると、2016年12月末現在で、クレジットカードのIC化率は75.4%。また、カード会社各社の集計によると、2020年3月には100%近い数値になる予定だ。日本でもICカード化が進むことにより、対面加盟店での不正使用対策は進むと期待されている。

 一方で、今後、不正使用対策強化が求められているのは、CNP(Card Not Present)といわれる非対面取引だ。Visa Inc. ヴァイスチェアマン&チーフ・リスク・オフィサー エレン・リッチー氏は、「米国での非対面の不正はフラットです。不正検知対策が高度化されており、いい対応ができています」としたが、デジタル化への移行が進む中、今後5年間で世界の不正使用は125%まで増えるという懸念を示した。

photo
(クリックで拡大)

3-D Secureの進化

(出典:ペイメントカード・セキュリティフォーラム2017)


 国内の非対面取引については、日本クレジット協会や経済産業省が主導する「クレジット取引セキュリティ対策協議会」の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の1つの柱、ネットでのなりすまし等による不正利用防止(本人認証等)においても「多面的・重層的な取り組みが必要」とされているが、現状「完全な決め手となるサービスがない」と業界関係者は語る。

 非対面取引では、近年は、ブランド品や、パソコン、デジタルカメラなどの電化製品といった、換金性のある商品を販売している物販事業者、デジタルコンテンツだけではなく、アパレル商品、おむつや粉ミルクなどの日用品での不正使用被害も目立つ。その対策の1つとして、決済時にクレジットカード番号、有効期限に加え、カード裏面などに記載された「セキュリティコード」による認証があるが、カードを盗まれてしまっては意味が無い。

カード業界の期待通りに広がらなかった3-Dセキュア

 カード業界では、非対面の認証強化策として、「3-Dセキュア」を推奨している。3-Dセキュアは、決済時にクレジットカード番号や有効期限に加えて、あらかじめ設定したパスワードなどの情報を使って、利用者本人とカードブランドが直接認証を行う仕組みにより、安全性を確保するものだ。

 日本でもオンラインゲーム業界などでは採用が広がっているが、必ずしもカード業界の期待通りに導入が広がっていない状態だ。これは日本だけの問題ではなく、国によっては日本同様の地域もある。

 Visa リスク& データ・プロダクツ SVP & Global Headのマーク・ネルソン氏によると、「Visaでは、3-Dセキュア 1.0を16年間展開してきましたが、現在、10%のコマースが活用しています」と説明したように、9割の加盟店は導入していないことが課題だ。

 3-Dセキュアがこれまで普及してこなかった理由として、まずユーザー体験が理想通りではなく、離脱が起こることが挙げられる。サイトによっては、20〜30%の売上減になったケースもある。

 実際、日本では、日本クレジット協会が2007年、インターネット決済の売上高上位100店に対して3-Dセキュア等の推進を実施。2011年3月に「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」を制定した際、新規のインターネット加盟店に対し、3-Dセキュアなどの導入を義務付けたが、大手ショッピングモールやECサイト、決済代行事業者などが猛反発。その後、3-Dセキュアを推奨しつつも、それ以外で効力があると判断できる認証方式を認めることとなった。

【次ページ】3-Dセキュアの反省を踏まえて開発された「3-Dセキュア2.0」

お勧め記事

流通・小売業IT ジャンルのトピックス

一覧へ

流通・小売業IT ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング