クレジット取引セキュリティ、P2PE暗号化で安全

 2017.03.16  三和コムテック

ペンタセキュリティ社特別寄稿

どんな国であれ、外国を訪問すれば、大小のカルチャーショックを経験する。自分が精神的に属している母国の文化とは全く異なった異国の文化を経験した際感じる衝撃は、2回にわたって起こる。初めは、慣れていない文化と接したときの衝撃と、その国の文化にある程度慣れて、自分の国に戻った時に感じるようになる見慣れない感じだ。

韓国、クレジット取引の国

韓国人として、日本で生活しながらも少なからぬ文化的衝撃を経験した。その中でも代表的なものが現金使用に関する文化だ。韓国では、本当にクレジットカードだけ持って生活していた。クレジットカードで電車・バス・タクシーなどの公共交通を利用したり、食事をしたり買い物をするなど、あらゆる日常的な行為がカード一つで解決した。最近では、カードすら面倒になり、財布も持たないまま、スマートフォン一つを持って外に出ていた。コンビニではスマートフォンを端末機にかざすと,直ちに決済される。インターネットショッピングも、銀行取引も全てスマートフォンで処理ができるので、本当に携帯一つで日常のあらゆることを解決できるのだ。

しかし、日本に来てみたら、いつも現金を準備しなければならないのが不便だった。クレジットカードを取り扱わない店も意外に多く、カード決済はできるが、決済処理にかなり長い時間がかかる店も多かった。そうなると、「カード決済できますか?」と問うこともちょっとはばかられた。韓国と文化が完全に違う。確かに、代々引き継がれてきた老舗にNFC方式のモバイルペイ機能を支援する最新のPOS端末機が置かれているのもちょっと変に見えるようだ。しかし、便利さの中毒性は本当に恐ろしいもので、世の中が少しずつ少しずつ変化していく時はその変化に気付かないが、再び過去に戻ろうとしたらとても不便で、絶対戻れない。そのため、日本の現金文化はとても不便に感じられる。

とにかく、そうするしかないから現金を持って外出することに慣れるしかなかった。そして、ある程度慣れてきたとき、韓国に戻った。すると、またしても違和感を抱くことになる。この便利さは、いや、これは本当にちょっと恐ろしいことではないか。これは大胆過ぎるじゃないか。クレジット決済のセキュリティ規格の中で「トラック1」に記録される銀行のアカウント情報、「トラック3」の提携社の情報などの決済と直接関連していない情報を保存するトラックとは違って、クレジットカードのカード番号、発行日、有効期限などの決済過程で必需的な情報を保存する「トラック2」の機密情報がもし奪取された場合、誰でもどこでも任意で決済することができる。それでパスワードを含めたトラック2データは、国際闇市場で1件あたり$4,000程度で取引されるとても価値が高い情報だ。そのような情報が特別な確認手続きもなしに、こんなに広範囲にやたらに流通されても、果たして安全なのか? 5万ウォン以下の取引は、署名手続きも省略し、そのまま決済される。便利だ。だが不安だ。

安全だが難しい「PCI DSS」

もちろん、クレジット取引安全のための装置はある。クレジット取引の安全を担保する最も一般的な基準であり、事実上の国際標準は「PCI DSS」だ。「PCI DSS」とは、クレジットカード会員のカード情報および取引情報を安全に管理するためにクレジット取引の全過程にかけて、取引と関連した者らが共に遵守しなければならないクレジット産業界のセキュリティ標準である。PCI DSSが登場する前には、クレジットカード会社ごとにそれぞれ異なるセキュリティ基準を要求した。それで、クレジットカード加盟店の事業者たちは各会社の異なる基準を全て合わせなければならなかったが、これは難しくて費用もたくさん払わなければならなかった。このような不便さを解消するため、JCB、アメリカン・エキスプレス、Discover、MasterCard、VISAなどの国際的なクレジットカード企業が共同で委員会を組織し、「PCI DSS」という規格を策定した。会社同士の約束に過ぎないが、事実上の国際標準として通用している。

クレジット取引の基準として「EMV規格(EuroPay、MasterCard、Visaの間で合意したICカード統一規格)」を使用する日本もPCI DSS規格に準拠したセキュリティ対策を樹立している。2020年3月を目標にPCI DSSに準拠してEMV基準ICカードのセキュリティ対策を打ち出した。ところが、難しくて費用もかかるのでPCI DSSを打ち出したわけだが、これも相変わらず難しくて複雑だ。POS加盟店の基準でPCI DSS規格を準拠するための努力と費用はかなりのもので、小さくてきれいな店を一つ出したいという夢があっても、クレジット取引基準を合わせることが難しくて最初からあきらめなければならないほどだ。

このような問題を韓国は「VAN(Value Added Network)」会社がクレジット取引プロセスの中間段階で解決する。VAN会社らは、クレジットカード会社の代わりに加盟店を募集し、端末機などのデバイスを提供して、カード決済承認の過程を中継してくれて、売上データを整理する伝票の買い取りサービスなどを提供する。クレジットカード会社と加盟店の面倒な仕事を代わりにしてくれるわけだから、一応便利だが、取引1件ごとに別途の課される手数料が決して少なくない。「VAN手数料引き下げ!」が政治家たちの選挙公約になるぐらいだ。開業の時、一度に費用を払うか、商売しながら少しずつ払うかを選択することになる。そして、真ん中でマージンを得るという事業の性質のため、大手の流通社を相手にした不正腐敗などの事件もたびたび起こる。高コスト問題を何とか避けようとして、むしろはるかに大きくて恐ろしい他の問題に出会ったのだ。

クレジット取引セキュリティ、P2PE暗号化で安全

PCI DSSは安全だが、加盟店の立場では難しいことでもある。
しかし、2017年3月に改正された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 2017」が発表された。該当ガイドラインが2016年のガイドラインと特に違うところは、POS加盟店に要求されたセキュリティ対策の中で非保持とPCI DSS対応の部分で、「非保持」の方法として「暗号化」を追加し、その内容としてPCI DSS規格の中で「PCI P2PE(Point to Point Encryption)の構造を言及しているというところだ。「PCI P2PE」とは、カード会員の機密情報をカードリーダ端末機から決済が承認されて処理されるサーバーまで安全に転送し、処理する方式に対する規定である。その基になる技術は、「暗号化」だ。そのまま暗号化ではなく、「P2P暗号化」、すなわちクレジットカード端末機からカード会社のアプリケーションサーバーを経て、データベースに保存されるまで、データが移動する全過程にわたる「エンドツーエンドの暗号化」だ。これは「E2E(End to End)」暗号化とも呼ぶ。いわば「財布からサーバーまで」の意味だ。

P2PEまたはE2EEが現実的でないという主張をする人々もいるが、これは、当該用語を文字通りの意味で理解したためだ。エンドツーエンドの暗号化は、端末機から情報を暗号化して通信区間でSSLを使ったり区間暗号化を活用することで、何の問題もなく簡単に実装できる技術である。安全で簡単だ。だから難しくて複雑なPCI DSS規格の中でまずP2PEから適用しなければならないということだ。他の国々でもすでに一般的に実施していることだ。韓国では、P2PE導入をしない新規加盟店は事業を開始することもできない。

その十分な安全性の根拠は、「DUKPT(Derived Unique Key Per Transaction)」だ。「DUKPT」とは、カードリーダ端末機とサーバーの間に機密情報が伝送されるたびに毎回新たに生成される「One Time Encryption Key」を使用し、暗・復号化する鍵管理技術だ。すべてのクレジット取引セキュリティは、固有の暗号鍵を使用する。しかし、鍵管理に問題が生じるのなら、ドアに鍵をかけてドアの隣に鍵をおくのと同じように、全く安全ではない。その中でも最も脆弱な状態は、一つの鍵を暗号化と復号化に同じく使用することだ。鍵をかけてすぐその鍵を誰かにあげることと同じだ。しかし、DUKPTは機密情報を送信するたびに一度だけ使用される鍵を使用するため、万が一鍵が流出するようなことが起きてもその鍵はただそのトランザクションにだけ有効なので、悪用される危険が非常に少ない。したがって、DUKPTはPCI DSS規格に最も適合した暗号化方式ということで勧められる。

結論は、クレジット取引の際DUKPTなどの適切な暗号化技術を利用すれば、十分なセキュリティ効果を得られるということだ。リーダー端末機でカード情報を読むと同時に情報を暗号化してしまえば、その情報は誰が盗んでも使えないのでそもそも最初から読まないことになる。そして、そのままの状態でサーバーまで送り、また、サーバーから受け取る情報もまた同じく処理すれば、クレジット取引の過程のどこにも情報がないのと同じだ。盗もうとしても、盗まれない。それで、適切な暗号化技術を利用すれば、十分なセキュリティ効果を得ることができるのだ。

つまり、PCI DSSの中で「P2PE」エンドツーエンド暗号化を通じて「トラック2」の情報だけ財布からサーバーまで安全に守れば、十分なセキュリティを達成することができる。

 
SCT SOLUTION BOOK

RECENT POST「セキュリティ」の最新記事


セキュリティ

新たなサプライチェーンリスク(OSS脆弱性)にご注意を!

セキュリティ

EBOM vs MBOM vs SBOM 主な違いとベストプラクティス

セキュリティ

対岸の火事ではない!、英国史上、最大の冤罪事件

セキュリティ

SBOM(Software Bill of Materials)の特徴と必要性

クレジット取引セキュリティ、P2PE暗号化で安全

PAGETOP