新バージョン “3-D Secure2.0”

2017年6月1日

2016年6月に、3-D Secureの新バージョンである“2.0”の仕様が発表されました。現在の3-D Secureは“1.0”と呼ばれていますが、今後この新たな認証システムの普及と不正利用の防止効果が期待されています。

2017年6月時点で、この“3-D Secure 2.0”について日本語で詳細に触れられている記事などが少なかったため、以下に主だった特徴などをご紹介します。

 

3-D Secure 1.0 現状分析

EMVcoによると、現在カードブランドから提供されている3-D Secureのシステムに関してメリット・デメリットを以下の様に分析しています。

メリット

  • セキュリティ強化・不正防止
  • 認証済取引はカード会社が補償(ライアビリティシフト)
     

デメリット

  • アプリケーション課金に非対応
  • 複雑なプロセスとフィッシングのリスク
  • 追加でパスワードを記憶する必要がある
  • 決済完了までのプロセスが長くなる
  • 利用の度に情報入力が必要とされる(Bad user experience)
  • 煩わしい認証フロー、コンバージョン低下
  • IC実装の様な、広い普及が困難

こうした現状を踏まえて、新たなセキュリティプログラムとして "3-D Secure 2.0" の策定の経緯、システムの仕様が公開されています。

 

3-D Secure 2.0 経緯と特徴

元々、3-D SecureはVisaが開発した本人認証のシステムですが、後にMasterCardやJCBが同様の仕様により加わりました。そのため、カードホルダー側への普及プロセスもカードブランドによってバラつきがあり、統一されたものではありませんでした。

しかし、今回の新バージョン、3-D Secure 2.0は各ブランドではなく、ICチップ搭載のクレジットカード仕様を定義した機関であるEMVcoにより規格が定められます。

 

主な特徴

 

3-D Secure2.0 による本人認証フロー

新バージョンの3-D Secure 2.0 ではSMSやアプリケーションでのワンタイムパスを発行し入力される形式と言われています。EMVcoのサイトではスマートフォンの画面イメージと共に、本人認証フローが紹介されています。

 

ブラウザ上の認証イメージ

ユーザー側にSMSが配信され、パスコードを入力すると次に進めるフローを想定している様です。

 

アプリ上での認証イメージ

モバイルアプリ上でのクレジットカード決済向けには、3-D SecureのSDKが提供され組込み式となる模様。

 

動的なリスク判定のシステムも

他にも加盟店から連携されたデータをもとに、イシュアー側でリスク計算を行う機能も設計されている様です。一方で、日本国内のクレジットカードの処理においては、イシュアーと加盟店は情報連携ができていないため、こうした新たなセキュリティプログラムが普及プロセスに乗った時に、どこまで加盟店で実装が可能なのか、引き続き経過を確認する必要がありそうです。

もし、これらの動的リスク判定のシステムが普及すれば、クレジットカードの不正利用は減少すると考えられます。