新たなセキュリティ対策ツールである3-D セキュアの2.0とは、どういう仕組みなのか、あまり日本国内では案内されていないのでご紹介して行きたいと思います。

3-Dセキュアの新バージョンである“2.0”の仕様が2016年6月に発表されました。現在の3-Dセキュアは“1.0”と位置付けられ、今後この新たな本人認証システムの普及と不正利用の防止効果が期待されています。

 

2019年8月時点で、すでにヨーロッパ各国では義務付けられる方向性で普及プロセスに入っており、日本や北米といった、3-Dセキュアの普及に課題を抱え、カードの不正利用・チャージバックの低減の一助となるはず。

ここでは、現在の3-Dセキュア1.0における課題から、新たな3-Dセキュア2.0の特徴などを取り上げます。

 

3-Dセキュア 1.0　現状について

EMVCo、これはヨーロッパでクレジットカードや今回の3-Dセキュアの規格を整備した組織になりますが、彼らによると、現在カードブランドから提供されている3-Dセキュアのシステムに対し、以下の通り、明確にメリット・デメリットを分析しています。

 

メリット

• セキュリティ強化・不正防止
• 認証済取引はカード会社が補償（ライアビリティシフト）
   

デメリット

• iOSやAndroidのアプリ課金に非対応であること
• 複雑なプロセスであること、情報を抜かれてしまうフィッシングのリスクがあること
• カードホルダーが追加でパスワードを記憶する必要があること
• パスワード入力画面が増え、決済完了までのプロセスが長くなること
• カード決済の利用の度に、毎回情報入力が必要とされること（Bad User Experienceと表現しています）
• 煩わしい認証フロー、コンバージョン低下
• ICチップの実装のような広い普及が困難

こうした現状を踏まえて、新たなセキュリティプログラムとして "3-Dセキュア2.0" の策定の経緯、システムの仕様が公開されています。

 

3-Dセキュア2.0 策定の経緯とその特徴

経緯や背景からとなりますが、実は3-DセキュアはVisaが開発した本人認証のシステムです。のちにMasterCardやJCBが同様のシステム仕様により本人認証プログラムの提供を開始したことで追加された、という経緯があります。

American Expressはさらに遅れての提供を開始しましたが、Visa、MasterCard、JCBの3ブランドとは異なる形式、追加パスワードの入力による本人認証ではなく、カード会社に登録された情報にメールでワンタイムパスワードが送信され、それを決済画面に登録する仕組みでの認証です。

DinersClubは最後まで、この3-Dセキュアと呼ばれる本人認証システムの提供には賛同しないスタンスでしたが、2019年夏に提供開始を発表しています。

 

このように、それぞれのブランドがパラパラと提供開始を決めたため、パスワードの新規登録を求めるなど、カードホルダー側への普及プロセスもブランドによってバラつきがあり、統一されたものではありませんでした。

一方で、こうした3-Dセキュア1.0とは異なり、今回の新バージョン、3-Dセキュア2.0は、各ブランドではなく、ICチップ搭載のクレジットカード仕様を定義した機関である「EMVco」により規格が定められる点が、提供開始プロセスにおいての大きな相違点です。

 

3-Dセキュア1.0の課題にもありましたが、単純なパスワードの登録では、最終的にフィッシング詐欺の被害に遭ってしまうことで、本人認証の効果が形骸化してしまいます。

非対面取引においてどの様な認証を行うことで、PCやモバイル端末の向こう側にいるユーザーが、クレジットカードの利用者本人であることを担保することができるのでしょうか。

EMVCoの発表資料を見ると、やはり昨今のモバイルアプリサービスなどでは一般的な2段階認証や、生体認証などが推奨されています。

 

3-Dセキュア2.0 本人認証フロー

新バージョンの3-D セキュア2.0 では、SMSやモバイルアプリ上に表示される、ワンタイムパスワードを入力される形式であると言われています。

EMVcoのサイトではスマートフォンの画面イメージと共に、本人認証フローが紹介されています。

 

スマートフォンブラウザ

ユーザー側にSMSが配信され、パスコードを入力すると次に進めるフローが紹介されています。

昨今、アプリではなくブラウザ上で提供される各種サービスにおいてもSMSによりワンタイムパスワードが配信される仕組みは一般的に採用されているため、あまり珍しいものではありません。

しかし、これまでの3-Dセキュアとの比較では、非常にシームレスな画面遷移による本人認証が実現されています。

 

iOS / Androidアプリ

モバイルアプリ上でのクレジットカード決済向けには、3-D セキュア2.0のためのSDKが提供され、組込み式となる模様です。

 

3-Dセキュア2.0では動的リスク判定も

これらの他にも、加盟店から連携されたデータをもとに、イシュアー側でリスク計算を行う機能も設計されている様です。

一方で、日本国内のクレジットカードの処理においては、イシュアーと加盟店は情報連携ができていないため、こうした新たなセキュリティプログラムが普及プロセスに乗った時に、どこまで加盟店側でこの動的リスク判定システムの実装が可能なのか、引き続き経過を確認する必要がありそうです。

クレジットカードの不正利用の減少効果が期待されていますが、こうした機能を実装するにはカードホルダーが持つクレジットカード会員情報、イシュアー（カード発行会社）、アクワイアラー（カード加盟店管理会社）、決済代行会社やECシステムベンダー、クレジットカードの決済情報を処理するネットワークプロバイダーなど、全てのドメインでの対応が求められるため、どこまで普及させることができるかが非常に重要な鍵になりそうです。