世界で広く普及しているクレジットカードの非接触決済(NFC Pay)が、新型コロナウイルスの影響による消費者行動の変化で、日本国内においても普及の兆しを見せています。コンビニ最大手のセブン-イレブン・ジャパンは、クレジットカードでの非接触決済の導入を2020年6月11日から全国店舗で導入開始し、秋にはイトーヨーカドーなどのグループにも導入を計画しています。
クレジットカードの非接触決済は、カードを店員に渡すことなくレジにある決済端末にかざすだけで、簡単・スピーディーに決済をすることが可能であり、With/Afterコロナにおける対面決済のニューノーマルとして消費者に広く根付く可能性があります。
しかし、店舗側にはクレジットカードを読み取るための専用の決済端末の購入・設置が必要となるため、小規模なお店(露店、フードトラック、衣料品店、自営業など、従業員数名以下の販売業者)などでは普及がなかなか進まないことが懸念されています。このような背景から、専用の決済端末がなくともお店側が手持ちのスマートフォン(以下、スマホ)を非接触用決済端末として使用できる新技術CPoC(Contactless Payments on COTS[1])が今注目されています。
本稿ではCPoCの内容を解説し、今後CPoCを提供する決済サービス事業者が留意すべきポイントについて考察します。
[1] COTSとはcommercial off-the-shelfの略で、COTSデバイスはコンシューマー向けに設計されたスマホやタブレットなどのモバイルデバイスを指す用語です。
COTSデバイスを決済端末として使用する決済の仕組みに、SPoC(Software-Based PIN Entry on COTS)やCPoCなどがあります。
図:従来の決済端末とSPoC、CPoCのイメージ図(NRIセキュアが作成)
SPoCはCOTSデバイスにUSB接続またはBluetooth接続したSCRP(Secure Card Reader for PIN)という専用のカードリーダーでクレジットカードを読み取り、COTSデバイス上の専用アプリケーションで暗証番号入力を受け付けるソリューションです。既にこれは世の中に出回っており、小売店や飲食店などで実際に目にしたことがあるのではないかと思います。
SPoCの場合、COTSデバイスを利用した仕組みではあるものの、クレジットカードを読み取るSCRPは必須であり、これは非接触決済を前提としたものでもありませんでした。最近になり、SCRPがなくてもCOTSデバイスだけで非接触のクレジット決済を行えるCPoCというソリューションが着目されはじめ、実現化に向けてVisaやMastercard、JCBなどの国際ブランドが実証実験やパイロットプログラムを進めています。
CPoCは専用のカードリーダーであるSCRPの購入・設置が必要なく、お店側が手持ちのCOTSデバイスに専用のアプリケーションをアプリストアからダウンロードするだけでよいため、機器の購入コストもなく手軽にクレジット決済をお店で始められます。これまで決済端末を設置できなかった小規模なお店に対しても導入が容易であり、CPoCにより社会のあらゆるシーンでクレジット決済を利用することができるようになると期待されています。
一方で、コンシューマー向けのCOTSデバイスを決済端末として使用するにあたり、いかにして高いセキュリティレベルを実現していくかが、CPoCを今後普及させるうえでの課題となっていました。このような背景から、PCI SSC[2]はCPoCで必要となるセキュリティ要件を整備し、2019年12月にPCI CPoCとして公開しました[3]。店舗側ではPCI CPoCに準拠したCPoCを利用することで、安全・安心に非接触でのクレジット決済をCOTSデバイスでできるようになります。
[2] PCI Security Standards Councilの略で、クレジット決済全般のセキュリティ基準の開発、管理、教育、および認知を担当する機関。
[3] https://www.pcisecuritystandards.org/about_us/press_releases/pr_12042019
PCI CPoCでは、CPoCソリューション全体をCOTSデバイス、CPoCアプリケーション、Back End Systemの3つの構成で定義しています。それぞれの説明については以下の通りです。
図:CPoCソリューションのシステム構成図(PCI SSCの公開情報をもとにNRIセキュアが作成)
・COTSデバイス
コンシューマー向けに設計されたスマホやタブレットです。クレジットカードの非接触決済を受け付けるためにNFCリーダーを搭載している必要があります。
・CPoCアプリケーション
COTSデバイス上で動作するアプリケーションです。NFCインタフェースとのチャネル確立、アカウントデータの暗号化、ソフトウェアの保護、Back End Systemとの通信などを行います。
・Back End System
サーバーサイドのシステムであり、Attestation/MonitoringとProcessingのシステムから構成されます。
取引を行うまでの基本フローの一例を簡略して説明すると以下のようになります。事前にCPoCアプリケーションをアプリストアからCOTSデバイスにダウンロードしている前提です。
図:CPoCソリューションの基本フロー例
PCI CPoCは以下の通り5つのモジュール、169個のセキュリティ要件から構成されます。
表:PCI CPoCのセキュリティ要件の概要
CPoCの実現化にあたり、決済サービス事業者が留意すべきポイントについて考察していきます。
PCI CPoCは、セキュリティ保護メカニズムの実装として、TEE[4]またはSE[5]の利用を必須要件とはしていません。昨今、COTSデバイスへのTEEおよびSEの実装は一般的になりつつありますが、一方ではデバイス依存やプラットフォーム依存になる点も否定することはできません。より多くのCOTSデバイスでCPoCを利用できるようにするため、ハードウェア・ベースではなくソフトウェア・ベースでのセキュリティ保護メカニズムの実装を選択することも、PCI CPoCでは可能です。
その一方でTEE、さらにはSEを使用したほうが高いセキュリティレベルを実現することができますので、決済サービス事業者はターゲットとするCOTSデバイスのサポート対象範囲を踏まえて、どのセキュリティ保護メカニズムを選択するかを検討する必要があります。
[4] TEEはTrusted Execution Environmentの略称で、ソフトウェアが通常実行される環境とは分離した安全な実行環境を実現する、プロセッサのセキュリティ機能です。
[5] SEはSecure Elementの略称で、ICチップなど、耐タンパ制を備えた特別なハードウェアの総称です。
COTSデバイスはBack End System(Attestation/Monitoring)と通信するために常にオンライン環境にある必要があります。Back End System(Attestation/Monitoring)はCOTSデバイスとCPoCアプリケーションのセキュリティ状態を取引ごとに毎回検証し、問題ないと判断されない限り決済処理は開始されません。そのため、通信環境が悪いとお店の機会損失につながる可能性があります。
大規模加盟店においては、店舗の通信環境などは専門業者により構築し、事前検証もしているため通常問題にはなりませんが、小規模なお店においては通信環境をお店の人自らが確認することも想定し、ユーザーマニュアルの整備やサポート窓口による支援体制についても検討する必要があります。
フィールドトラブルが発生した際に、CPoCアプリケーションとそれ以外(HW/FW/OS)での問題点切り分けが難航するケースが発生する可能性があり、さらにはHW/FW/OS起因による問題であった場合に修正パッチのリリースがデバイス/OSベンダー依存になるリスクがあります。
また、OSのセキュリティ脆弱性が報告されたケースにおいても、セキュリティパッチの適用がデバイス/OSベンダー依存になるリスクがあるため、CPoCを提供する決済サービス事業者はデバイス/OSベンダーとの情報連携を密に行うことが大切です。
アカウントデータの暗号化に使用する鍵は、トランザクションごとにユニークな鍵を使用することがPCI CPoCでは規定されており、この場合はベースとなる導出鍵の管理が暗号側(COTSデバイス)および復号側(Back End System)において非常に重要なポイントとなります。また、鍵管理の設計・構築をする場合は鍵を安全に保管するためのHSMやセキュリティルームなどの設備投資が必要となり、安全な鍵管理のための体制構築も必要となります。CPoCを提供する決済サービス事業者は、鍵管理の設計・構築・運用について、物的資源や人的資源も踏まえて事前に十分検討する必要があります。
上記の4つのポイントについては一部となりますが、利用者に対するサポート体制の充実や、デバイスやOSベンダーとの密な連携の必要性など、セキュリティ観点以外でも考慮すべきポイントがあることがお分かりいただけたと思います。
With/Afterコロナにおけるニューノーマルとして、クレジットカードの非接触決済が日本国内においても、これから普及していく可能性があります。小規模なお店を含め、社会のあらゆるシーンでクレジットカードを利用できるようにするために、対面決済の新潮流であるCPoCの実現化と普及が期待されます。普及にあたっては店舗側で安全・安心にCPoCを利用できるようにすることが重要なポイントであり、CPoCを提供する決済サービス事業者はPCI CPoCに準拠することを国際ブランドから今後求められる可能性があります。
NRIセキュアではPCI DSSおよびPCI P2PEのQSAとしてコンサルティングおよび準拠審査の実績が豊富にあり、ブロックチェーンのアーキテクチャ評価など様々なシステムに関する鍵管理についての知見を有しています。PCI CPoCのモジュール4のBack End System(Processing)で必要となるPCI DSS準拠支援や、モジュール1の暗号鍵の設計・運用に関する評価支援など、CPoCソリューション実現化にあたってのご支援が可能です。ご検討をされている決済サービス事業者の方は、弊社まで是非お問い合わせください。