インターネット上で行われる非対面取引では、クレジットカードによる決済の利便性が高いと言われる反面、不正使用のリスクが潜んでいます。カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり、「3Dセキュア」もそのひとつです。
クレジット取引セキュリティ対策協議会が策定する「実行計画」における対策の3本柱のひとつに「ECにおける不正使用対策」があげられ、ネットでなりすましをさせないための「多面的・重層的な不正使用対策の導入」がうたわれています。また、「実行計画」には、検討事項として具体的に本人認証の強化策となる「3Dセキュア2.0への移行・導入」も含まれています。
2017年末、3Dセキュアサービスを提供する事業体(プロバイダ)が準拠すべきセキュリティ基準「PCI 3DS」がリリースされました。NRIセキュアは、国内最初の3DS Assessorとして、2018年2月からPCI 3DS準拠に向けた各種支援サービスを提供しています。PCI 3DSで規定される各セキュリティ要件に対し、審査資格である3DS Assessorを保有する専門審査員が、現状とのギャップ分析や効果的な対策案の提示、訪問審査までをワンストップでサポートします。
3Dセキュア 本人認証サービスイメージ
PCI 3DSで要求される具体的な要件Part1およびPart2に対する、効果的な対策方法(ルール・手順の整備、システム対応、物理セキュリティ対策など)について支援します。
※PCI DSSに準拠している場合には、PCI 3DS要件のPart1(7要件)は適用免除となる場合有り。
PCI 3DS要件における各要件の概要(PCI 3DS要件Part1/Part2)
| Part1 要件区分 | 概要 |
|---|---|
| P1-1: 運用保守要員のためのセキュリティポリシーの整備 |
組織のセキュリティ方針を確立、かつ文書化し、関係者全員に配布する。 |
| P1-2: 安全なネットワーク接続 |
不正アクセスや脅威から3DSシステムを保護する。 |
| P1-3: 安全なシステムの開発と維持 |
3DEでアプリケーションおよびシステムを開発し、展開するために必要な技術を適用する。 |
| P1-4: 脆弱性管理 |
優れた脆弱性管理プログラムを導入する。 |
| P1-5: アクセス管理 |
強力なアクセス制御により、不正なアクセスからシステムやデータを保護する。 |
| P1-6: 物理セキュリティ |
強力な物理的アクセス制御により、不正な人物が3DSシステムに物理的にアクセスすることを防止する。 |
| P1-7: インシデント対応準備 |
インシデント対応および潜在的な脅威へ対応する。 |
| Part2 要件区分 | 概要 |
|---|---|
| P2-1: スコープの妥当性 |
PCI 3DSの対象となる全てのネットワークおよびシステムコンポーネントを特定し、文書化および検証する。 |
| P2-2: セキュリティガバナンス |
3DEおよび関連プロセスの保護のためにリスク管理や責任の割当てを行う。 |
| P2-3: 3DSのシステムとアプリケーションの保護 |
3DSシステムおよび3DEをサポートするアプリケーションを保護する。 |
| P2-4: 3Dセキュアシステムへの安全な論理アクセス |
3DSシステムおよび環境への論理的アクセスを保護する。 |
| P2-5: 3Dセキュアのデータ保護 |
3DS dataを保護する。 |
| P2-6: 暗号化と鍵管理 |
3DSエンティティの鍵管理およびHSMを保護する。 |
| P2-7: 3Dセキュアシステムの物理的安全性 |
データセンター環境でACSおよびDSシステムコンポーネントを保護し、3DEに対して技術的および運用面でのセキュリティを導入する。 |
3DS Assessor資格を保有する専門審査員による訪問審査を行い、PCI 3DS要件における準拠状況を確認します。対象となる全ての要件に対する準拠性が確認出来た後に、準拠証明書(AOC)と詳細レポート(ROC)を発行します。
PCI 3DSの準拠取得までがゴールではありません。継続的な維持の為には年1回の審査が必要です。前年度審査からの大幅な機能改修やサービスの仕様変更等が発生した場合には、準拠維持を確実なものとするために、更新審査実施前のコンサルティング支援も実施可能です。
PCI SSCによる認定を受けたプロフェッショナルが、コンサルティングから訪問審査に至るまでトータルでサポートします。
業界のトップグループに対して、これまでに様々なタイプのPCI系セキュリティ基準(PCI 3DS / PCI DSS / PCI P2PE / PCI TSP 等々)に対する準拠支援を数多く行っており、実態に則した進め方のノウハウを保有しております。お客様固有のシステム環境やセキュリティ事情を踏まえた上で、効果的な対策案を提示します。
情報セキュリティを基軸としながら、あらゆる分野のプロフェッショナルによるバックアップが可能で、お客様の課題に合わせて最も効果的な体制で支援します。
・PCI 3DS準拠支援コンサルティング:個別見積
・3DS Assessor訪問審査:個別見積
・PCI 3DS更新審査・準拠維持支援:個別見積
