鈴木淳也のPay Attention

第75回

カードのセキュリティを強化する「3Dセキュア」の最新トレンド

2020年はスマートフォンを使った新しい決済サービスが広く普及した反面、不正利用事件がクローズアップされた年でもあった。代表的なものはドコモ口座の不正利用事件だが、ドコモ自身のアカウント開設時の本人認証の不十分さと合わせ、銀行口座接続時のWeb口座振替サービスのセキュリティの弱さが原因だった。

キャッシュレス決済がカード中心に回っていた時代は終わり、支払い手段が多様化しつつあるなか、改めて「認証」という部分の重要性がクローズアップされた事件だったといえるだろう。

今回の件を横に置いておいたとしても、クレジットカードのオンラインでの不正利用事件はたびたび発生しており、日々対策強化が進んでいる状況だ。

こうした中、登場したのが「3-D Secure(3Dセキュア)」という技術だ。

Visaにおける名称はVisa Secure

Arcot Systems(現CA Technologies)とVisaが共同開発した技術は2001年に発表され、インターネット上の取引における本人確認強化を目的としている。

「3D」とは「3つのドメイン(Domain)」を意味しており、「イシュアドメイン(イシュアとカードホルダー)」「インターオペラビリティドメイン(ネットワーク上で取引の中継を行なう国際カードブランド)」「アクワイアラドメイン(小売店などのアクワイアラ)」の3つのドメインが協調して本人確認を行なう。

ただ、セキュリティ対策のために本人確認作業を強化することとは、利便性の低下とともに利用者が決済を途中で止めてしまう、いわゆる「カゴ落ち」問題に結びつく可能性がある。

3Dセキュアはこうした対策強化と利便性向上のバランスとともに進化を続けており、その成果の1つが先日発表された、Kyashにおける「VCAS(Visa Consumer Authentication Service)」の採用に結びついている

今回はこの「3Dセキュア」について、その仕組みと最新トレンドをまとめてみたい。

3Dセキュアの仕組みとリスクベース認証

3DセキュアそのものはVisaを発祥としたサービスであり、「Verified by Visa」のブランドで展開されていたが、2019年よりVisa Secureにブランド変更している。競合他社も同じ仕組みを採用した別ブランドでのサービス展開を行なっている。

この20年前に展開がスタートした3Dセキュアについては、「バージョン1.0」の名称で呼ばれたりする。開発時期の関係でインターネット取引といっても1990年代の技術を想定しており、今日のようなモバイル環境などは想定していない。また「物を買う」といった用途以外も想定した仕組みが求められるようになっており、例えば加盟店のカード登録やサービスへの残高チャージ、トークンの利用など、新しい利用チャネルへの対応が求められるようになった。

こうしたニーズに対応させるため、カードブランドが参加するEMVCoが中心となって「EMV 3-D Secure」が策定されることになった。

[EMV 3-Dセキュア(3Dセキュア 2.0)のメリット(出典:Visa)

この仕組みは「バージョン2.0」とも呼ばれ、2016年以降に利用が開始されている。3Dセキュアの1.0では、逐次パスワード認証などを求めることで“カゴ落ち”が発生してしまい、それを加盟店が嫌がるという問題があった。

ビザ・ワールドワイド・ジャパン データソリューションズ ディレクターの田中俊一氏は「(Visaが英国で実施した調査によると)バージョン2.0の採用で決済時間が85%短縮され、70%のカゴ落ち減少が期待できる」という見解を述べている。

ビザ・ワールドワイド・ジャパン データソリューションズ ディレクターの田中俊一氏

このバージョン2.0採用で“カゴ落ち”が減るという理由は、2.0では「リスクベース認証(RBA:Risk-Based Authentication)」を採用したことにある。次の図は3Dセキュア 2.0における取引の流れだが、上側の矢印がRBAで「リスクが低」と判断された場合で、下側の矢印が「リスクが高」と判断された場合だ。

EMV 3Dセキュア(3Dセキュア 2.0)における取引の流れ(出典:Visa)

利用者がカードを加盟店(この場合はインターネット上の加盟店)で使うと、加盟店はまずカードブランド(この場合は「Visa」)に対して3Dセキュアサーバを経由して認証要求を行なう。

次にVisaで3Dセキュアの処理を行なっているDS(Directory Server)は、当該のカードを発行するイシュアに対して認証要求を行なう。リクエストを受けたイシュアではACS(Access Control Server)がリスク判定を行ない、結果が「リスク低」と判断された場合はオーソリゼーションに、「リスク高」と判断された場合は「チャレンジ認証」という形で「取引拒否」または追加の「ステップアップ認証」を行なうという流れになる。

この3Dセキュアの判定は与信を判定する「オーソリゼーション」の前に発生するもので、「リスク低」であればそのままオーソリゼーションに移行し、「リスク高」であればチャレンジ認証後にオーソリゼーションへと移行するフローになる。

前述の仕組みを「フリクションレスフロー(Frictionless Flow)」と呼び、田中氏によればVisa全体の取引の95%は3Dセキュアで追加認証が発生することなく通常取引へと移行するという。これが決済時間短縮と“カゴ落ち”減少の理由だ。

そしてリスクベース認証を実現するために2.0の仕様に盛り込まれたのが、ドメイン間でやり取りされるデータ項目の追加だ。ドメイン間での認証要求のやり取りは電文を通して行なわれるが、1.0との単純比較で項目が10倍に増えている。つまり、認証に必要な要素を増やすことで判断をより確実なものとし、安全性を高めつつユーザーのストレスの原因となるチャレンジ認証の発生確率を下げることが可能になる。

3Dセキュアのバージョン1.0と2.0では、ドメイン間でやり取りされるデータ項目に10倍の差がある(出典:Visa)

Visaの「VCAS」とはどのようなサービスか

判定部分をもう少しだけ詳しくみていく。3Dセキュア 2.0では、イシュア、ネットワーク、アクワイアラの3つのドメインを次の図の番号で示した順番に電文が流れていく。

起点となる「3DSクライアント」とは、インターネット取引でいうカードホルダーが見ている決済画面で、ここで3Dセキュアを利用しているとアクワイアラの3DSサーバがまずネットワーク上のDSに問い合わせし、DSはさらにイシュアのACSに問い合わせを行なう。ここでもし「リスク低」と反映した場合は、そのままDSを介して3DSサーバに通常取引への移行許可を出し、アクワイアラでは一般的なカード決済ネットワークでいう「オーソリゼーション」の手続きに入る。

EMV 3Dセキュア(2.0)におけるフリクションレスフローの流れ(出典:EMVCo、Visa)

これが「リスク高」としてチャレンジリクエストが入った場合、3DSクライアントに処理をいったん戻した後、イシュアがあからじめ設定した手法に沿って認証が始まる。このチャレンジリクエストにおける認証のやり取りはイシュアドメインの間で行なわれ、他のドメインは介在しない。この同一ドメイン内で本人認証を完結させる点が3Dセキュア最大の特徴ともいえる。ここでチャレンジに成功すると、イシュアはACSからDSを介してアクワイアラの3DSサーバにカード取引への移行許可を出し、以後はフリクションレスフローと同様にオーソリゼーションに入る。

EMV 3Dセキュア(2.0)におけるチャレンジフローの流れ(出典:EMVCo、Visa)

注意点としては、3Dセキュアのバージョン1.0と2.0では電文の互換性がないため、イシュアのACSとアクワイアラの3DSサーバ(1.0では「MPI:Merchant Plug-Inプロバイダ」と呼ぶ)のバージョンを揃える必要があることだ。日本では最初の2.0対応ACSがイシュアに導入されたのは2019年とされているが、もともとEMV 3Dセキュアという仕様がリリースされたのが比較的最近ということもあるため、まだまだ導入がそこまで進んでいないのが現状といえる。仮にイシュア側が2.0に切り替える意思があっても、アクワイアラ側が1.0のままでは互換性がないため、このあたりが移行のネックとなる可能性が高い。

そこで登場するのが「VCAS(Visa Consumer Authentication Service)」となる。下記の図では「Cardinal Centinel」とペアで紹介されているが、VCASがACS、Cardinal Centinelが3DSサーバと考えればいい。

VCASのメリットとして、現行で利用されている3Dセキュア 1.0、2.1、2.2の仕様をすべて網羅し、さらにリスク判定に必要なスコアリングシステムとして独自の「VCASスコア」と「ルールエンジン」を備えている。VCASスコアにはイシュアの取引情報と、Visaが持つ不正取引情報が加味されたうえで、イシュアが独自のルールをリスクベース認証に加えることが可能だ。例えば特定の取引先のやり取りにはリスク判定を除外するなど、一律に同じスコアリングを適用するのではなく、運用に応じて柔軟にルールを設定できる。

3DSを構成するVCASとCardinal Centinel(出典:Visa)

3Dセキュア 2.0用のACSや3DSサーバは他のベンダーも提供しているが、VCASのVisaならではの特徴は前述のようにVisaのスコアリングシステムとバージョン対応ということになる。田中氏によれば、VCASはすでに2,500社での導入が進んでいるが、その多くは米国の企業だという。

もともとこの仕組み自体が、2016年12月にVisaが買収した米国企業のCardinalCommerceのものという経緯もあるが、今後はアジア太平洋地域へのセールスを強化していく意向だ。

日本ではVCAS導入の第1号はKyashであり、同社が発行するカード決済の3Dセキュア認証にVCASが組み込まれている。Kyashの場合はチャレンジリクエストが発生した際に、SMSまたは電子メール、あるいはアプリへのプッシュ通知を通じて認証コードを送信する仕組みとなっているため、Kyashアプリがインストールされたスマートフォンさえ手元にあれば、リクエストが発生した直後に認証コードを返せるため利便性が高い。特にスマートフォンアプリやモバイルブラウザ経由で決済が走った場合などに有効だろう。

KyashにおけるVCASのチャレンジリクエスト例。すべてスマートフォン上ですぐに得られるコード受信手段が選択できる(出典:Kyash)

Kyashの場合はスマートフォン操作を前提とした作りとなっているが、実際には3Dセキュア 2.0では本人確認手段として生体認証を要求したりと、イシュアの希望に応じてさまざまな形での実装が可能だ。

最終的にカード取引の安全性を保証するのはイシュアであり、利用者の利便性を損ねないようにしつつ、いかに安全性を担保するかが鍵となる。

鈴木 淳也/Junya Suzuki

国内SIerでシステムエンジニアとして勤務後、1997年よりアスキー(現KADOKAWA)で雑誌編集、2000年にプロフェッショナル向けIT情報サイト「@IT」の立ち上げに参画。渡米を機に2002年からフリーランスとしてサンフランシスコからシリコンバレーのIT情報発信を行なう。2011年以降は、取材分野を「NFCとモバイル決済」とし、リテール向けソリューションや公共インフラ、Fintechなどをテーマに取材活動を続けている。Twitter(@j17sf)