3-Dセキュア普及の理由、初期開発メンバーインタビュー | ScanNetSecurity
2023.05.31(水)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

3-Dセキュア普及の理由、初期開発メンバーインタビュー

クレジットカードやデビットカードを使ったオンライン決済のシーンで、パスワードを入力することでカードの正当な保有者であることを証明する技術がある。3-Dセキュアと呼ばれる通信プロトコルだ。

特集 特集
ECサイトでクレジットカードを使って買い物をする際に入力を求められるのは、大半のケースにおいてカード番号と有効期限のみで、それにセキュリティコードが加わる場合がある程度だ。もし、ブラックマーケットでクレジットカード情報を購入したり、クレジットカードを盗み見ることができれば不正な決済が可能だ。

クレジットカードやデビットカードを使ったオンライン決済のシーンで、パスワードを入力することでカードの正当な保有者であることを証明する技術がある。3-Dセキュアと呼ばれる通信プロトコルだ。エンドユーザはクレジットカード会社や銀行のWebサイト上であらかじめパスワードを設定しておき、決済時にそれを入力することで実現する。

編集部は、CA Expo ’12 Japanの講演のために来日したCA TechnologiesのJim Reno氏に、3-Dセキュアについて話を聞いた。Reno氏は、VISA社の依頼を受け3-Dセキュアを開発したArcot社初期メンバーとして、3-Dセキュアの開発と普及に深く携わり、2010年のCA TechnologiesによるArcot社買収後は、CA Technologiesのセキュリティ部門のチーフアーキテクトとしてセキュリティ製品全般について責任を負っている。


●3-Dセキュアの普及要因

3-Dセキュアは日本のエンドユーザには馴染みが薄いが、ほとんどのメジャーなクレジットカード会社が採用するなど、世界的には事実上の標準として広く普及している。この要因として、Reno氏はVisaがプロトコル仕様を公開した点、シンプルなプロトコルで技術的に導入が容易な点、金融機関が採用する際の選択肢が豊富な点の3つを挙げた。

1)仕様を公開
Visaは業界全体の利益を考えて、最終的に3-Dセキュアプロトコルの仕様を公開し、無償でライセンス提供をおこなっている。MasterCardも独自にセキュリティ技術を研究開発していたが、後に3-Dセキュアを採用、JCBやAMEXなどもこれに続き、業界全体に広がった。プロトコルの仕様公開によってArcot社以外でも製品・サービスが提供可能になったところから、金融機関の選択の幅が広がった。

2)シンプルなプロトコル
3-Dセキュアは非常にシンプルなプロトコルだ。そのためシステムに3-Dセキュアを組み込むための導入コストが抑えられる。3-Dセキュアより複雑でセキュリティ強度が高いしくみもあったが、導入が容易なことから、3-Dセキュアが市場に受け入れられた。

3)製品・サービスが豊富
「クラウド」という概念が使われる前から、ソフトウェア製品だけではなく、クラウドサービスとして、3-Dセキュアを提供してきた。クラウドインフラを使用してサービスとして展開したため、新技術の採用に慎重な金融機関でもリスクなく採用することができた。CA社はチャネル販売を通じて、大きな売上を上げている。さらに

●海外および日本のセキュリティ対策の動向

Reno氏は、海外ではオンライン取引における3-Dセキュアの導入は進んでいるという。セキュリティ対策は安全性、ユーザエクスペリエンス、コストのバランスをとりながら実施されるが、世界の地域ごとにかなり違った対策が取られている、と述べた。

Reno氏の印象では、日本はセキュリティ対策のみならず技術一般で最新技術の採用に積極的だという。たとえばJCB社では「J/Secure」という名称で3-Dセキュア技術をユーザに提供しているが、これはVisa、MasterCardに続き、世界で3社目という導入の早さであった。

ただし、3-Dセキュアはクレジットカード会社では対応しているが、日本ではクレジットカード加盟店側へは浸透していない。社団法人日本クレジットカード協会では、なりすまし防止のために3-Dセキュア等の対策を実施するよう、2012年春、加盟店に呼びかけている。

また、実店舗でのクレジットカードの使用時に、欧州では、PIN(Personal Identification Number)と、カードに埋め込まれたチップによる認証が広く浸透している。一方、米国ではPINとチップは導入されておらず、米国で発行されたカードを欧州の店舗で使おうとすると、チップがないために使用できないケースもあるという。

海外では、3-Dセキュアに付加されるサービスとして、インテリジェントなリスクベース認証の活用も進んでいる。CA Technologiesの認証製品RiskMinderを用いて、それまでのカード利用履歴と比較し、利用者のIPアドレス、金額、決済頻度などの面から高リスクと見なされる取引を炙り出して、さらに詳細な本人認証を要求したり、カード利用を停止することも可能だ。これにより、ユーザエクスペリエンスを維持しながら、セキュリティの強化を図るという。

(株式会社イメージズ・アンド・ワーズ 鳴海まや子)
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性 画像

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性
Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」 画像

Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」
Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性 画像

Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性
キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性 画像

キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
「asahi.com」「サーバー環境の移行」等メールに注意喚起 画像

「asahi.com」「サーバー環境の移行」等メールに注意喚起
Tornado にオープンリダイレクトの脆弱性 画像

Tornado にオープンリダイレクトの脆弱性

インシデント・事故 記事一覧へ

申込者のマイナンバーカードに別人の決済サービスが紐付く 画像

申込者のマイナンバーカードに別人の決済サービスが紐付く
盛岡市中央卸売市場にサイバー攻撃、不審メールの送信判明 画像

盛岡市中央卸売市場にサイバー攻撃、不審メールの送信判明
特定非営利活動法人でのメール誤送信、今後はメール管理システムでの配信を実施 画像

特定非営利活動法人でのメール誤送信、今後はメール管理システムでの配信を実施
東京都交通局 広報誌の読者プレゼント応募フォームで個人情報が閲覧可能に 画像

東京都交通局 広報誌の読者プレゼント応募フォームで個人情報が閲覧可能に
産経新聞 NIE メルマガを誤送信しメールアドレスが漏えい、複数人による多段階チェックを必須にし再発防止を図る 画像

産経新聞 NIE メルマガを誤送信しメールアドレスが漏えい、複数人による多段階チェックを必須にし再発防止を図る
指定管理者の特定非営利活動法人が「空き情報メール配信サービス」で誤送信、今後はメールマガジンによる配信に変更 画像

指定管理者の特定非営利活動法人が「空き情報メール配信サービス」で誤送信、今後はメールマガジンによる配信に変更

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証 画像

AI は脅威インテリジェンスを生成できるか、NEC技術者検証
日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査 画像

日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査
拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か 画像

拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か

研修・セミナー・カンファレンス 記事一覧へ

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催 画像

今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催
2023年度「実践サイバー演習 RPCI」受付開始、会場移転し定員48名に拡大 画像

2023年度「実践サイバー演習 RPCI」受付開始、会場移転し定員48名に拡大

製品・サービス・業界動向 記事一覧へ

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか 画像

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか
AeyeScan blog 第2回「AIプログラミング編」 画像

AeyeScan blog 第2回「AIプログラミング編」
長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力 画像

長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力
カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発 画像

カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発
GMOイエラエで発足した脆弱性調査研究チームが「Ricerca CTF」で優勝 画像

GMOイエラエで発足した脆弱性調査研究チームが「Ricerca CTF」で優勝
無効な Google アカウントに関するポリシーを更新、2年以上使用されていない場合削除対象に 画像

無効な Google アカウントに関するポリシーを更新、2年以上使用されていない場合削除対象に

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×