こんにちは、ライブドアで決済システムを担当している森です。
今回は、クレジットカード決済における本人認証について書かせていただきます。
【01】3D Secure と e-SCOTT
皆さんは「3D Secure」というクレジットカードの本人認証サービスをご存知でしょうか。
「3D Secure」とは、クレジットカード決済を行なう際に、カード番号と有効期限のほかに、クレジットカード会社に登録してあるパスワードでも認証を行なうサービスです。
パスワード認証を行なうことで、カードの「盗難」や「なりすまし」などによる不正利用の防止が可能となります。
また、入力されたパスワードは、カード発行会社に直接暗号化されて送信されるため、サイト運営会社(livedoor デパートなど)では取得できない仕組みになっており、情報漏洩による事故も防ぐことができます。
このサービスは、元々ビザ・インターナショナルが開発した本人認証技術なのですが、VISA、Master、JCB といった大手ブランドで同仕様の本人認証サービスが提供されて
います。
ライブドアでも2005年3月にこの本人認証サービスを導入し、第三者による不正利用が大幅に減少しました。
と、ここまではよくある「3D Secure」の説明となるのですが、今回は他社が採用している本人認証サービスも含め、それぞれの問題点や業界の動きなどを書きたいと思います。
現在、国内で使用されている本人認証サービスは、上で述べた「3D Secure」のほかに、もう一つ e-SCOTT の「認証アシストサービス」があります。
導入済みの代表的なサービスでは、Yahoo!ショッピングなどがあります。
e-SCOTT の「認証アシストサービス」は、カード番号と有効期限のほかに、カード会社に登録してある生年月日などの個人の属性データを認証に使います。
第三者が入手したカード情報だけでの決済ができないため、第三者による不正利用を防ぐことができます。
また、個人の属性データを認証に使うため、別途の登録作業が不要という点が大きな特徴です。
【02】それぞれのメリットとデメリット
それぞれのメリットとデメリットをまとめると、以下のようになります。
■3D Secure
メリット
・パスワードの変更が可能
デメリット
・登録作業が必要なため、普及しづらい
■e-SCOTT の「認証アシストサービス」
メリット
・登録作業が不要。
デメリット
・個人情報のため、変更が難しい(生年月日などは変更不可能)
・個人属性が同時に漏洩した場合、防ぐことができない
・個人に紐付いた属性情報を認証に使うため、セキュリティは低い
ライブドアが採用している「3D Secure」は、VISA、Master、JCB といった大手ブランドが協力し、同一の技術仕様で実現したという点は非常に画期的なの
ですが、まだまだパスワードを登録しているユーザーが少ないというのが課題としてあります。
ユーザーが少ないので、不正利用の防止を第一と考え、本人確認ができたユーザーだけにサービスの提供を行なった場合、相当な機会損失が発生してしまいます。
また、「3D Secure」を使っていないユーザーからはサービスの提供を受けられない、というクレームも予想されます。
逆に「3D Secure」での本人確認を問わず購入できるようにした場合、導入しているメリットがなくなります。
一方、e-SCOTT の「認証アシストサービス」は、ユーザー側の登録作業が不要という点が最大のメリットですが、個人の属性を認証に使っていますので、変更が難しいという点が課題としてあります。
また、財布を紛失し、クレジットカードと一緒に免許証などが入っていた場合などは属性情報も入手されますので、第三者による不正利用を防ぐことが難しくなります。
【03】本人認証の現状
では、どちらのサービスがサービス運営会社やユーザーにとってベストプラクティスなのかというと、「判断できない」というのが現状だと思います。
仕組みとしては「3D Secure」のほうが優れていますが、過去に発行されたクレジットカードなどを考えると、100%の普及というのは難しい状況だと思います。
一方では、、e-SCOTT の「認証アシストサービス」ではセキュリティが低いという意見もあります。
また、二つの異なるサービスが存在するため、これからサービスを立ち上げるサイトなどでは、即効性が高い『e-SCOTT』の『認証アシストサービス』を導入するケースも
多いのではという懸念もあります。
ただ最近「e-SCOTT」の「認証アシストサービス」は、株式会社ソニーファイナンスインターナショナル、株式会社ジェーシービー、株式会社日本カードネットワーク、
三井住友カード株式会社の4社による合弁会社の株式会社スマートリンクネットワークで運営されており、当初のプレスリリースでは、以下のような記載がありましたので、このあたりの動向に期待して、将来サービスが提供されることを願っています。
<プレスリリースより引用>
---
新会社ではJCB はじめ、VISA、MasterCard の国際ブランドが推進している「3D Secure」と、ソニーファイナンスが開発し、推進している『e-SCOTT 本人認証アシストサービス』を
融合し、パッケージ化することで、より強固な本人認証機能を実現、提供する予定です。
---
ライブドアでは、「新しい決済サービスを積極的に導入し、ユーザーによりよいサービスを提供していきたい」というセキュリティ意識の高いディレクターを募集しております。
今回は、クレジットカード決済における本人認証について書かせていただきます。
【01】3D Secure と e-SCOTT
皆さんは「3D Secure」というクレジットカードの本人認証サービスをご存知でしょうか。
「3D Secure」とは、クレジットカード決済を行なう際に、カード番号と有効期限のほかに、クレジットカード会社に登録してあるパスワードでも認証を行なうサービスです。
パスワード認証を行なうことで、カードの「盗難」や「なりすまし」などによる不正利用の防止が可能となります。
また、入力されたパスワードは、カード発行会社に直接暗号化されて送信されるため、サイト運営会社(livedoor デパートなど)では取得できない仕組みになっており、情報漏洩による事故も防ぐことができます。
このサービスは、元々ビザ・インターナショナルが開発した本人認証技術なのですが、VISA、Master、JCB といった大手ブランドで同仕様の本人認証サービスが提供されて
います。
ライブドアでも2005年3月にこの本人認証サービスを導入し、第三者による不正利用が大幅に減少しました。
と、ここまではよくある「3D Secure」の説明となるのですが、今回は他社が採用している本人認証サービスも含め、それぞれの問題点や業界の動きなどを書きたいと思います。
現在、国内で使用されている本人認証サービスは、上で述べた「3D Secure」のほかに、もう一つ e-SCOTT の「認証アシストサービス」があります。
導入済みの代表的なサービスでは、Yahoo!ショッピングなどがあります。
e-SCOTT の「認証アシストサービス」は、カード番号と有効期限のほかに、カード会社に登録してある生年月日などの個人の属性データを認証に使います。
第三者が入手したカード情報だけでの決済ができないため、第三者による不正利用を防ぐことができます。
また、個人の属性データを認証に使うため、別途の登録作業が不要という点が大きな特徴です。
【02】それぞれのメリットとデメリット
それぞれのメリットとデメリットをまとめると、以下のようになります。
■3D Secure
メリット
・パスワードの変更が可能
デメリット
・登録作業が必要なため、普及しづらい
■e-SCOTT の「認証アシストサービス」
メリット
・登録作業が不要。
デメリット
・個人情報のため、変更が難しい(生年月日などは変更不可能)
・個人属性が同時に漏洩した場合、防ぐことができない
・個人に紐付いた属性情報を認証に使うため、セキュリティは低い
ライブドアが採用している「3D Secure」は、VISA、Master、JCB といった大手ブランドが協力し、同一の技術仕様で実現したという点は非常に画期的なの
ですが、まだまだパスワードを登録しているユーザーが少ないというのが課題としてあります。
ユーザーが少ないので、不正利用の防止を第一と考え、本人確認ができたユーザーだけにサービスの提供を行なった場合、相当な機会損失が発生してしまいます。
また、「3D Secure」を使っていないユーザーからはサービスの提供を受けられない、というクレームも予想されます。
逆に「3D Secure」での本人確認を問わず購入できるようにした場合、導入しているメリットがなくなります。
一方、e-SCOTT の「認証アシストサービス」は、ユーザー側の登録作業が不要という点が最大のメリットですが、個人の属性を認証に使っていますので、変更が難しいという点が課題としてあります。
また、財布を紛失し、クレジットカードと一緒に免許証などが入っていた場合などは属性情報も入手されますので、第三者による不正利用を防ぐことが難しくなります。
【03】本人認証の現状
では、どちらのサービスがサービス運営会社やユーザーにとってベストプラクティスなのかというと、「判断できない」というのが現状だと思います。
仕組みとしては「3D Secure」のほうが優れていますが、過去に発行されたクレジットカードなどを考えると、100%の普及というのは難しい状況だと思います。
一方では、、e-SCOTT の「認証アシストサービス」ではセキュリティが低いという意見もあります。
また、二つの異なるサービスが存在するため、これからサービスを立ち上げるサイトなどでは、即効性が高い『e-SCOTT』の『認証アシストサービス』を導入するケースも
多いのではという懸念もあります。
ただ最近「e-SCOTT」の「認証アシストサービス」は、株式会社ソニーファイナンスインターナショナル、株式会社ジェーシービー、株式会社日本カードネットワーク、
三井住友カード株式会社の4社による合弁会社の株式会社スマートリンクネットワークで運営されており、当初のプレスリリースでは、以下のような記載がありましたので、このあたりの動向に期待して、将来サービスが提供されることを願っています。
<プレスリリースより引用>
---
新会社ではJCB はじめ、VISA、MasterCard の国際ブランドが推進している「3D Secure」と、ソニーファイナンスが開発し、推進している『e-SCOTT 本人認証アシストサービス』を
融合し、パッケージ化することで、より強固な本人認証機能を実現、提供する予定です。
---
ライブドアでは、「新しい決済サービスを積極的に導入し、ユーザーによりよいサービスを提供していきたい」というセキュリティ意識の高いディレクターを募集しております。
コメント