EMV 3-D セキュア(3DS2.0)について

in

さて、日本では2024年12月にはクレジットカード決済においては必須化が決まった、3DS2.0について話をしてみましょう。

まずは、いつも通りChatGPTに聞いてみました。

主な特徴

  1. 強化された認証: 3DS2.0は、トランザクション時にカード所有者の身元を確認するためのより強固な認証手段を提供します。これには、生体認証やワンタイムパスワードなどの二要素認証が含まれます。
  2. シームレスなユーザーエクスペリエンス: 3DS2.0は、ユーザーのチェックアウト体験を向上させるよう設計されています。これにより、トランザクションの承認プロセスがよりスムーズになり、カート放棄率が低下することが期待されます。
  3. リスクベースの認証: このプロトコルは、トランザクションのリスクを評価し、リスクが低いと判断された場合には、追加の認証ステップを省略することができます。
  4. データ共有の改善: 3DS2.0は、カード発行者と加盟店の間でより多くのデータを共有することができます。これにより、より正確なリスク評価と認証決定が可能になります。
  5. モバイルおよび新しいデバイスのサポート: 3DS2.0は、モバイルアプリやウォレットなど、新しい支払い方法に対応しています。
  6. グローバルなコンプライアンス: このプロトコルは、欧州決済サービス指令(PSD2)などの国際的な規制基準に準拠しています。
ChatGPTに聞いてみた

このように見てみると夢のような不正防止の仕組みのような形に見えます。ちなみに開発はEMVCoが行っております。EMVCoは、主要なクレジットカードブランドが共同で設立した組織です。

しかし、課題があります。

それは、この理想の形にするために事業者側が3DS2.0を導入するには、加盟店とカード発行者のシステムを適切に統合する必要があります。要は「リスクベースの認証」を決済側に提供できないと、ただクレジットカード決済が2段階認証になるだけの3DS1.0のままとなってしまいます。ちなみに 3DS1.0 の説明は以下です。

3DS1.0、または3-D Secure 1.0は、オンラインでのカード決済の安全性を高めるために設計されたプロトコルです。これはVisaによって初めて導入され、”Verified by Visa”として知られていますが、その後他のカードネットワークでも採用されました。3DS1.0の主な特徴は以下の通りです:

  1. 追加の認証ステップ:カード所有者がオンラインで購入を行う際、追加の認証手順を経る必要があります。これは通常、パスワード入力やSMSによるコード確認などの形をとります。
  2. 詐欺防止:追加の認証ステップにより、不正なカード使用を防ぐ助けとなります。カード所有者だけが知っている情報(パスワードや携帯電話番号)が必要になるため、カード情報が盗まれても不正利用が困難になります。
  3. 責任の明確化:3-D Secureが導入されると、オンラインでの不正取引に対する責任が、カード発行者と加盟店の間でより明確になります。これにより、不正利用に対するリスクが軽減されます。
  4. カード所有者の信頼向上:追加のセキュリティ手段によって、カード所有者はオンラインでの購入に対してより安心感を持つことができます。

ただし、3DS1.0にはいくつかの制限があり、特にユーザー体験の観点から改善の余地がありました。これに応えて、後続のバージョンである3-D Secure 2.0が開発され、よりスムーズな取引が可能になり、追加のセキュリティ機能が組み込まれました。

— 3DS1.0 の説明 — (こちらもChatGPTに聞いてみました)

リスクベースの認証(Risk-Based Authentication, RBA)

この RBA に関しても ChatGPT にまとめてもらいました。

リスクベースの認証の主な要素

  1. データ収集: 3DS2.0は、トランザクションに関連する多くのデータポイントを収集します。これには、デバイス情報、顧客の購入履歴、地理的位置、支払いの詳細などが含まれます。
  2. リスク評価: 収集したデータはリスク評価エンジンに送られます。ここで、アルゴリズムがトランザクションのリスクレベルを計算します。
  3. 動的な認証: リスクレベルに基づき、システムは適切な認証手段を選択します。リスクが高いトランザクションの場合、追加の認証ステップ(例: ワンタイムパスワード、生体認証)が必要となります。
  4. 低リスクトランザクションの簡素化: 低リスクと評価されたトランザクションは、追加の認証手順なしに処理されることがあります。これにより、顧客体験が向上し、チェックアウトの速度が速くなります。

利点

  • セキュリティの強化: 不正トランザクションのリスクを減らすことができます。
  • ユーザーエクスペリエンスの向上: ほとんどの正当なトランザクションは、追加の認証手順なしでスムーズに進行します。
  • 柔軟性と適応性: 異なるリスクレベルのトランザクションに対して、異なる認証手段を適用することができます。

課題

  • データ分析の精度: 効果的なリスクベースの認証には、正確なデータ分析とリスク評価が必要です。
  • プライバシーとデータ保護: 大量のデータを扱うため、プライバシーとデータ保護の観点からの懸念があります。
ChatGPTに聞いてみた

基本的に課題の部分ですが、正確なデータを提供しないといけないと言う点があります。要は、クレジット決済に関して、「デバイス情報、顧客の購入履歴、地理的位置、支払いの詳細など」をネットショップ側で集計してクレジットカード会社側に提供しないといけないのです。

ちなみに提供希望項目は以下です。

  • 会員最終更新日
  • 会員作成日
  • 会員パスワード変更日
  • 過去6ヶ月間の購入回数
  • カード登録日
  • 過去24時間のカード追加試行回数
  • 配送先住所の初回使用日
  • カード会員名と配送先名の一致/不一致
  • 不審行為情報
  • 過去24時間の取引回数
  • 過去1年の取引回数
  • ログイン日時
  • ログイン方法
  • ログイン証跡データ
  • 請求先住所と配送先住所の一致/不一致
  • 請求先住所の市区町村
  • 請求先住所の国番号
  • 請求先住所の町域・丁目番地
  • 請求先住所の建物・号室
  • 請求先住所情報の予備項目
  • 請求先住所の郵便番号
  • 請求先住所の都道府県番号
  • メールアドレス
  • 自宅電話の国コード
  • 自宅電話番号
  • 携帯電話の国コード
  • 携帯電話番号
  • 職場電話の国コード
  • 職場電話番号
  • 配送先住所の市区町村
  • 配送先住所の市区町村
  • 配送先住所の国番号
  • 配送先住所の町域・丁目番地
  • 配送先住所の建物・号室
  • 配送先住所情報の予備項目
  • 配送先住所の郵便番号
  • 配送先住所の都道府県番号
  • 電子配送時の配送先メールアドレス
  • 商品出荷の時間枠
  • 再購入情報
  • 商品配送方法

はい。四十項目を超えます。(涙)
これを構築するとなるとどれだけシステム開発に工数が掛かるかは想像しやすいのではないでしょうか?

もちろん、情報を提供しないと言うの方法を選択できます。そうすると必ずクレジットカードの2段階認証が必要になってくるのです。

PIMBOX for business ではこの問題を解決仕組みを提供します。