3DセキュアにおけるDSの開発

アプリケーション開発

JCB デジタルソリューション開発部 DXテックグループの村井です。
アプリチームではJCBが提供する様々なサービスの開発・運用をしています。
今回は非対面のクレジットカード決済で導入が進んでいる3Dセキュア(本人認証サービス)について、 その概要と3Dセキュアを構成するDSシステムの開発についてざっくりと紹介します。

3Dセキュアって何?

3Dセキュアは、インターネットショッピング(非対面決済)でのクレジットカード決済における、本人認証(不正対策)サービスの仕様でありフレームワークです。 クレジットカードでネットショッピングを利用する際は通常、クレジットカードの「カード番号」「有効期限」「セキュリティコード」「氏名」といった、カードに記載された情報を入力すれば商品を購入できます。 しかし、上記の情報で商品を購入できるということは、悪意ある者にカードを盗まれて使われた場合、決済する人が正規のカード会員であるか判別できないという問題を持ち合わせています。

この問題の解決策として提唱されたのが3Dセキュアです。 3Dセキュアでは、国際ブランドがカード会員、加盟店、クレジットカード発行会社といった決済に関係する組織を統率・連携させて、クレジットカード決済の前に本人認証します。 皆さんはネットショッピングで購入ボタンを押した際に、クレジットカードのブランドロゴが表示されたWebページに遷移し、パスワード入力を求められた経験はないでしょうか? 実はそれが3Dセキュアによる本人認証の処理の一部なのです。

決済に関係する組織は大きく以下の3つのドメインのどれかに属し、その各ドメインが連携して動作する仕組みであることから、「3ドメイン連携のセキュリティプロトコル」すなわち「3Dセキュア」という名前の由来になっています。

  • アクワイアラドメイン:加盟店(≒ECサイト)、アクワイアラ(≒加盟店契約会社)
  • インターオペラビリティドメイン:国際ブランド
  • イシュアドメイン:カード発行会社

JCBは国際ブランドのためインターオペラビリティドメインに属します。

国際ブランドの役割

国際ブランドの役割は、加盟店/アクワイアラとカード会社が行う認証取引について、その正当性を検証するための規約を定義し、規約を両者に遵守させることです。 - 認証取引の相手が正規の加盟店/アクワイアラであるか - 認証取引の相手が正規のカード会社であるか - 認証取引の内容が規約通りに行われているか

また、両者の運用するシステムが障害等で正常にやり取りできなくなった場合、カード利用者の本人認証処理が完結しないというリスクがあります。 国際ブランドはそのようなリスクに備えて、本人認証を可能な限り完結させるための処理も規定しています。

3Dセキュアを構成するシステム

インターオペラビリティドメインで稼働するシステムをDS(Directory Server)と呼びます。 JCBではこのDSシステムを運用しています。 また、アクワイアラドメインで稼働するシステムを3DSS(3D Secure Server)、イシュアドメインで稼働するシステムをACS(Access Control Server)と呼びます。 3DSSとACSがDSを中継して電文と呼ばれる情報を送受信することで、認証取引を実現します。

DSシステムの開発

DSシステムの開発において守らなければならないルールがいくつかあります。

PCI DSS/PCI 3DS

3Dセキュアを構成するDSシステムはカード情報を扱うため、PCI SSC※が策定したPCI DSSと呼ばれるクレジットカードのセキュリティ基準に準拠する必要があります。 加えて、PCI 3DSと呼ばれる3Dセキュアを対象としたセキュリティ基準にも準拠する必要があります。 PCI 3DSの要件の一部はPCI DSSと同じですが、基本的に3Dセキュア独自の要件が定められています。

※PCI Security Standards Councilの略称であり、クレジットカード業界の情報セキュリティ向上を目的とした、JCBを含む国際カードブランド5社によって設立された評議会です。PCI SSCのサイト

EMVCo

先ほど、国際ブランドは認証取引の正当性を検証するための規約を定義し、規約を加盟店/アクワイアラとカード会社に遵守させると述べました。 システム開発の話に落とし込むと、DSが定義したシステム要件に従って3DSSとACSは電文を処理しなければならないことになります。 しかしDSが要件をすべて自由に決めて良いかというと、そうではありません。

3Dセキュアを提唱する「EMVCo」と呼ばれる団体が、大元のシステム要件を定義しています。 公開されているドキュメントに関してはEMVCoのサイトから閲覧することができます。 内容を見てもらうと分かりますが、厳格に通信要件やインターフェース要件が定められています。

DS/3DSS/ACSは原則この要件に従わなければなりませんが、一部要件についてはDSで仕様を決めて良いとなっています。 DSが決めた仕様については接続先となる3DSS/ACSに対してその仕様を連携し、仕様に沿った開発を依頼する必要があります。

また、要件通りに開発をしたからといって、すぐにシステムの運用は開始できません。 開発したシステムがEMVCoの認定を受ける必要があります。 認定を受けるためには、EMVCoのシステム要件に基づいた認定テストをPASSすることが条件です。 認定テストはEMVCoや先述の3つのドメインのどこにも属さない第三者の事業者によって提供されます。

3Dセキュアのシステムの開発には多くの組織/事業者が関わっているため、 仕様の確認やテスト実施等に係る関係者間の調整にも難しさを感じることが多いです。

終わりに

3Dセキュアの概要と、3Dセキュアを構成するDSシステムの開発についてなんとなく理解いただけたでしょうか。 次回の私の投稿では、3Dセキュアの認証取引の仕組みについて詳しく紹介したいと思います。

最後になりますが、JCB では我々と一緒に働きたいという人材を募集しています。 詳しい募集要項等については 採用ページ をご覧下さい。

本文および図表中では、「™」、「®」を明記しておりません。
記載されているロゴ、システム名、製品名は各社及び商標権者の登録商標あるいは商標です。

©JCB Co., Ltd. 20︎21