3Dセキュアとは

3Dセキュア とは、ネットショッピングでクレジットカード決済を利用する際に用いられる本人認証サービスのことを言います。

ネットショッピング・ECサイトでクレジットカード決済をする際は、名義人、カード番号、有効期限などのカード情報を入力する必要があります。

また、利用するサイトによっては、セキュリティコードの入力を求められる場合もあります。

クレジットカード番号の基礎知識

クレジットカードの有効期限と更新方法

クレジットカードセキュリティコードの基礎知識

さらに、ネットショップ・ECサイトが「3Dセキュア」に対応している場合は、このサービスを利用した本人確認による決済方法を利用することが可能です。

このページでは、本人認証サービス「3Dセキュア」、そして、それを実装するための新たなセキュリティ基準「PCI 3DS」について解説をしています。

3Dセキュアの詳細内容

3Dセキュア（本人認証サービス）とは、オンライン上でのクレジットカード決済の不正利用を防止することを目的に、カード発行会社が提供しているサービスです。

カード会員本人のみが把握しているパスワード・パーソナルメッセージ（合言葉）などの認証情報を利用することでセキュアな決済を可能にします。

通常、クレジットカードでネットショッピングを利用する際は、カード番号や有効期限などの情報を入力すれば、購入完了画面に遷移します。

一方、3Dセキュアを使用したネットショッピングでは、カード情報の入力画面と購入完了画面の間に、パスワードの入力を求める各カードブランドの3Dセキュア画面が表示されます。

ただし、3Dセキュアは、カード発行会社、加盟店（ネットショップ）の双方が対応していることが条件となります。

そのため、現時点では3Dセキュアに対応していないネットショップもあるということを理解しておく必要があります。

万が一、第三者が会員本人に成り済まして3Dセキュアに登録した場合でも、カード会社によっては不正利用が発覚すれば、警察に被害届を提出した上で補償を受けることが出来ます。

また、3Dセキュアによる決済システムの導入は、加盟側店にとっても不正注文の抑制策になるだけでなく、不正利用時の補償対象にもなるというメリットがあります。

「3Dセキュア認証画面」に入力するパスワードは、あらかじめカード発行会社に登録することで利用を可能にします。

また、使用するクレジットカードによっては、登録しているメールアドレスもしくはSMSにワンタイムパスワードが送付されるサービスもあります。

3Dとは

3Dとは、以下の3つのドメイン（領域）のことを指します。

イシュアドメイン
アクワイアラドメイン
相互運用ドメイン

3Dセキュアは、イシュア、相互運用、アクワイアラという3つのドメイン（領域）で構成されています。

インターネットのオンライン決済では、イシュアドメインがカード会社を認証し、アクワイアラドメインが加盟店を認証、相互運用ドメインが双方の取り引きを仲介します。

イシュアとアクワイアラの役割

イシュアドメイン

イシュアドメインとは、利用者がカード会社に登録するドメインのことを言います。

オンラインショッピング時の3Dセキュアでは、カード発行会社（イシュア）がカード使用者の本人認証を行います。

アクワイアラドメイン

アクワイアラドメインとは、加盟店が加盟店管理会社に登録するドメインのことを言います。

オンラインショッピング時の3Dセキュアでは、カード決済の支払いがなされる加盟店が契約している加盟店管理会社（アクワイアラ）によって認証が行われます。

日本では、イシュアとアクワイアラは、同一のカード会社が兼ねているケースが一般的です。

相互運用ドメイン

相互運用ドメインとは、国際ブランドによる取引データの受け渡しを行うことを目的としたドメインのことを言います。

イシュアドメインではカード発行会社（イシュア）がカード所有者認証を行い、アクワイアラドメインでは加盟店管理会社（アクワイアラ）が加盟店認証を行いますが、相互運用ドメインはその中間に位置付けられます。

これら3つのドメインが有機的に繋がり、カード利用者と加盟店の双方が確認し合うことで、重層的な不正利用防止対策を可能にします。

国際ブランド別3Dセキュア

3Dセキュアは、国際ブランド毎に呼び方が異なります。

VISA

Visaが提供する本人認証確認を「VISA認証サービス」と言います。

「VISA認証サービス」は、Visaブランドのクレジットカードを発行した金融機関を通じて、VISA認証サービス「VbV」に登録することで利用することが出来ます。

VISA（ビザ）の特徴を徹底分析

MasterCard

MasterCardが提供する本人認証確認を「MasterCard SecureCode」と言います。

Mastercardクレジットカードやデビットカードでオンラインショッピングを利用する際は、あらかじめMastercard SecureCodeサービス提供会社（イシュア）でSecureCodeを登録します。

一度、SecureCodeを設定すると、プログラムは自動的に稼動します。

MasterCard(マスターカード)の特徴を徹底分析

JCB

JCBが提供する本人認証確認を「J/Secure（ジェイセキュア）」と言います。

「J/Secure」加盟店でインターネットショッピングをする際、通常の取引情報に加え、パスワードを入力することで利用することが出来ます。

会員専用WEBサービス「MyJCB」に登録すると、自動的に登録されます。

JCB（ジェーシービー）の特徴を徹底分析

AMERICAN EXPRESS

AMERICAN EXPRESSが提供する本人認証確認を「American Express SafeKey（アメリカン・エキスプレス・セーフキー）」と言います。

「American Express SafeKey」は、「American Express SafeKey」参加加盟店でオンライン・ショッピングをする際にワンタイムパスワードを入力することで、本人認証を行うサービスです。

追加認証の際にワンタイムパスワードが送付されるため、あらかじめEメールアドレスの登録を行う必要があります。

また、事前にEメールアドレスの登録がない場合でも、「American Express SafeKey」利用時に登録することも可能です。

American Express（アメリカン・エキスプレス）の特徴を徹底分析

現時点では、Diners Clubは3Dセキュアに対応していません。

3Dセキュアの種類

現在、3Dセキュアには、Ver.1.0とVer.2.0の2種類があります。

3DセキュアVer.1.0

3DセキュアVer.1.0は、一般的な従来の仕様です。

オンラインショッピングでの支払い手続き時にクレジットカード情報を入力すると、画面遷移の後、3Dセキュアによる本人確認が要求されます。

この時、カード会員のみが把握しているパスワード（IDとセットの場合も）の入力を求められます。

本人しか知らないパスワードの入力という工程を挟むことで、カード決済のセキュリティは格段に向上します。

たとえ、悪意のある第三者にクレジットカード情報（名義人、カード番号、有効期限、セキュリティコードなど）を知られていても、3Dセキュアを破ることは難しいはずです。

しかし、セキュリティに優れる反面、3DセキュアVer.1.0にはデメリットもあります。

3Dセキュア導入によるデメリットとは、カード会員自身のパスワード忘れや手続きの煩雑さがあることです。

これにより、利用者は手続きを途中でキャンセルしてしまい、商品購入にまで至らないという問題点が生じました。

また、これはネットショップ側にとっても大きなデメリットであると言えます。

オンライン上で商品購入を取り止めてしまうことは、離脱率を上げることを意味します。

これでは、3Dセキュア導入により店側の売り上げが低下することになります。

つまり、Ver.1.0においては、セキュリティと利便性はトレードオフの関係にあると言えます。

このような3Dセキュア導入のデメリットに対処するため、Ver.2.0は開発されました。

3DセキュアVer.2.0

3DセキュアVer.2.0は、2016年10月に公開された次世代仕様です。

Ver.2.0には、Ver.1.0の仕組みに加え、「リスクベース認証」（追加認証）という機能が追加されています。

リスクベース認証とは

リスクベース認証とは、普段利用している環境（アクセス元のパソコン・ブラウザ・プロバイダ・ネットワーク環境など）と異なる環境からのアクセスに対してのみ「3Dセキュア認証画面」が表示される認証方式のこと。

機械学習を使用して、アクセスしたユーザーに多要素認証(MFA)を求めるかどうかを決定する。

3DセキュアVer.2.0が導入されているネットショップの場合、普段の利用環境からのアクセスであれば、3Dセキュア認証画面が表示されることはありません。

しかし、普段とは異なる遠隔地からのアクセスに対しては、リスクベース認証により「3Dセキュア認証画面」が表示されます。

この時、パスワードの入力を何度か失敗すると、第三者による不正利用と判断されログインが拒否されます。

これにより、第三者の不正利用を防止することが可能となります。

セキュリティ基準について

現在、「PCI 3DS」は、クレジットカード業界の新たなセキュリティ基準として注目されています。

「PCI 3DS」は、本人認証サービス「3Dセキュア」を実装するためのセキュリティ基準です。

「PCI 3DS」を理解する前に、まずは旧基準である「PCI DSS」について触れておきましょう。

セキュリティ基準「PCI DSS」

「PCI DSS」は、国際的なクレジット産業向けのデータセキュリティ基準です。

PCI DSSとは

PCI DSS：Payment Card Industry Data Security Standard（PCIデータセキュリティスタンダード）とは、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準のこと。

本来は、各国際ブランドが独自にリスク管理プログラムを運用していました。

そのため、加盟店は各ブランドの要求に応える必要がありました。

しかし、加盟店にとっては、非常に大きな負荷のかかる状況であったため、加盟店のリスクとコストに対応できる仕組みを作る必要性が求められていました。

このような経緯により、国際ブランド5社により統一されたデータセキュリティ評価基準「PCI DSS」が策定されました。

管理団体『PCI SSC』

国際ブランドは、セキュリティ基準の定義について、PCI DSS等のカード情報を統括的に管理するためのセキュリティ基準を策定している『PCI SSC』という団体に移管しました。

PCI SSCとは

PCI SSC：Payment Card Industry Security Standards Council（PCIセキュリティ標準協議会）とは、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が設立した管理団体のこと。

PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施する。

『PCI SSC』は、クレジットカードのセキュリティ基準の管理・運用を担う独立機関です。

安全性を脅かす存在の監視とセキュリティの強化を目指しています。

2017年末に、『PCI SSC』は「PCI 3DS」という新たなセキュリティ基準を公開しました。

2018年からは、プロバイダはそれに従い対応を進めていくように変更されています。

セキュリティ基準「PCI 3DS」

PCI 3DSは、Part1とPart2で構成されています。

Part1　…　主にPCI DSSの要件の一部
Part2　…　PCI 3DSの独自要件

PCI DSSに準拠している場合は、PCI 3DS要件のPart1（7要件）は適用が免除となる場合もあります。

パート	概要
P1-1：運用保守要員のためのセキュリティポリシーの整備	組織のセキュリティ方針を確立、かつ文書化し、関係者全員に配布する。
P1-2：安全なネットワーク接続	不正アクセスや脅威から3DSシステムを保護する。
P1-3：安全なシステムの開発と維持	3DEでアプリケーションおよびシステムを開発し、展開するために必要な技術を適用する。
P1-4：脆弱性管理	優れた脆弱性管理プログラムを導入する。
P1-5：アクセス管理	強力なアクセス制御により、不正なアクセスからシステムやデータを保護する。
P1-6：物理セキュリティ	強力な物理的アクセス制御により、不正な人物が3DSシステムに物理的にアクセスすることを防止する。
P1-7：インシデント対応準備	インシデント対応および潜在的な脅威へ対応する。

PCI 3DSの独自要件であるPart2の要件については下表の通りです。

パート	概要
P2-1：スコープの妥当性	PCI 3DSの対象となる全てのネットワークおよびシステムコンポーネントを特定し、文書化および検証する。
P2-2：セキュリティガバナンス	3DEおよび関連プロセスの保護のためにリスク管理や責任の割当てを行う。
P2-3： 3DSのシステムとアプリケーションの保護	3DSシステムおよび3DEをサポートするアプリケーションを保護する。
P2-4： 3Dセキュアシステムへの安全な論理アクセス	3DSシステムおよび環境への論理的アクセスを保護する。
P2-5： 3Dセキュアのデータ保護	3DS dataを保護する。
P2-6：暗号化と鍵管理	3DSエンティティの鍵管理およびHSMを保護する。
P2-7： 3Dセキュアシステムの物理的安全性	データセンター環境でACSおよびDSシステムコンポーネントを保護し、3DEに対して技術的および運用面でのセキュリティを導入する。