ICキャッシュカード取引におけるセキュリティー強化の実現

掲載月：2007年6月

従来、金融機関のキャッシュカードについては磁気ストライプ型のものが数多く利用されてきました。しかしながら、近年では偽造キャッシュカードや盗難カードによる犯罪防止など、セキュリティー要件の高まりやキャッシュカードを利用した新しいサービスの提供などを目的として、ICキャッシュカードの発行が増加しています。

全国銀行協会では平成13年に金融機関相互利用など、顧客利便性確保の観点から『全銀協ICキャッシュカード標準仕様』を制定しています。具体的には国内で提供される、キャッシュカード業務とその他キャッシュカード関連業務(オンライン・デビット、オフライン・デビット、クレジットカード、カードローン等)をEMV仕様※1に準拠して規定したものとなっています。

現状ではICクレジットカードと同様に公開鍵方式でカードの真性確認が行われていますが、今後はさらなるセキュリティー強化を目指し、EMVに定義される取引データ認証(AC認証※2、Application Cryptogramの認証)の実現が重要となります。関連する金融ネットワーク・システムの対応なども含めて、数年以内には、すべての金融機関で対応が計画される見込みです。

AC認証を実現することにより、ATM、ネットワーク(連携するネットワーク・センター経由を含む)、そして取引を処理する基幹システムまでの全体を通した取引認証機能のさらなる強化が実現できます。そして、このAC認証を金融機関センターで実施するには複雑で高度な暗号関連処理が必要となります。

(仕様詳細については、上記全銀協ICキャッシュカード標準仕様およびEMV仕様をご参照ください。)
金融機関における、AC認証/ホスト認証を実施の際に、慎重な検討が必要な考慮点は下記のとおりです。

• 大規模で複雑な勘定系オンライン・システム全体としての安全性、信頼性の確保
• 発行済み、または発行予定のICキャッシュカードの管理(ロット管理、鍵管理など)
• ATM自体の機能変更(自行カード対応、他行カード対応、生態認証機能対応、変更管理など。また営業店端末機にも同様の対応が必要)
• ネットワークの検討(帯域幅、伝送遅延など)
• 外部接続ネットワーク対応の確認(統合ATM※3、CAFIS※4、コンビニATM、個別接続など)
• 障害時や災害時のシステム対応
• 共同センター、共通システムとしての対応
• システム開発・変更負荷の軽減
• テスト確認負荷の軽減
• 鍵管理などのセキュリティー機能、運用の確認
• 将来の暗号技術進歩への対応に向けた柔軟性の確保
• 二重化構成、二系統構成、多系統構成などへの対応

など多岐にわたる検討が必要となります。

IBMは長年にわたり、クレジットカード世界ブランドのお客様にセキュリティー機能を提供しております。この実績とノウハウをもって、日本の金融機関のお客様にご利用いただける、安全で効率的な、全銀協ICキャッシュカード・ホスト認証対応ソリューションをご提供します。本年後半にはご利用可能となる予定です。

ご提供形態は、お客様勘定系システム基盤ミドルウェア(SAIL、CAP/Aなど)からの呼び出し利用が可能なICカードホスト認証ツールおよび関連機能パッケージとなる見込みです。

IBM全銀協ICキャッシュカード・ホスト認証ソリューションの特長は以下のとおりです。

• 
  図 概要と考慮点 IBM System z™/zSeries® サーバーに組み込まれる高性能で経済的な暗号化機構を活用 (FIPS 140-2 レベル4の最高位セキュリティー基準に適合※5
• 実績あるEMV専用処理機能を活用
• 既存のお客様業務処理プログラムに対する影響を大幅に軽減させる実装が可能 (主な変更は、必要となる追加パラメーターの受け渡しとその対応処理)
• サーバー構成の増加や接続形態の複雑化などを伴わないシンプルな構成
• 機能の重複や複雑な連携処理を必要としないホスト一元化処理を実現
• 鍵管理機能、登録変更機能などの提供(予定)
• お客様のテスト負担を軽減するテスト・ツール、シミュレーターなどの提供(予定)

このソリューションを活用することにより、金融機関のお客様は、全銀協ICキャッシュカード・ホスト認証機能の実現をシンプルな形式で安全、かつ確実に実現可能となります。

注1 EMV仕様とは、Europay International, Mastercard International, Visa Internationalの世界3大クレジットカード・ブランドによる金融取引用ICカード関連の仕様のことであり、事実上国際的なデファクト・スタンダードとなっています。
詳細については下記URLをご覧ください。 http://www.emvco.com/ 注2 AC認証により取引ごとに異なる認証データを利用し、当該取引が真性なカードを利用して行われ、かつその取引データが改ざんされていないことを検証します。
注3 「統合ATM」は、株式会社NTTデータが提供する金融機関向けのネットワーク・サービス(正式名称 : 統合ATMスイッチング・サービス)
注4 「CAFIS」は、株式会社NTTデータが提供する金融機関向けのネットワーク・サービス(正式名称 : Credit And Finance Information System)
注5 FIPSとは米国連邦政府情報処理基準(Federal Information Processing Standards)のことであり、140-2は2001年に改定強化された暗号技術に関するセキュリティー要件。レベル4とは、そのなかで、認定アルゴリズムの実装、暗号鍵管理、物理セキュリティー、セルフ・テストなど、多岐にわたるエリアにおいて最高レベルのセキュリティー要件が実装されていること。