委任認証とPSD2をめぐる一般的な質問と回答
金融サービス・プロバイダーが欧州でのPSD2規制の実施を来年に控える中、ペイパースは昨年秋、ネットセテラとAiteグループのウェビナーに招待された。
充実したディスカッションは非常に実りあるもので、コンプライアンスの機会と課題の両方が詳細に話し合われた。ご興味のある方は、こちらで録画の全文をご覧ください。
イベント中に寄せられた質問から3つの中心的なテーマが浮かび上がったので、委任認証、3DS2、FIDO認証、そして実装への道筋についてもう少し詳しく説明したい。
認証の委任:
まずは、ネットセテラが12月初旬に開催した最新のウェビナーをご覧ください:3dsSDKと委任認証によるチェックアウト体験の簡素化」である。このウェビナーでは、デリゲート認証とは何か、どのように実行されるかについて、より深い議論が行われている。
委任認証は新しいものであることを認識することが重要である。仕様は真新しく、委譲認証がどのように実行されるべきか、またそれが「準拠」しているかどう かに関する認証プログラムは、まだ導入されたばかりである。今後 1 年以内に、すべての大規模な加盟店は、委任認証に注目し、それを実装する方法を見つけ るだろう。
委任認証は、チャージバックの責任を加盟店からカード発行会社に移行する可能性がある。しかし、委任認証には 2 つの種類がある。最初の弱いケースでは、加盟店は発行者に「はい、このユーザを認証しました」と伝えるだけである。加盟店は、このトランザクショ ンについて強力な顧客認証の仕様に準拠していることの証明を提供しない。この味付けでは、責任を転嫁することはできない。しかし、加盟店が証明書(たとえば「FIDO blob」)を提出する場合、チャージバックの責任は加盟店ではなく発行者に移ります。
委任認証はまだ始まったばかりですが、強力な顧客認証を顧客のプロセスフローに統合するのを待つ必要はありません。結局のところ、顧客は、サインイン、新しいカードの追加、配送先住所の変更など、他の目的でも認証を必要とする。最も先見の明のある加盟店は、3DS2 に統合でき、決済ネットワークやオペレー タが詳細を検討している間でも委任認証に使用できる SCA ソリューションを今すぐ導入している。
3DS2
当初はVisaが「Verified by Visa」、その後「Visa Secure」として展開し、3DSはMastercard、American Express、その他の主要なカード発行会社が採用している。このプロトコルは、取引を検証しデータを共有するために、加盟店、カードネットワーク、金融機関を接続する。さらに、カード会員と加盟店を保護するための追加ステップが統合されています。
電子商取引の黎明期には、3DS1が導入されましたが、取引プロセスに摩擦をもたらしたため、すぐに「コンバージョンキラー」として知られるようになりました。3DS2は、強力な顧客認証要件を満たしながら、摩擦を減らすために特別に設計されました。
私たちは、Mastercard と緊密に協力して、カード発行会社による支払承認に含めるために 3DS レールに挿入できる「FIDO blob」として親しまれているものを設計しました。顧客から見ると、3DS2 認証または FIDO 認証への登録は、発行会社または加盟店(「信頼当事者」 と呼ぶ)にかなり特定されます。この登録プロセスは認証に関連していますが、実際には ID 証明のカテゴリに属します。
すべての依拠当事者は、ID クレデンシャル(ユーザー名やパスワードなど)を付与およびリセッ トするためのプロセスを持っている。通常、このプロセスにはワンタイムパスコードのSMSメッセージやJumioやOnFidoのようなサービスの利用など、何らかのID証明が含まれます。 Nok Nokは、APIを統合することで、依拠当事者がどのようなIDプルーフ・アプローチを持っていても、当社の認証ソリューションと簡単に組み合わせることができます。多くの多国籍企業と緊密に連携し、FIDO登録のためのカスタマーフローが可能な限り簡単で摩擦のないものとなるよう配慮しています。デバイスが登録されると、認証チャレンジから返された情報はすべて、発行者による支払承認のために3DSレールに挿入することができる。
ほとんどの発行会社は3DS2の準備ができているが、多くの加盟店は準備ができていない。トランザクションの大部分はまだ 3DS1 を使用しているか(それによってコンバージョンが失われている)、3DS をまったく使用していない。強力な顧客認証が必要な今こそ、そのようなテクノロジーを導入して、チェックアウトプロセスを現在の最高のテクノロジーと完全に統合する時です。
FIDO認証
FIDO認証に内在する力は、その汎用性にある。FIDO 認証では、身元を確認するために多様なバイオメトリクス・オプションを使用できる。ただし、FIDO の設計仕様では、依拠当事者はバイオメトリクス・テンプレートを保存しないことが求 められている。ここで疑問が生じる:"加盟店はどのようにして私のバイオメトリクスが私のものであることを知るのでしょうか?"
デバイス登録の段階で、依拠当事者は、デバイスと認証機能が、アカウントが登録されたク ライアントの手元にあると判断する。各依拠当事者は、異なるレベルのリスク許容度、不正防止要件、または機密データへのアクセ スレベルを有し、この事実を決定する異なる方法を展開する可能性がある。登録時、バイオメトリックテンプレートはデバイスに保存され、暗号鍵ペアが依拠当事者に登録される。 依拠当事者は公開鍵をサーバに保存し、秘密鍵は顧客のデバイスに保存する。認証者(指紋スキャナなど)は、新しいスキャンをテンプレートと照合し、秘密鍵を「アンロック」して、依拠当事者からのチャレンジに答える。
重要なことは、加盟店のような依拠当事者が、一元的に保存されたデータベースにすべての顧客のバイオメトリック・テンプレートを保持するリスクを負うことを防ぐことである。このような脆弱性は、インドのバイオメトリクスIDシステムであるAadhaarの違反などの大失敗につながっている。さらに欧州連合(EU)では、生体認証テンプレートのような個人を特定する情報を保存する場合、GDPRが潜在的な問題となる。
行動バイオメトリクスは、サイレント認証を真に普及させる可能性のある、興味深い技術の道筋である。しかし、技術の現状は、ほとんどのソリューションが行動テンプレートを中央サーバーに保存しており、FIDOプロトコルの重要な信条に違反している。とはいえ、FIDOの主要メンバーと行動バイオメトリック・テクノロジーのプロバイダーとの間では、将来的にこのモダリティを含めることにつながる可能性のある話し合いが行われている。
ソリューションの導入
私たちは皆、摩擦のない、安全性の高い決済によって、より良い、より明るい未来を望んでいる。しかし、従来の発行会社や加盟店は、このような仕組みを採用したり、導入したりすることがどれほど容易なのだろうか?幸いなことに、非常に簡単である。技術的な観点から見ると、業界はFIDOと3DS2の採用を促進するために多くのことを行ってきた。多くのグローバルバンクはすでにNok Nokと協力してログインにFIDOを導入し、取引確認など他の分野にも利用を拡大している。
カードネットワークは、発行会社、アクワイアラー、PSP、加盟店が迅速かつ効率的にこのテクノロジーに参加し、採用できるようなスキームに取り組み、3DSをリードしています。3DSレールに「FIDOブロブ」を挿入する具体的な方法は、次期3DS 2.3仕様ですでに定義されており、私たちはこの機能を提供するために、Netceteraなどのパートナーとともに複数のシステムを開発しています。
PSD2が「コンバージョンキラー」の再来になるのではと心配する向きもあるが、我々はその逆を証明する技術を開発したということだ。チェックアウト・プロセスに摩擦を加えるのではなく、顧客が認証していることに気づかないほどスムーズなプロセスを実現することが可能になりました。私たちは以前、T-モバイルの顧客に対してそれを実現しました。この技術を皆様にお届けできることを楽しみにしています。