第2回認証・決済機能を提供するプラッットフォーム

Part2 ブロードバンド時代のセキュリティ対策
第 2 回 認証・決済機能を提供するプラッットフォーム
NTT コミュニケーションズ株式会社 e スマートトラストサービス部
システム部門 部門長 日高 健治
第三者が EC システムを運用していくことが解決策の一
1.はじめに
つと思われる。今回、セキュリティ向上を目指した認
証・決済 PF 導入による EC システムの仕組みを紹介す
前回は、情報セキュリティマネジメントが企業の経営
る。
資源(人・金・物・情報)のトータルマネジメントであ
ることを紹介した。今回は EC(インターネット上での
認証・決済 PF はお金のやりとりの機能を提供するの
電子商取引)を高い信頼性で実現する認証・決済プラッ
で、高セキュリティは当然な要求条件である。要求を満
トフォーム(以下、認証・決済 PF)について解説する。
たすための個別技術および情報セキュリティマネジメン
現在、EC を実現する上で、利用の障壁になっているも
トからの配慮についても紹介する。図1は認証・決済
のの一つが悪意を持った人間によるセキュリティに対す
PF を中心とした接続構成イメージ図であり、EC を行う
る脅威である。これは、コンシューマと加盟店間の取引
プレイヤー区分モデルとして、「コンシューマ(インタ
においてはコンシューマによる取引事実の否認、加盟店
ーネット利用者、若しくはインターネット利用予定者の
によるクレジットカード番号等の悪用及び悪意の第三者
こと)」、「事業者(インターネット上で広告・銀行・証
による様々な脅威がある。図1に脅威とその発生場所を
券・公共・行政サービス等を運営し、認証・決済 PF を
示す。これらを防ぐためにはコンシューマと加盟店の間
利用する事業者のこと)」、「加盟店(インターネット上
に立ってセキュリティ技術に優れ、信頼のおける善意の
で物販・デジタルコンテンツ販売等の事業を運営し、認
コンシューマ
証・決済 PF を利用する事業者のこと)」、及
ビジネスパートナー
認証・決済PF
び「決済者(カード会社、銀行等)」、および
認証PF
ICカード等でログイン
決済PF
脅威7 取引の否認
「認証・決済 PF の構築・運営者」を想定す
銀行決済
POS
銀行
電子マネー
センター
︵脅
に認威
よ証9
る ・ 個決内
人済部
Pの
情 F人
報 のの間
悪構
用築
・
運
営
者
︶
イ
ン
タ
ー
ネ
ッ
ト
脅威1
なりすまし
脅威2 盗聴・改竄
脅威3 DoS 攻撃
脅威4 ウィルス
脅威5 踏み台
暗
号
路
脅威6
クロスサイト
スクリプティグ
図1
者を総称して図表示等便宜的にビジネスパー
トナーと表現する。
加盟店
決
済
者
クレジット
POS
クレジットカード会社
悪意のWeb
物販
サービスを安全に提供するために求められる
値サービス・信頼性確保に分けて解説する。
銀行
公共・行政
次に図1で例示した脅威1∼9を防止し、
技術や機能を認証 PF、決済 PF および付加価
広告業者
保険・証券
悪意の第三者
と位置付ける。なお、事業者、加盟店、決済
加
盟
店
リンク
ボタン
る。プレイヤー相互を接続し、認証・決済機
能を提供するサービス主体を認証・決済 PF
脅威8 加盟店による
クレジットカード
番号悪用
暗号路
認証・決済PFを利用
しているコンシューマ
決
済
者
事
業
者
etc
認証・決済 PF を中心とした接続イメージ図
2002 Vol.39 No.9
85
連載企画
(以下、FW)やリバースプロキシによって食い止めること
2.認証PF
もできる。脅威4のウィルス対策はウィルスチェッカーを
導入し常に最新の状態にアップデートすることに加え、シ
認証PFが提供すべきサービスとして、
「通常のインター
ステムデータの定期的なバックアップも必要である。脅威
ネットサイトのID/パスワード認証よりなりすまし等の防
5の踏み台攻撃はFWやリバースプロキシによって入り口
止度が高いコンシューマの本人性確認サービス」
、
「事業者
で食い止めることに加え、IDS(侵入検知システム)によ
へのコンシューマ各個人ID情報や認証結果等の安全な通知
って不審なパケットを監視・検知することも有効な対策で
サービス」
、
「予め決められたサーバーにのみアクセス可能
ある。また、IDS は脅威1∼5共通に有効な対策である。
とするアクセス制御サービス」等がある。これらを実現し、
脅威6のクロスサイトスプリクティング対策はパッチ適用
図1の脅威1∼6を防止する技術や機能として、脅威1の
に加え、“<”等の特殊文字をサーバー側で受け付けない
なりすましに対してはICカード、指紋認証等のバイオメト
仕組みとすることも有効である。
リックス等による本人認証がある。特にICカードは安全性
IC カードを利用した一連のサービスモデルを考察する
(データの暗号化が可能なためなりすまし等の偽造が困難
と、コンシューマは認証PFが提供するICカード+暗号化
であり、高い認証能力が期待できる)に加え利用形態の豊
通信でなりすまし防止度の高いログインを行う。(図2①
富さ(従来の磁気カードとは比較にならないメモリ量を持
∼④)次に認証 PF は本人認証をセキュリティ対策と合わ
つ)から脅威1の最も現実的なソリューションと考えられ
せて行い、さらにアクセス制御の後、ログインフォームに
る。また、万一なりすまし等が発生した場合にはなりすま
事業者の ID /パスワードを埋め込んだ本人認証結果通知
し保険の適用も可能である。脅威2の盗聴・改竄に対して
を暗号路経由で事業者へ送信する。(図2⑤∼⑧)事業者
はSSL等のデータ暗号化、VPNによる暗号路、専用回線等
は認証 PF からの暗号路経由の接続要求により認証を行い
の実装によって担保することが考えられる。脅威3のDoS
必要なページを表示する。(図2⑨∼⑩)なお、本モデル
攻撃(サービス不能攻撃)は OS やアプリケーションへの
は認証結果の通知パターンとしてフォーム認証で行った場
パッチ適用やバージョンアップの他、ファイアウォール
合を考察した。
PF利用のコンシューマ
1!事業者
事業者
への
への
接続要求
接続要求
3#本人の
本人の
ICカード投入
ICカード投入
認証PF
事業者
認証PFサーバー
2"事業者接続要求
事業者接続要求
(認証PFのURL/a
/))
(認証PFのURL/a/
4 暗号化通信
$暗号化通信
暗号路
インターネット
VPN
図2
5
セキュリティ対策
・FW
・FW
・リバースプロキシ
・リバースプロキシ
・IDS
・IDS
・ウィルスチェッカー
・ウィルスチェッカー
7
' アクセス
アクセス
制御チェック
制御チェック
&6
本
本
人
人
認
認
証
証
(8
本人認証
本人認証
専用線等
結果通知
結果通知
9 認証PF
)認証PF
からの
からの
接続を確認
接続を確認
10
コンシューマIDを
取得、事業者
側ID/パスワード
側ID/パスワード
暗号路
で認証
インターネットVPN で認証
/専用線
フォーム認証による認証結果通知サービスモデルのイメージ図
注)⑩の事業者側 ID /パスワードは事前に認証PFに登録している前提、またフォームとは HTML の一般的記述手法であり、
事業者側 ID /パスワードは HTML の HIDDEN パラメータで 引き渡す前提である。
86
2002 Vol.39 No.9
Part2 ブロードバンド時代のセキュリティ対策
トカード情報を登録しておくことによりショッピングが
3.決済PF
可能となる。「(2)商品配送先の追加・変更・削除」登
録済みの商品配送先情報(住所・氏名・電話番号等)の
決済 PF は、コンシューマおよび加盟店に対して、EC
を行うに際し、図1の脅威8を防止する等高いセキュリ
変更・削除が可能であり、また決済 PF のサーバーウォ
レットに複数登録(追加)できる実装とすべきである。
ティを確保しつつ、簡便に実現することが望まれる。標
「(3)クレジットカード情報の設定」コンシューマが保
準的な提供サービスとして「(1)クレジット決済サー
有するクレジットカード情報を決済 PF のサーバーウォ
ビス」
、
「(2)インターネット銀行決済サービス」、
「(3)
レットに登録・更新・削除することがパスワード認証等
電子マネーによる決済サービス」が挙げられる。ここで
により可能となる実装とすべきである。「(4)クレジッ
はクレジット決済のモデルを通じて PF として果たすべ
トカード利用履歴」コンシューマが決済 PF を通じて行
き機能を考察したい。なお、図3のモデルは⑧与信結果
ったクレジット決済の履歴一覧及び詳細履歴(注文日時、
の通知において、決済 PF から加盟店へクレジット会社
金額、加盟店名等)の参照が可能となる実装とすべきで
名・承認番号等は通知してもクレジットカード番号は通
ある。「(5)コンシューマ向けメール」加盟店が希望し
知しないといった Need To Know の原則を実装し、図1
た場合のみであるが、決済 PF は加盟店の代行として、
の脅威8を防止している。また、同じ図1の脅威7対策
ショッピング完了時の購入受付通知メール、与信取消処
として図3の⑪に示すように決済履歴は保持しておく必
理時の購入取消通知メール、売上取消処理時の購入確定
要がある。このモデルの決済 PF 構築・運営者は直接決
取消通知メール等をコンシューマに送信する機能を具備
済を行うのではなく、決済者(クレジットカード会社)
すべきである。
と提携して、加盟店の要求により行われるクレジットカ
加盟店向け機能は、「(1)専用の加盟店 IC カードの
ード会社に対するオンライン決済代行サービスを行うも
供与」加盟店の管理者が決済 PF にログインするため、
のとする。EC の将来性からこうした決済代行者(企業)
暗号路経由の ID /パスワード認証等の実装とすべきで
は今後益々増えるものと思われる。
図3は①コンシューマが商品を選択
する場面からのモデルであるが、決済
PF利用にあたってのコンシューマはあ
加盟店
Webサーバー
PF利用のコンシューマ
9 決済完了通知
(ICカード)
注文情報の送受
5
1 商品の選択
認証・決済PF
らかじめクレジットカード番号や商品
2 購入ボタン押下
配送先等の必要な情報を決済PFのサー
バーウォレットに登録しておく必要が
ある。②の購入ボタンは決済PFと連携
しており、押下後は③暗号化通信によ
8
与信結果の通知
暗号路
インターネット
VPN
3 本人認証
暗号化通信
決済PFのサーバー
4
ウォレット表示
決済PF
サーバー
ウォレット
暗号路
インター
ネット
VPN
/専用線
(セキュリティ対策として
クレジットカード番号
は通知しない)
売上計上処理
10
管理用端末
売上データ計上
共用POS
7
与信処理
る④以降の決済(代行)サービスを実
与信・売上
情報
行するものである。
次に決済 PF 利用のコンシューマ、
認証
PF
与信照会
決済NW
売上データ転送
6 注文の
最終確認
クレジットカード会社
11
決済履歴の保持
加盟店それぞれに決済 PF が提供すべ
*第三者による公証
記録が最も望ましい。
き機能を解説する。コンシューマ向
け機能としては、「(1)ショッピン
グ」コンシューマはあらかじめ決済
PF のサーバーウォレットにクレジッ
2002 Vol.39 No.9
図3
クレジット決済モデルのイメージ図
87
連載企画
ある。「(2)クレジット決済計上」決済 PF を通して行
等が第三者(悪意の)の手に落ちることとなってしまう。
われた取引に関する売上処理、与信取消処理、売上取消
そこで認証・決済PFがその高セキュリティ性を以ってメ
処理の実装。「(3)取引履歴検索・照会」決済 PF を通
モの役割を果たせば安全で利便性のあるサービスが提供
して行われた取引の履歴・ステータスの参照、また履歴
できる。認証・決済PFはコンシューマが予め入会登録済
を CSV ファイル等でダウンロードできる実装とすべき
みの各サイトのログイン用 ID /パスワード等を預かり、
である。「(4)クレジット決済通知設定」コンシューマ
コンシューマは最初に預けるための登録さえ行えば、次
向けのメール送信を決済 PF に代行させる設定、加盟店
からは例えばサイト名を選択してクリックするだけで、
向けお知らせメール配信希望設定の実装。「(5)課金対
ログイン後の CGI へ入ることができる仕組みが必要であ
象とならない試験アクセス」加入時には試験アクセスが
る。具体的には「
(1)サイト情報(ログインCGI、変数、
必要なため、課金対象とならない試験アクセス管理の実
固定値等)のDB設定」
、
「
(2)サイト情報のWeb画面表
装が必要である。「(6)緊急通知メール」決済結果が通
示」
、
「
(3)コンシューマが簡単な操作(前述の例えばサ
信異常等の理由により、加盟店 Web サーバー(図3の
イト名を選択してクリックするだけ)」、「(4)リダイレ
⑧)に通知できなった場合、加盟店に対し決済結果を送
クト画面を生成し、預かったID/パスワード等を埋め込
信する機能も具備しておくべきである。
み、ログインCGI へPost」といったものであろう。しか
次に認証・決済 PF の付加価値サービス・信頼確保に
ついて考察する。
し、ポイントとなるのはID/パスワード等を預かった後
の保管の仕組みであり、運用ポリシー、運用体制整備に
関する部分である。預けた(登録した)コンシューマに
4.付加価値サービス・信頼性確保
のみ変更・削除が可能であり、PF構築・運営者であって
も変更・削除できないシステムの構築が必須である。ま
認証・決済PFの構築・運営者は、主体である認証・決
た、変更・削除禁止を運用ポリシーに定めるべきである。
済サービスに加え、安全性を確保しつつ利便性を提供で
認証・決済PFの構築・運用者にはシステムにはこのよう
きるサービスの一例としてシングルサインオンサービス
なデータへのアクセス制御ポリシー等の他に、サーバー
がある。
サイトへの入退場ポリシー等トータルなサイトセキュリ
多くのコンシューマはいくつかのインターネットサイ
ティの構築と運用が求められる。各種運用マニュアルの
トに自らの個人情報を登録していると思われる。各サイ
整備や罰則規定は無論のこと、定期的なシステム監査の
トはID/パスワード等の変数を付与(サイトによっては
実施等をポリシーで明記すべきである。BS7799、
コンシューマが決定する場合も)し、コンシューマは各
ISO/IEC17799およびISMS等のセキュリティに関する規
サイトの会員専用ページ等にそのID/パスワード等でロ
格の認定取得は、PF構築・運用者に対してトータルセキ
グインする。これが複数サイト分となると覚えることが
ュリティについてその自覚を強く促すうえで有効な取り
厄介であるため、メモ用紙、ノート、手帳、或いはパソ
組みである。これらによって図1の脅威9を防止し、安
コン等にメモして残さざるを得ない。そして見たいサイ
全性と利便性とが最適にバランスしたサービスが提供で
トのログインページにアクセスする度、いちいちそれら
きる PF となる。加えて認証・決済 PF 構築・運営者は、
を参照し、数字や英文字を確認しながら入力する。サイ
金融サービスの担い手としての意識を持ち、FISCの点検
トが付与するID/パスワードは覚えづらいもの(当然で
基準への準拠、設備の二重化、データのバックアップ等、
あるが)となっており、その意味でもメモは手離せない。
さらなる信頼性確保にも努めることも必要である。
Cookiesが使えるサイトではその手間はないが、Cookies
はコンシューマのパソコンに記憶させるものであるため、
パソコンそのものが盗難にあった場合、ID/パスワード
88
本連載へのご意見・ご感想は、弊誌編集部TEL:03-3507-0560、
またはE-mail:[email protected]
2002 Vol.39 No.9