NTTデータは2017年11月14日、オンライン決済時にクレジットカード会社を経由してパスワードで本人確認をするシステム「3-D Secure本人認証サービス」のために同社が提供している認証システム「CAFIS BlueGateユーザー認証サービス」を強化し、カードの利用環境からなりすましのリスクを判定してカード会社に通知する「リスクベース認証」機能を開発したと発表した。2017年11月13日に提供を開始している。第1弾ユーザーとして三井住友カードでの採用が決まっている。
3-D Secure本人認証サービスは、EC(電子商取引)サイトにおいてクレジットカードで決済しようとする際に、カード利用者が本人であるかどうかを、クレジットカード会社みずから、パスワードを使って確認できるようにするシステムである。カード利用時にECサイトから3-D Secureのパスワード認証画面に遷移するので、ここでクレジットカード会社に登録しておいたパスワードを入力する。
図1●3-D Secureでリスクベース認証を利用可能に(出所:NTTデータ)拡大画像表示
CAFIS BlueGateは、3-D Secureを実現するサービスの1つで、NTTデータが提供している。今回の強化では、リスクベース認証機能を追加した。リスクベース認証とは、カード利用者の端末環境の情報をベースに、本人以外の人物がなりすましているリスクを判定し、判定結果に基づいてアクセス制御や追加認証などのアクションを起こすことを指す。
まずは、リスクが高いと判定したカード利用については、カードを利用できなくするように制御できるようにした。次回のバージョンアップでは、カードを利用できなくするだけでなく、OTP(ワンタイムパスワード)や生体認証などを追加認証として実施できるようにする。これにより、なりすましのリスクが低い場合は現状の固定パスワード認証のみ、なりすましのリスクが高い場合はパスワードに加えてOTPや生体認証などを実施できるようになる。
今後登場する次期版の3-D Secure2.0においては、標準でリスクベース認証を採用することになるという。これにより、セキュリティだけでなく、カード利用者の利便性も高める。なりすましのリスクが低い場合は現状では存在しているパスワード認証自体を実施することなくカードを利用できるようにして、リスクが高い場合に本人認証を要求するという使い方ができるようになる。
