PCI 3DS準拠への3ステップ

3Dセキュア認証（3-D Secure）

加盟店（Merchant）のECプラットフォームにおいて、支払いにクレジットカードを使用する際、消費者（Consumer）がワンタイムパスワードを入力して3Dセキュア認証（3-D Secure）を完了しなければ取引は完了しません。これは、クレジットカード取引のセキュリティをより向上させる技術です。3Dセキュア認証サービスのプロセスは、3DSサーバ（3DSS）、3DSディレクトリサーバ（DS）、3DSアクセスコントロールサーバ（ACS）の3つのシステムコンポーネントで構成されています。

3Dセキュア認証サービスの提供者

3Dセキュア認証サービスのシステムコンポーネントには3DSS、DS、ACSがあり、それぞれ次の事業者が使用します。

• 3DSSを使用するのは銀行（Bank）やアクワイアラ（Acquirer）であり、自社で3DSSを設置、管理しても、3DSソリューションを提供するサービスプロバイダ（ホスティングサービスプロバイダ）のサービスを利用してもかまいません。3DSSは加盟店に接続し、DS（カードブランド）との間で3Dセキュア認証メッセージのやりとりを行います。
• DSはカードブランド（VISA、MasterCard、JCB、Discover、American Express）が所有し、3DSSとACS間における3Dセキュア認証データのやりとりの要となる場所です。
• ACSを使用するのはイシュア（Issuer）です。3DSソリューションを提供するサービスプロバイダ（ホスティングサービスプロバイダ）のホスティングを受けることもできます。

これらのシステムコンポーネントは、EMVCoが策定した製品と機能の規格（EMV®3-D Secure-Protocol and Core Functions Specification v2.0）に合格しなければなりません。また、サービスプロバイダも、PCIセキュリティ基準審議会（PCI SSC）が策定したPCI 3DSコアセキュリティ基準（Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS, DS and 3DS Server）に準拠し、3DSシステムの運用環境およびデータのセキュリティを確保しなければなりません。

PCI 3DS審査の準備

すべての3Dセキュアプロダクト（ACS、DS、3DSS）はEMVCoの製品テストに合格した上で、各カードブランド（VISA、MasterCard、JCB、Discover、American Express）の運用テストに合格してはじめて相互運用性（Interoperability）が保証されます。また、3Dセキュア製品の運用環境のセキュリティは、PCI SSCが策定したPCI 3DSコアセキュリティ基準の認定を取得する必要があります。

PCI 3DSの審査は、PCI SSCから認定を受けたQSAによって行われます。通常は、3Dセキュア製品がカードブランドの運用テストに合格し、アクワイアラや加盟店（Acquirers、Merchants）がPCI 3DSの審査に合格してはじめて、正式にオンラインで3Dセキュアサービスを運用することが許可されます。

PCI 3DSコアセキュリティ基準はPart1とPart2に分かれています。

• Part1：3DSシステムの運用環境のセキュリティ要件（3DS Baseline Security Requirements）を定める
• Part2：3DSシステムの運用そのもののシステムのセキュリティやデータのセキュリティ要件（3DS Security Requirements）を定める

なお、決済事業者やサービスプロバイダの使用する環境、または3Dセキュアシステムが運用される環境が、すでにPCI DSSの認証を受けており、PCI 3DSの運用に必要な対象範囲がPCI DSS認定審査の対象範囲と同一である（排除項目が存在しない）場合、PCI 3DSではPart2の要件にのみ対応すればよいとされています。

PCI 3DSの審査を受ける前に、次の3つの段階で準備を進めましょう

(1)   3Dセキュアデータの保存と保護に関する要件

処理される3Dセキュア取引データは、いずれもPCI 3DSの要件に準拠していなければなりません。したがって、決済事業者やサービスプロバイダは、既存の、または運用を計画している3Dセキュアシステムのデータフローやデータの保存方法がPCI 3DS Data Matrixのデータの保存と保護に関する各要件に準拠しているかどうか、チェックする必要があります。これには認証データ、鍵データ、暗号鍵（ACS、DSに適用）の保護と保存の規定が含まれます。準拠要件において保存が禁止されているデータは、システムの取引処理プロセスにおいて非保持が徹底される必要があります。ベンダが提供または設置に協力したシステムであっても、ベンダに3Dセキュアデータの取り扱い方法を確認しなければなりません。

(2)   手順および管理の準備と実施

PCI 3DSは、決済事業者やサービスプロバイダに対し、アクセス制御ポリシーやソフトウェア開発手順等の管理ポリシーおよび管理手順を定め、3Dセキュアサービスのセキュリティ管理をPCI 3DSに準拠させるよう求めています。また、PCI 3DSでは、運用上のリスクの存在を前提として、対応するセキュリティ対策と実施レベルを定めており、リスク評価結果、ハードウェア・ソフトウェア目録、ネットワーク構成図およびデータフロー図（Network Diagrams、Data Flow Diagrams）、各テストおよび実施記録など、管理に必須の文書や記録を作成し、保存するよう求めています。

(3)   準拠に必要なテクニカルテストの実施

PCI 3DSでは以下のテクニカルテストが求められています。

• ソフトウェア・セキュリティテスト（Software Security Tests）
• 四半期に1回の内部・外部脆弱性スキャン（Vulnerability Scans）
• 毎年1回のペネトレーションテスト（侵入テスト）

これらのテストは、専門のテストプロバイダに委託しても、社内の専門技術者が行ってもかまいません。ただし、外部脆弱性スキャンは、PCI SSCから認定されたASVが行う必要があります。

PCI 3DS審査の実施

PCI 3DSの認定サービスプロバイダがPCI 3DS QSAです。リストはPCI SSCのウェブサイトで検索できます。セキュアベクターズは、現在アジア太平洋地域においてPCI 3DS審査サービスを提供している数少ないQSA企業の一つです。

審査作業は組織の規模や3Dセキュアシステムの実装方法によって異なります。一般に、審査前または審査開始段階でスコープ（対象範囲）を確認します。審査期間中は3～5日間かけてオンサイト評価（訪問審査）を実施し、さらにオフサイトで評価担当者のレポートとエビデンスをチェックします。審査完了後、QSA企業が準拠報告書（Report On Compliance、ROC）に署名し、審査を受けた事業者が準拠証明書（Attestation of Compliance、AOC）に署名すれば、認定となります。

PCI 3DSコアセキュリティ基準では毎年1回審査を受けるよう定めています。決済事業者やサービスプロバイダは、カードブランドやアクワイアラの求めに応じてAOCまたはROCを提出しなければならず、これにより、その年の審査が完了となります。