ホストカードエミュレーション = 確かなクラウドベースのモバイル決済のための重要な技術

クリスチャン ダモール, プロダクト&サービスマネージャーFIME セキュリティ

 



 

スマートフォンを使用して行われるモバイル決済の増加は、減速の兆しを見せていません。 2022年までにモバイル決済は14兆ドルになると推定されています。この傾向に対応するには、クレジットカード会社や銀行、イシュアは、顧客の進化するニーズに合ったソリューションを積極的に提供する必要があります。

「Giant Pays(Google PayやApple Payなど)」をサポートするのではなく、ソリューションを完全にコントロールできるようにするために、プレイヤーが独自でモバイル決済を行うことは有益です。 つまり、ビジネスニーズに合わせて調整し、カード所有者の微妙なニーズを満たすことができます。 また、貴重な顧客データの所有権を保持し、将来の製品およびサービスの開発に活用できます。 イシュアが独自のソリューションを開始できる魅力的なオプションの1つに、ホストカードエミュレーション(HCE)があります。 HCEを使用すると、ソフトウェアを使用してAndroidデバイスをスマートカードにすることができます。トランザクションデータとカードの機密情報は、モバイルデバイス内ではなくクラウド上のサーバーに保存されます。

セキュリティの懸念を認識する

HCEソリューションは、イシュアがAndroidユーザー向けに費用対効果の高い方法で市場に参入するための優れた選択肢となります。 ただし、複雑さがないわけではありません。 NFCデバイスOS上で走るHCEアプリは、「Giant Pays」よりも脆弱な場合があります。 したがって、これらのソリューションを立ち上げる際には、プレーヤーがアプリケーションのセキュリティについて慎重に考えることが不可欠です。Android決済アプリの半分以上が3つ未満のセキュリティ機能しか実装しておらず、Androidの最小限のセキュリティ機能だけに頼ることはできません。

どの実装でも完全なセキュリティを実現することは不可能ですが、強力なセキュリティ対策を組み込むと、ハッカーがアプリケーションに侵入して機密データを取得することが難しくなります。 複数のセキュリティテクノロジーは、Androidセキュリティの懸念を軽減するための階層化戦略の一部を形成します。 

では、イシュアは、データ、お金、消費者のロイヤリティを保護するために、どのテクノロジーをHCEソリューションに適用できるでしょうか?

HCEアプリケーションをハッカーから保護する8つの主要テクノロジー

多くの場合、最初の防衛線はコードの難読化です。コードの難読化は、データを変更して、ハッカーによる読み取りを防ぎ、データーの有用性をなくします。 これにより、リバースエンジニアリングによってアプリケーションをハッキングし、アプリ内の機密情報にアクセスするために必要な労力が増加します。 次に、ルート検出は、ルートまたはローカルにインストールされたルートツールの検出に役立ち、アプリケーションが不正にアクセスされたデバイスで実行されるのを防ぎます。

改ざん防止およびコード整合性の検知は、プログラムのコードの不正な変更を検出した場合、アプリの実行を停止することでハッカーによる操作または改ざんを困難にします。 セキュリティ・バグの高度化に伴い、デバッグ防止/インスツルメンテーション防止/フック検出もセキュリティの重要なレイヤーです。 デバッグと機能の「フック」を検出します。攻撃者がランタイム動作を監視し、攻撃中にアプリを制御するために使用するデバッグと機能の「フックキング」を検出します。

デバイス・バインディングは、アプリケーションとそのデータが別のデバイスに複製されると適切に機能することを防ぎ、繰り返し認証されることを排除します。 ハードウェアセキュリティの欠如によって引き起こされるセキュリティリスクをさらに最小限に抑えることができるもう1つのセキュリティ・テクノロジは、ホワイトボックス暗号化です。 これにより、鍵がデータとコードの形式で保存されるだけでなく、ランダムなデータとコード自体の構成でキーが難読化されます。 これは、暗号アルゴリズムがわかっていて変更可能であっても、どれが元の鍵であるかを判断することは非常に難しいことを意味します。

支払いトークン化は、支払いのための機密情報を一意のトークンに変換します。このトークンは、ロックを解除できる事前定義された状況が限られているため、データをハッカーにとって役に立たないものにします。 最後に、ハードウェア保護の使用はHCE展開に必須または標準ではありませんが、一部の実装では現在、Trusted Execution Environment(TEE)テクノロジを利用してセキュリティを追加しています。 TEEは、「信頼できるアプリケーション」自身や、その機密コードおよび暗号化キーを保存するための安全で隔離された環境を提供します。

成功への道

最終的に、クレジットカード会社やイシュアは単にセキュリティコーナーをカットすることはできません。さもないと、取り返しのつかない評判や金銭的被害を引き起こす可能性のあるデータ侵害の影響を受けやすくなります。しかしながら、ソフトウェアベースおよびハードウェアベースのセキュリティ技術の階層化は複雑になる可能性があり、専門知識が必要です。 戦略的パートナーと連携することにより、クレジットカード会社や銀行はHCEソリューションを定義、設計、展開する際のベストプラクティスを得ることができ、イシュアと顧客データの保護を確保できます。 プロジェクトの初期段階から専門のパートナーにサポートを求めることは、コストに影響する遅延や途中で発生する予期せぬ問題を軽減するために、非常に重要です。

HCEが魅力的なオプションである理由、実装の課題、およびセキュリティツールを使用した攻撃に対する防御方法の詳細については、eブックをお読みください。