PSD2(欧州決済サービス指令第2版)に適合したStrong Customer Authentication(確実な本人認証):利点、弱点および危険性

Frederik Mennes, 2019年9月12日

数日後、2019年9月14日に、PSD2に基づく待望のストロングカスタマー認証(SCA)要件がついに施行されます。約18か月前に欧州委員会が強力な顧客認証と共通および安全な通信に関する規制技術基準(RTS)で発表したこれらの要件は、ヨーロッパの消費者がインターネットバンキングアプリケーションにアクセスし、eコマースの購入に支払い、オープンバンキングを介してサードパーティプロバイダー(TPP)が提供する新しい金融サービスを使用する。

この記事では、PSD2の下でのSCAを振り返り、ヨーロッパでのSCAの展開を成功させるために何がうまくいったか、何が必要かを評価します。

1)良い

PSD2は、ヨーロッパ全体で金融サービスに対する認証のセキュリティレベルを高め、金融アプリケーションの認証プロセスの強みを調和させています。 PSD2により、金融機関は弱い認証方法を段階的に廃止しています。例としては、ユーザー名とパスワードの組み合わせのみに基づくソリューション、およびTANリストやマトリックスカードなどの認証コードの印刷リストに基づくソリューションがあります。6月21日の欧州銀行庁(EBA)の意見で確認されているように、これらのソリューションはSCA要件を満たしていません。

PSD2は、ダイナミックリンク、モバイルアプリのデバイスバインディング、モバイルアプリのシールド、トランザクションリスク分析などの高度な認証コンセプトが、金融サービスの標準的なセキュリティツールになることを保証します。この点で、PSD2はEBAのそれよりもはるかに進んでいますインターネット決済のセキュリティに関する最終ガイドライン 、2015年8月1日に適用可能となり、9月14日にPSD2に置き換えられます。

PSD2は、ユーザーの認証方法をユーザーのやりたいことのリスクに合わせる適応型認証方法の採用も加速しています。そのため、PSD2は、ユーザー固有の利便性とセキュリティのバランスをとることができます。このアプローチは、RTSの起草中にEBAがオープンで業界のプレーヤーと緊密に連携したおかげで、RTSに組み込まれました。

2)悪い

PSD2は、銀行の銀行口座へのアクセスを保護する責任を負います。これは、アカウントサービス決済サービスプロバイダー(ASPSP)としても知られています。銀行は銀行口座を所有しているので、これは一見すると理にかなっているようです。

しかし、よく見てみると、このアプローチはオープンバンキングのコンテキストで次のようにかなり複雑になることが明らかになります。

  • まず、TPPアプリケーションのユーザーは、TPPアプリケーションにアクセスするために1回、TPPアプリケーションを介して特定の銀行口座を使用するために2回認証を行う必要があります。
  • また、特定の銀行口座の認証方法とフローは銀行によって異なります。たとえば、銀行Aはカードリーダーと「リダイレクト」アプローチを使用して認証を実装し、銀行Bは「分離」アプローチを介してモバイルアプリを使用する場合があります。したがって、TPPアプリケーション内のユーザーエクスペリエンスは銀行によって異なります。 

結果として、平均的なTPPユーザーの全体的な認証エクスペリエンスは複雑になることが予想されます。

ただし、PSD2自体はこれに責任があります。この問題は、PSD2を超える大きな問題、つまり、検証済みの信頼できるIDに基づいて構築された汎ヨーロッパのデジタルIDシステムが存在しないことの結果です。そのようなシステムのインスピレーションは、スウェーデン(銀行ID)やインド(Aadhaar)などの複数の国ですでに発見されています。課題は、そのようなシステムをヨーロッパレベルで構築することです。このようなシステムは、オープンバンキングの将来にとって重要です。 シティの最近の記事このためのさらなるインスピレーションを提供します。

3)醜い

PSD2のSCA要件は、将来性があり、テクノロジーに依存しないことを目的としています。彼らは支払いサービスプロバイダー(PSP)にある程度の余裕を提供します。つまり、PSPは特定の要件を満たす方法を決定することができます。 ただし、これは要件を満たす必要のあるPSPを暗闇に残す可能性があります。いくつかの例:

  • 動的リンクのためのSMSの使用 。EBAは、SMSが有効な所有要素であると見なすことができることを6月21日からの意見で明らかにしました。より具体的には、SMSを受信するモバイルデバイスのSIMカードは、有効な所有要素です。これは、SMSを介して配信されるワンタイムパスワード(OTP)を使用して、2番目の要素(パスワードやPINなど)と組み合わせると、強力な認証メカニズムを構築できることを意味します。ただし、意見では、SMSを動的リンクに使用できるかどうかは明確にされていません。実際、RTSの第5条の動的リンク要件では、支払い情報(銀行口座番号、金額など)の機密性と完全性を認証プロセス中に保護する必要があると規定しています。SMSのコンテンツは通常保護されていないため、 SMSは動的リンクの要件を満たしていません
  • モバイルアプリの安全な実行環境の作成 。RTSによれば、PSPはモバイルアプリを保護するために安全な実行環境を使用する必要があります。ただし、最終的なRTSでは、安全な実行環境が実際にある、またはどうやって実装できます。モバイルアプリのセキュリティの現状を考えると、この要件を満たす最善のアプローチは、おそらくアプリケーションシールド技術 、オーバーレイ、コードインジェクション、キーロギングなどの脅威からアプリを保護します。

最後に、PSD2のSCA要件の実施のタイムラインは、ここ数か月で変化し始めています。当初、インターネットバンキングおよびeコマースアプリケーションのSCA要件は、2019年9月14日に適用可能になります。同じ日に、銀行がオープンバンキングの通信インターフェースを提供するという要件が施行されます。しかし、EBAが6月21日に意見を発表して以来、締め切りはさらに細分化されています。現時点での締め切りは次のとおりです。

  • 銀行がインターネットバンキングにSCAを実装する期限:2019年9月14日(ただし、現在の期限は2020年3月14日である英国を除く)
  • eコマースのカード決済にSCAを実装する期限:国固有の遅延が許可されます
  • 銀行がオープンバンキングインターフェースを提供する期限:2019年9月14日

結果として、SCA要件に準拠するためにPSPごとに異なるタイムラインがあり、これは複数のPSPが関係する支払いに影響を与える可能性があります。たとえば、2019年9月14日の時点で準拠しているカード発行会社と約6か月の延長を受け取ったアクワイアラーの間でカード決済が実行される場合、アクワイアラーは発行者にSCAなしで支払い要求を送信することがありますが、SCAが必要なため、発行者は支払いを拒否します。結果として、発行者と取得者の両方が正しく行動しても、支払いが拒否される可能性があります。これにより、権限のある当局(CA)が調整された方法で拡張を付与する必要性が明らかに生じます。EBAは、ここで異なるCA間のコーディネーターの役割を果たす必要があります。

1966年のセルジオレオーネの壮大な映画では、善は金を奪い、悪は死に、醜いは善の慈悲によって救われました。映画のスクリプトがPSD2にも適用されることを期待しましょう。

PSD2:どの強力な認証およびトランザクションソリューションが準拠していますか?
白書

PSD2:どの強力な認証およびトランザクションソリューションが準拠していますか?

最終的なRTSから最も重要な要件と、要件を満たす可能性が最も高い認証ソリューションを見つけます。

今すぐダウンロード

PSD2とその強力な顧客認証要件の詳細な分析は、ここで入手可能

フレデリクはOneSpanのセキュリティコンピテンスセンターを率い、OneSpanの製品とインフラストラクチャのセキュリティ面を担当しています。彼は、クラウドおよびモバイルアプリケーション用の認証、ID管理、規制、およびセキュリティテクノロジーに関する深い知識を持っています。