PSD2(欧州決済サービス指令第2版)に適合したStrong Customer Authentication(確実な本人認証):利点、弱点および危険性

Frederik Mennes, 2019年9月12日

数日後の2019年9月14日、PSD2に基づく待望のStrong Customer Authentication(SCA)要件がついに発効します。 強力な顧客認証と共通の安全な通信に関する規制技術基準(RTS)で欧州委員会によって約18か月前に公開されたこれらの要件は、ヨーロッパの消費者がインターネットバンキングアプリケーションにアクセスし、eコマース購入の支払いを行う方法に影響を与えます。オープンバンキングを介してサードパーティプロバイダー(TPP)が提供する新しい金融サービスを使用します。

この記事では、PSD2でのSCAを振り返り、ヨーロッパでSCAをさらに成功させるために何がうまくいったか、何が必要かを評価します。

1)良い

PSD2は、ヨーロッパ全体で金融サービスへの認証のセキュリティレベルを高めており、金融アプリケーションの認証プロセスの強度を調和させています。PSD2のため、金融機関は弱い認証方法を段階的に廃止しています。 例としては、ユーザー名とパスワードの組み合わせのみに基づくソリューションや、TANリストやマトリックスカードなどの認証コードの印刷リストに基づくソリューションがあります。 6月21日の欧州銀行監督局(EBA)の意見で確認されているように、これらのソリューションはSCA要件を満たしていません。

PSD2は、ダイナミックリンク、モバイルアプリのデバイスバインディング、モバイルアプリケーションのシールド、トランザクションリスク分析などの高度な認証の概念が、金融サービスの標準的なセキュリティツールになることを保証します。 この点で、PSD2はEBAよりもはるかに進んでいますインターネット決済のセキュリティに関する最終ガイドライン、2015年8月1日に適用可能になり、9月14日にPSD2に置き換えられます。

また、PSD2は、ユーザーがやりたいことのリスクに合わせてユーザーの認証方法を調整する適応認証方式の採用を加速しています。 そのため、PSD2を使用すると、利便性とセキュリティの間でユーザー固有のバランスをとることができます。 このアプローチは、RTSの草案作成中のEBAのオープン性と業界関係者との緊密なコラボレーションのおかげで、RTSに含まれていました。

2)悪い

PSD2は、銀行口座へのアクセスを保護する責任を負っています。これは、口座サービス決済サービスプロバイダー(ASPSP)とも呼ばれます。 銀行は銀行口座を所有しているので、これは一見理にかなっているようです。

ただし、よく見ると、このアプローチは、次のように、オープンバンキングのコンテキストでかなりの複雑さを生み出すことが明らかになります。

  • まず、TPPアプリケーションのユーザーは2回認証する必要があります。1回目はTPPアプリケーションにアクセスするため、もう1回はTPPアプリケーションを介して特定の銀行口座を使用するためです。
  • また、特定の銀行口座の認証方法やフローは銀行によって異なります。 たとえば、銀行Aはカードリーダーと「リダイレクト」アプローチを使用して認証を実装し、銀行Bは「分離」アプローチを介してモバイルアプリを使用する場合があります。 したがって、TPPアプリケーション内のユーザーエクスペリエンスは銀行によって異なります。

結果として、平均的なTPPユーザーの全体的な認証エクスペリエンスは複雑になることが予想されます。

ただし、PSD2自体がこれを非難するものではありません。 この問題は、PSD2を超える大きな問題の結果です。つまり、検証済みの信頼できるIDに基づいて構築された汎ヨーロッパのデジタルIDシステムがないことです。 このようなシステムのインスピレーションは、スウェーデン(銀行ID)やインド(Aadhaar)などの複数の国ですでに見られます。 課題は、そのようなシステムをヨーロッパレベルで構築することです。 このようなシステムは、オープンバンキングの将来にとって重要です。シティの最近の記事これにさらなるインスピレーションを提供します。

3)醜い

PSD2のSCA要件は、将来性があり、テクノロジーに依存しないことを目的としています。 これらは、決済サービスプロバイダー(PSP)にある程度の余裕を提供します。つまり、PSPは特定の要件を最もよく満たす方法を決定できます。ただし、これにより、要件を満たす必要のあるPSPが暗闇に置かれる可能性があります。 いくつかの例:

  • ダイナミックリンクのためのSMSの使用。 EBAは、6月21日の意見で、SMSは有効な所有要素と見なすことができることを明確にしています。 より具体的には、SMSを受信するモバイルデバイスのSIMカードは有効な所有要素です。 これは、SMSを介して配信されるワンタイムパスワード(OTP)を使用して、2番目の要素(パスワードやPINなど)と組み合わせたときに強力な認証メカニズムを構築できることを意味します。 ただし、意見では、SMSを動的リンクに使用できるかどうかは明確にされていません。 実際、RTSの第5条の動的リンク要件では、認証プロセス中に支払い情報(銀行口座番号、金額など)の機密性と整合性を保護する必要があると規定されています。 SMSのコンテンツは通常保護されていないため、 SMSがダイナミックリンクの要件を満たしていません
  • モバイルアプリの安全な実行環境の作成。 RTSは、PSPがモバイルアプリを保護するために安全な実行環境を使用する必要があると述べています。 ただし、最終的なRTSでは定義されていません安全な実行環境は実際には、またはどうやって実装できます。 モバイルアプリのセキュリティの現状を考えると、この要件を満たすための最善のアプローチは、おそらく次を使用することです。アプリケーションシールド技術、オーバーレイ、コードインジェクション、キーロガーなどの脅威からアプリを保護します。

最後に、PSD2のSCA要件の施行のタイムラインは、ここ数か月でシフトし始めています。 当初、インターネットバンキングおよびeコマースアプリケーションのSCA要件は、2019年9月14日に適用される予定でした。 同じ日に、銀行がオープンバンキング用の通信インターフェースを提供するという要件が発効します。 しかし、EBAが6月21日に意見を発表して以来、締め切りはさらに細分化されています。 執筆時点での締め切りは次のとおりです。

  • 銀行がインターネットバンキングのSCAを実装する期限:2019年9月14日。ただし、期限が2020年3月14日である英国を除く。
  • eコマースのカード支払いにSCAを実装する期限:国固有の遅延が許可されます
  • 銀行がオープンバンキングインターフェースを提供する期限:2019年9月14日

結果として、異なるPSPは、SCA要件に準拠するための異なるタイムラインを持つ可能性があり、これは、複数のPSPが関与する支払いに影響を与える可能性があります。 たとえば、2019年9月14日の時点で準拠しているカード発行者と、たとえば6か月の延長を受けた取得者との間でカード支払いが実行された場合、取得者はSCAなしで支払い要求を発行者に送信できますが、 SCAが必要なため、発行者は支払いを拒否します。 結果として、発行者と取得者の両方が正しく行動しても、支払いが拒否される可能性があります。 これにより、管轄当局(CA)が調整された方法で拡張を許可する必要性が明らかに高まります。 EBAは、ここで異なるCA間のコーディネーターの役割を果たす必要があります。

1966年のセルジオレオーネの叙事詩映画では、善は金を取り、悪は死に、醜いは善の慈悲によって救われます。 映画のスクリプトがPSD2にも適用されることを期待しましょう。

PSD2:どの強力な認証およびトランザクションソリューションが準拠していますか?
白書

PSD2:どの強力な認証およびトランザクションソリューションが準拠していますか?

最終的なRTSから最も重要な要件と、要件を満たす可能性が最も高い認証ソリューションを見つけます。

今すぐダウンロード

PSD2とその強力な顧客認証要件のより詳細な分析は次のとおりです。ここで利用可能

Frederikは、OneSpanのセキュリティコンピテンスセンターを率い、OneSpanの製品とインフラストラクチャのセキュリティ面を担当しています。 彼は、クラウドおよびモバイルアプリケーションの認証、ID管理、規制、およびセキュリティテクノロジーに関する深い知識を持っています。