お知らせ
お客様からよく頂くご質問をまとめてみましたのでご参考にして下さい。
該当する質問がない場合は、こちらからお気軽にお問い合わせ下さい。
-
Q:
[セキュリティ] 🔐 EMV 3-Dセキュアとは?
A:
🔐EMV 3-Dセキュア完全ガイド
オンライン決済セキュリティの新時代へ
🔐EMV 3-Dセキュアとは?
EMV 3-Dセキュアは、オンラインカード決済時に追加認証を通じてセキュリティを強化する国際標準プロトコルです。
📝基本概念
- EMV: Europay、Mastercard、Visaが開発した決済標準
- 3-D: Three Domain(3つのドメイン)- 加盟店、カード発行会社、決済処理業者
- 目的: オンラインカード決済時の本人認証強化により詐欺取引を防止
🏗️動作原理
従来のオンライン決済 vs 3-Dセキュア
❌従来の方式
- カード番号 + 有効期限 + CVC入力
- 即座に決済処理
- カード情報のみで決済完了(セキュリティ脆弱)
✅3-Dセキュア方式
- カード番号 + 有効期限 + CVC入力
- 追加認証段階実行
- 本人確認後決済完了
- 二重セキュリティで安全性大幅向上
🔄処理過程(段階別)
- 顧客が決済情報入力
- 加盟店から3-Dセキュア確認要求
- カード会社で追加認証必要性判断
- 追加認証必要時、認証ページへリダイレクト
- 顧客が追加認証完了(SMS、アプリプッシュ、生体認証など)
- 認証成功時、元の決済ページへ復帰
- 最終決済処理完了
🛡️セキュリティ強化効果
詐欺取引防止
- カード情報流出のみでは決済不可
- 本人のみが知る情報で追加認証
- リアルタイムSMS/アプリ通知で即座に検知
責任転嫁(Liability Shift)
- 3-Dセキュア認証完了 → 詐欺取引責任がカード会社へ移転
- 未認証取引 → 加盟店が損害負担
- 加盟店立場で損失リスク大幅減少
🌍バージョン別特徴
3-Dセキュア1.0(初期バージョン)
- 別途ポップアップウィンドウで認証
- 複雑なユーザー体験
- モバイル最適化不足
3-Dセキュア2.0(現在の標準)
- 滑らかなユーザー体験(ポップアップなし)
- リスクベース認証(Risk-Based Authentication)
- モバイル最適化(生体認証、アプリ内認証)
- より多くの取引情報伝達で正確なリスク評価
📱認証方法
📱SMS認証
携帯電話へ認証番号送信
最も一般的な方法📲モバイルアプリ認証
銀行/カード会社アプリでプッシュ通知
アプリ内で承認/拒否選択👆生体認証
指紋、顔認識
最新スマートフォンで対応🔢ワンタイムパスワード
ハードウェアトークンまたは
アプリ生成コード🏪加盟店観点でのメリット・デメリット
✅メリット
- 詐欺取引損失減少
- チャージバック(返金要求)リスク減少
- カード会社との関係改善
- 顧客信頼度向上
❌デメリット
- 決済放棄率増加(追加段階による)
- システム構築コスト
- 複雑な技術実装
🌏各国導入現況
🇪🇺ヨーロッパ
PSD2規制で義務化(2019年)
ほぼ全てのオンライン取引に適用🇺🇸アメリカ
段階的導入中
大型加盟店から拡散🇯🇵日本
2025年3月義務化(割賦販売法改正)
まだ導入していない業者への強い圧力🇰🇷韓国
まだ義務化されていない
一部カード会社と大型加盟店で自発的導入⚙️技術的実装方式
決済ページ → 3-DセキュアAPI呼び出し → 認証処理 → 決済完了1. SDK/API統合
直接的なAPI統合による実装
2. 決済代行業者活用
決済代行業者(PG)で3-Dセキュア機能提供、加盟店は単純に設定のみ有効化
3. 直接実装
カード会社と直接連動、高い技術力とコスト必要
🇯🇵日本における重要性
⚖️法的背景
- 割賦販売法に基づくセキュリティ対策義務
- クレジットカード・セキュリティガイドライン準拠
- 2025年3月末までの導入義務化
🏢業界への影響
- EC-CUBE利用者への緊急対応要求
- カード会社からの契約解除リスク
- 決済継続性への直接的影響
⏰対応の緊急性
- 既に法定期限経過
- 7月末までの猶予期間
- 未対応時のビジネスリスク極大
💡重要ポイント
EMV 3-Dセキュアはオンライン決済セキュリティの新しい標準となっており、初期導入コストと複雑性にもかかわらず、長期的には詐欺防止と信頼度向上に大きく貢献する必須技術です。特に日本では法的義務化により、早急な対応が求められています。
🔮将来展望
技術発展方向
- よりスマートなリスク評価(AI/ML活用)
- 生体認証拡散
- ワンクリック認証(事前登録済み機器)
グローバル拡散
- より多くの国で義務化予想
- 国際標準統一進行
- 新しい決済手段との統合
-
Q:
[セキュリティ] 独自SSL無料提供
A:
なぜ無料なの?
「Let's Encrypt」は、アメリカ合衆国の非営利団体、ISRG (Internet Security Research Group) が発行する無料SSLサーバー証明書です。
ISRGは、インターネット上で安全な通信を行う障壁を減らすことをミッションとしており、firefoxの開発で有名なモジラ財団(Mozilla Foundation)や、Cisco Systemsなど、海外の財団・企業を中心とした支援により運営されています。
ご利用条件
THEVOSサービスをお使いの方ならどなたでもご利用いただけます!
ご利用方法
サービス申し込み完了後、THEVOSでサーバーの設定時に、基本的にお申し込みいただいたドメインにインストール、設定までに完了した後、サービスが提供されるため、特別な利用方法はありません。
Facebook [ja]コメント
-
Q:
[セキュリティ] SSLはなぜ必要ですか?
A:
Point1 乗っ取り・盗聴を防止!サイト運営者も閲覧者も安心!
Point2 GoogleがSSL化を推奨。SEOにも必須!?
Point3 急速に進む、常時SSL化の流れ
Point1 乗っ取り・盗聴を防止!サイト運営者も閲覧者も安心!
インターネット上では住所やクレジットカード情報といった個人情報が頻繁にやり取りされています。
その一方で、それらの個人情報を狙うネット犯罪は後を絶ちません。
SSLを導入することで、インターネット上の通信を暗号化することが出来ます。
通信を暗号化することで悪意のある第三者による乗っ取りや改ざんを防ぐことが可能です。
サイトを閲覧するお客様の情報を守るためにも、SSLを導入し通信を暗号化しましょう。
お客様が安心して使えるサイトを運営することも、サイト管理者の責務です。Point2 GoogleがSSL化を推奨。SEOにも必須!?
検索エンジンの最大手のGoogleは2014年8月7日に公式ブログで、ウェブサイトにおけるHTTPSの有無を、検索順位の評価対象にすると発表しました。
ユーザーが安全にサイトを閲覧できるようにすることが目的で、SEO(検索エンジン最適化)の観点からも、SSLは必須の時代になったのです。
[参考]Googleウェブマスター公式ブログ「HTTPSをランキングシグナルに使用します
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.htmlPoint3 急速に進む、常時SSL化の流れ
これまでは、ログインページだけがSSL化されており、その他のページはSSL化されていない、というケースが多く見受けられました。
しかし、ログインページをSSL化しただけでは、それ以降のページにアクセスした際に、Cookieを盗聴される可能性があります。
このような危険性だけではなく、Googleを始めとした検索サイト自体が常時SSL化されていることや、複数のWebブラウザーでHTTP接続の場合には警告を出す、などの機能が検討されていることから、世の中では常時SSL化の流れが急速に進んでいます。
サイト閲覧者を守るのはもちろん、自らのサイトをよりよいものにするためにも、常時SSL化を図りましょう。今までのセキュリティ体制
常時SSL化でサイト全体を安全に保つ
Facebook [ja]コメント
Facebook [ja]コメント