【図解】フォールトトレランス?フェールセーフ?違いを整理してみた
クマノくらげ
クマノブログ
3Dセキュア2.0とは?仕組みやメリットを初心者向けにわかりやすく解説
クマノくらげ
はじめに
ネットショッピングでクレジットカード決済を行う際、
- 「本人認証を行います」
- 「ワンタイムパスワードを入力してください」
- 「認証が完了しました」
と表示されたことはないでしょうか。
これは、3Dセキュア(3D Secure)と呼ばれる本人認証の仕組みである可能性があります。
近年では、従来の3Dセキュアから進化した3Dセキュア2.0が主流となっています。
この記事では、3Dセキュア2.0について、AさんとBさんの会話形式でわかりやすく解説します。
3Dセキュア2.0って何?
ネット通販で買い物をするときに、たまに認証画面が出てくるけど、あれって何?
あれは3Dセキュアという本人認証の仕組みだね。
本人認証?
クレジットカード番号が漏えいしても、第三者が勝手に使えないようにするための仕組みなんだ。
カード番号だけ知っていても買い物できなくする仕組みだね。
そう。その進化版が3Dセキュア2.0だよ。
なぜ3Dセキュア2.0が必要になったの?
2.0っていうからにはバージョンアップしたんだよね?
昔の3Dセキュアじゃダメだったの?」
旧バージョンには課題があったんだ。
毎回パスワード入力が必要になることが多くて、購入途中で面倒になって離脱する人がいたんだよ。
確かに面倒そうだね。
さらに、固定パスワードを使う方式だったから、パスワードが漏れると不正利用のリスクもあった。
セキュリティのためなのに、それ自体が弱点になることもあったんだね。
3Dセキュア2.0は何が進化したの?
じゃあ2.0では何が変わったの?
一番大きいのは、リスクベース認証を行うようになったことだよ。
リスクベース認証?
簡単に言うと、『怪しい取引だけ追加認証する』仕組みだよ。
怪しい取引だけ?どんな感じになるの?
例えば、いつも使っているスマホから、いつもと同じ地域で、いつもと同じような金額の買い物をした場合。
普通の買い物だね。
その場合は追加認証なしで通ることもある。
えっ、認証しないの?
裏側では認証しているけど、利用者に追加操作を求めないんだ。
なるほど。
逆に、海外から突然アクセスされたり、高額商品を購入したりすると、追加認証を要求する場合がある。
怪しい時だけ本人確認を強化するんだね。
3Dセキュアの「3D」って何?
ところで3Dは何を表すの?
3D映像とかとは違うんだよね?
そうだね。
3Dセキュアの「3D」は3つのドメイン(領域)を意味するよ。
- カード利用者(Issuer Domain)
- 加盟店(Acquirer Domain)
- カードブランド(Interoperability Domain)
この3者が連携して認証を行うため、「3D Secure」と呼ばれているんだ。
3Dセキュア2.0の仕組み
実際にはどんな流れで動いているの?
簡単に言うとこんな流れだね。
- 利用者がカード決済を行う
- カード会社へ認証情報が送られる
- リスク判定を実施する
- 問題なければそのまま決済
- 必要な場合のみ追加認証を実施
毎回ワンタイムパスワードを入力するわけじゃないんだ。
そこが2.0の大きな特徴だね。
追加認証では何が使われる?
追加認証って何をするの?
カード会社によって違うけど、代表例はこんな感じだね。
| 認証方法 | 内容 |
|---|---|
| ワンタイムパスワード | SMSやアプリで送信 |
| 生体認証 | 指紋認証や顔認証 |
| アプリ認証 | カード会社の専用アプリで承認 |
| メール認証 | 登録メールアドレスで確認 |
昔の固定パスワードより安全そう。
その通り。だから不正利用対策として効果が高いんだ。
3Dセキュア2.0のメリット
不正利用を防ぎやすい
やっぱり一番の目的は不正利用対策?
そうだね。カード番号が漏れても本人確認が入ることで、不正利用を防ぎやすくなる。
利用者の負担が減る
でも認証が増えると面倒じゃない?
2.0は必要な時だけ追加認証するから、利用者の負担が少ないんだ。
安全性と利便性の両立を目指しているんだね。
スマートフォンとの相性が良い
指紋認証や顔認証にも対応しやすいよ。
最近のスマホ向けに進化した感じだね。
3Dセキュア2.0のデメリット
認証で購入が中断されることがある
追加認証が必要になると、購入手続きが少し長くなる。
急いでいる時は少し面倒だね。
認証方法の登録が必要な場合がある
カード会社によっては、事前にSMSやアプリ認証の設定が必要になることもある。
設定していないと困る場合もあるんだね。
ECサイト運営者にとってのメリット
利用者だけじゃなくて、お店側にもメリットがあるの?
あるよ。お店側のメリットはこんな感じ。
不正注文の減少
チャージバック(売上の取り消し)や不正利用被害を減らしやすくなるよ。
クレーム対応とかも抑えられそうだね。
信頼性向上
安全な決済環境を提供できるから、利用者も安心しやすいね。
信頼できる根拠があった方が利用しやすいもんね。
カード会社の要件対応
近年は3Dセキュア対応を推奨・必須化する流れも進んでいるんだ。
対応していないと利用できないんだね。
試験対策としてのポイント
情報処理技術者試験やセキュリティ関連資格では、電子決済や本人認証の文脈で登場することがあります。
覚えておきたいポイントは次の通りです。
| 用語 | 内容 |
|---|---|
| 3Dセキュア | クレジットカード決済時の本人認証 |
| 3Dセキュア2.0 | リスクベース認証を採用した新方式 |
| ワンタイムパスワード | 一度だけ利用できる認証コード |
| 生体認証 | 指紋や顔を利用した認証 |
| 不正利用対策 | 3Dセキュア導入の主な目的 |
よくある誤解
3Dセキュア2.0は毎回認証するわけではない
2.0になったら安全にするために、認証回数が増えたって覚えればいい?
そんなことないよ。安全と判断された取引は追加認証なしで通ることが多いんだ。
そうだった、毎回パスワードを入力するわけではなかったよね。
カード番号漏えいを完全に防ぐ仕組みではない
3Dセキュア2.0に対応していれば安全なんだよね?
残念ながら絶対ではないんだ。
じゃあ何を防ぐの?
カード番号が漏れた後の不正利用を防ぎやすくする仕組みなんだ。
まとめ
3Dセキュア2.0とは、クレジットカード決済時に本人確認を行うための仕組みです。
従来の3Dセキュアよりも利便性が向上し、必要な場合のみ追加認証を行うリスクベース認証を採用しています。
最後にポイントを整理します。
| 項目 | 内容 |
|---|---|
| 正式名称 | 3D Secure 2.0 |
| 主な目的 | クレジットカードの不正利用防止 |
| 特徴 | リスクベース認証 |
| 追加認証 | 必要な場合のみ実施 |
| 認証方法 | SMS、アプリ、生体認証など |
| メリット | 安全性向上、利便性向上 |
| 覚え方 | 怪しい取引だけ本人確認を強化する仕組み |
3Dセキュア2.0は、怪しい取引だけしっかり本人確認する賢い仕組みなんだね。
その理解でバッチリ。安全性と使いやすさを両立するために進化した認証技術なんだよ。
ABOUT ME
難しいIT用語やビジネス用語を、できるだけ身近な例えで解説するブログです。
「専門用語を見ると眠くなる人」でも読めるように、画像や会話形式を多めにしています。
AWS12冠達成済み。
