10分で3Dセキュアの仕組みをざっくり理解しよう

JP_Stripes 東京 Vol.22 詳解3Dセキュア 10分で仕組みをざっくり理解しよう Yu Kitazume → Okamoto Hidetaka Last updated Dec 2024

Section 2 3Dセキュアとは？

3Dセキュアとは？ 近年オンライン決済にて、不正被害額が増加 3

3Dセキュアとは？ オーソリ = AuthoriZation = Authz オーソリは、カード発行会社が、決済の承認・認可をする仕組み オーソリ マーチャント (例：EC、ショップ） カードネットワーク (例：VISA、Master、JCB） カード発行銀行 (例：三井住友銀行、楽天カード） 4

3Dセキュアとは？ 3D セキュア = AutheNtication = AuthN 3D セキュアは、カード発行会社が、決済のリスクを判断し、認証を行う仕組み 3D セキュア マーチャント (例：EC、ショップ） カードネットワーク (例：VISA、Master、JCB） カード発行銀行 (例：三井住友銀行、楽天カード） 5

3Dセキュアとは？ カード発行銀行がカード保有者の認証を行う仕組みを導入 3Dセキュアで、カード発行銀行が、認証認可を行うことができる 3D セキュア マーチャント (例：EC、ショップ） カードネットワーク (例：VISA、Master、JCB） カード発行銀行 (例：三井住友銀行、楽天カード） 承認(オーソリ) 6

3Dセキュアとは？ 毎回認証をするのは大変 1. カード情報の入力 2. 購入情報の取得 3. 追加認証 3Dセキュアなし 3Dセキュアあり(チャレンジ認証) 7

3Dセキュアとは？ フリクションレスの導入 1. カード情報の入力 2. 購入情報の取得 3. 追加認証 3Dセキュアなし 3Dセキュアあり(フリクションレス) 3Dセキュアあり(チャレンジ認証) 8

3Dセキュアとは？ カード発行会社はリスク判定ができるだろうか？ カード発行銀行 カードの情報は見えているが、購入自体は 見えていない 加盟店 購入者 9

3Dセキュアとは？ 購入者情報の非対称性 カードホルダー 本当にカードの 保有者だろうか？ カード発行銀行 カードホルダーは知っているが、個別の購 入は見えていない 加盟店 今目の前に来ているお客様のことは知るこ とができる 本人が買ってる？ 10

3Dセキュアとは？ 加盟店とカード発行会社の情報の共有が必要 情報の共有 カード発行会社 加盟店 購入者 11

Section 2 義務化へのアプローチ

義務化へのアプローチ 3種類の3Dセキュア認証パターン パターン① 加盟店のリスク判断 によりEMV 3-Dセキュア認証を行う場合 パターン② カード番号登録時 にEMV 3-Dセキュア認証を行う場合 パターン③ 決済の都度 、EMV 3-Dセキュア認証を行う場合 13

義務化へのアプローチ 3Dセキュア義務化へのアプローチ サービス側のログインで認証を行えば、認証をサービス側に委譲できる 1/ カード登録 パターン 1 2/ 都度決済時 包括的な３Dセキュアを超えるセキュリティ ＋リスクに合わせて３Dセキュア 例外 Apple Pay / Google Pay MIT(加盟店起因） パターン 2 必須 󰠖 必要に応じて Mail/Telephone デビット/プリペイド パターン 3 推奨 必須 󰠖 14

義務化へのアプローチ 3Dセキュア義務化へのアプローチ 必須ではない状況においても、リスクに応じて、3Dセキュアを実行する 1/ カード登録 パターン 1 パターン 2 2/ 都度決済時 ��♀ 包括的な３Dセキュアを超えるセキュリティ ＋リスクに合わせて３Dセキュア 必須 󰠖 ��♀ 必要に応じて 例外 Apple Pay / Google Pay MIT(加盟店起因） Mail/Telephone デビット/プリペイド パターン 3 推奨 必須 󰠖 15

義務化へのアプローチ 加盟店でのリスク評価が必要になる 情報の共有 カード発行会社 リスク評価 加盟店 購入者 16

3Dセキュアとは？ 3Dセキュア 技術的なフロー解説！ 1. カード情報をインプット 2. Fingerprintをとる 3. AuthNをリクエスト 4. (チャレンジをリクエスト) 5. AuthNの結果をリクエスト 6. AuthZをリクエスト 17

3Dセキュアとは？ 加盟店とカード発行銀行で共有する情報の質が重要 情報の共有 カード発行銀行 リスク評価 加盟店 購入者 18

3Dセキュアを正しく導入するには？ ☑ 加盟店でリスク評価を行い ☑ イシュアーと情報共有し、情報の質を上げる ☑ 義務化に対応する 19

HOW STRIPE SIMPLIFIES 3DS Stripeによる3Dセキュアの実装 クライアント Stripe サーバー 1 支払いプロセス開始 支払いモジュールの呼び込み Make a payment 3 3D Secureの ハンドリング 4 コンファーム 5 2 PaymentIntents API クライアントシークレット 3DSエンジン PamentIntents API Client SDK 6 Webhook トランザクション通知 フルフィルメント 20

RADAR FOR FRAUD TEAMS ベストプラクティス Radar - metadataの活用 Stripeでは支払いや顧客のオブジェクトに対してメタデータを付与できます。 送信されたメタデータはRadar Ruleに活用可能です 例えば以下のような情報が考えられます。 ● ● カート情報、言語設定 サービスアカウント作成からの経過時間 21

3Dセキュアを正しく導入する ☑ 加盟店でリスク評価を行い ☑ イシュアーと情報共有し、情報の質を上げる ☑ 義務化に対応する ☑ 状況を可視化し ☑ 収益の最大化する 22

Stripe 3Dセキュアの特徴 3Dセキュアのパフォーマンスをダッシュボードで分析 3Dセキュア認証の成功率/失敗率/チャレンジ 認証件数/3Dセキュアによる売上損失などの 統計データをダッシュボードで表示 3Dセキュア認証のパフォーマンス分析を 細かく行うためにカードブランド、国、通 貨、日付などのフィルター機能を提供し、 重複排除されたデータ生成も行うことで より詳細な分析が可能 23

まとめ セキュリティと収益 3Dセキュアを義務化を理解し、ベストプラクティスとして導入することによって、セキュリティに対応 し、不正を減らし、承認率、認証率が上がり、収益が上がります 25

Section 3 3Dセキュア技術解説

3Dセキュアとは？ 3Dセキュアの三つのドメインとコンポーネント ● 3DS Requestor Environment (Client, Server, Requestor) ● 3DS Integrator ● Acquirer ● Directory Server ● Directory Server Certificate Authority ● Authorization System ● Access Control Server (ACS) ● Cardholder ● Consumer Device ● Issuer 27

28

29

30

31

32

33

3Dセキュアとは？ 3Dセキュアリスククエスト時に送るデータが重要になる どの情報を送ると、カード発行会社は正しく、リスク判定ができるか 判断材料を送る リスクを測る 3Dセキュアリクエスト カード発行銀行 (例：三井住友銀行、楽天カード） マーチャント (例：EC、ショップ） 34