Talk

Balance Security and Usability in the Field of 3D Secure

ECサイトでクレジットカード決済を行う際にパスワードによる認証を求められたことはありませんか。

この仕組みは3Dセキュアと呼ばれる本人認証サービスであり、カードの盗用やなりすましなどの不正利用の防止に寄与しています。遡ると20年近い歴史がある3Dセキュアの本人認証ではパスワードによる知識認証が主流でしたが、近年はOTPを用いた所有物認証や指紋等による生体認証といった利便性の高い認証方法も導入されています。

一般的なWebサービスにおける認証と3Dセキュアの認証には類似点が多々ありますが、大きな違いもあります。VisaやMastercard等の持つ巨大な分散システムと連携して本人認証を行うこと、取引の金額や様々な情報をもとにリスクを判定して認証を省略するアプローチがあることです。特に後者の「セキュリティとユーザーの利便性を両立させる余地がある」というのは面白いポイントです。

このセッションでは登壇者が開発・運用を通じて知った3Dセキュアの裏側を覗き、「不正利用との戦い」とも言われるクレジットカードの歴史と創意工夫の一端に触れてみます。カード事業に携わることがなければ知ることがないであろう領域ですが、そこで活用されている技術は馴染み深いネットワークやセキュリティの応用であり、Webアプリケーション開発者にとって地続きの世界であることを実感いただけると思います。