2026年の決済セキュリティ環境
2026年の決済セキュリティ環境は、3つの大きな変化に直面しています。①PCI DSS v4.0.1の完全施行:2025年3月末で旧バージョンの移行猶予が終了し、すべての加盟店・PSPがv4.0.1に準拠する必要があります。②生成AIを悪用した新型詐欺の増加:ディープフェイクによる本人確認のすり抜け、AIで大量生成された合成ID(Synthetic Identity)を使った詐欺が急増しています。③サプライチェーン攻撃の高度化:ECプラットフォームのプラグインやサードパーティスクリプトを経由した情報窃取が増加し、Webスキミング対策の重要性が高まっています。
PCI DSS v4.0.1の主要変更点
PCI DSS v4.0.1で特に影響が大きい変更は4つです。①多要素認証(MFA)の要件強化:カード会員データ環境(CDE)へのすべてのアクセスにMFAを適用。②セキュリティ意識向上プログラムの義務化:全従業員に対する年次セキュリティトレーニングが必須に。③Webスキミング対策(要件6.4.3/11.6.1):決済ページに読み込まれるすべてのスクリプトの完全性を監視。④リスクアセスメントのカスタマイズドアプローチ:画一的な要件遵守ではなく、リスクに基づいた柔軟な対応が認められるようになりました。JPCCはv4.0.1に完全準拠しており、加盟店のPCI DSS対応を支援する体制を整えています。
パスキー認証と決済の未来
FIDO2/WebAuthnベースのパスキー認証が、決済の認証手段として急速に普及しています。パスキーは生体認証(指紋・顔認証)やデバイスPINで認証を行い、パスワードやワンタイムパスワードを不要にします。メリットは①フィッシング耐性が極めて高い(サイトに紐付いた公開鍵暗号方式のため)、②ユーザー体験の向上(パスワード入力不要)、③チャージバック削減(本人確認の精度が高い)。Visa・Mastercardは2025年からパスキーをEMV 3Dセキュアの認証手段として正式採用しており、2026年以降はパスキー対応が競争力の要素になります。
量子暗号化とセキュリティの将来
量子コンピュータの進化により、現在の暗号化アルゴリズム(RSA・ECCなど)が将来的に破られるリスクが指摘されています。NIST(米国立標準技術研究所)は2024年にポスト量子暗号(PQC)のアルゴリズム標準を発表し、金融業界でも移行計画が始まっています。現時点では「Harvest Now, Decrypt Later」攻撃(今のうちに暗号化データを収集し、量子コンピュータで将来解読する手法)への備えとして、暗号アジリティ(暗号アルゴリズムを容易に切り替えられる設計)を確保しておくことが推奨されています。
よくある質問(4問)
WRITTEN BY
JPCC編集部
決済ソリューション専門家。決済業界の最新動向や技術トレンドを、事業者様に分かりやすくお届けします。
REVIEWED BY
友寄 玄道(代表取締役)
ジャパンクレジットカード株式会社代表取締役。PCI DSS v4.0.1準拠環境の構築を主導。