筆者が2011年2月に開催されたMobile World Congressを機に、NFCとモバイルペイメントに取材対象を絞り始めてから3年間。今年のMWC 2014はNFC+モバイルペイメントの世界で最も大きな地殻変動を感じられたイベントとなった。
MWCを主催するGSMAは主に携帯キャリアが集まった業界団体であり、MWCで発せられるメッセージも携帯キャリアの意向を強く受ける。そうした中で出されるNFC+モバイルペイメントに関するメッセージは、携帯キャリアがユーザーに提供するSIMカード内のセキュアエレメント(SE)にすべての情報を集め、これをNFCを通じて各種サービスを利用するための“ハブ”とすることだった。
「おサイフケータイ」(FeliCa)の発展強化版とも呼べる仕組みだが、こうした姿勢がキャリアの推す「SIMカード方式」と、「組み込み方式」「SDカード方式」といったSEの実装方式との対立構図を生み出し、組み込み方式での市場参入を試みたGoogle Walletとのあつれきへとつながった。また業界各社の思惑やセキュリティ上の問題などからサービス展開は遅れに遅れ、現状でもなお「NFC+モバイルペイメント」が花開いたとは言い難い。
だがこうしたなか、端末ベンダーのNFC実装は進んでおり、ハイエンド端末を中心にAndroidやBlackBerry、Windows Phoneなど、数年前と比較してNFC対応端末の種類は飛躍的に増加した。ソニーが「One Touch」をキーワードに周辺機器やAV機器との連動でNFCを主軸に打ち出し、パナソニックやSamsung電子、LGエレクトロニクスといった家電メーカーはスマートフォンと白物家電との連動を模索したりと、少しずつではあるが進展がみられる。モバイルペイメントの世界ではSquareやPayPalといった新興企業らの台頭もあり、さまざまな支払い手段が模索されるようになった。一方で、これまでかたくなな姿勢を崩さなかったGSMAでも「SEのSIMカード方式+NFCによるモバイルペイメント」という方式に必ずしもこだわらなくなり、業界全体を挙げての「(NFCも含む)モバイルペイメントの普及」を模索しつつある。今回のMWC 2014では、これが具体的なメッセージになって現れた形だ。
MWC 2014最大のキーワードは「HCE」
今回のMWC 2014で、モバイルペイメントやNFCに関して多くの関係者やエグゼクティブに取材を行い、最も話題に上ったキーワードが「HCE」(Host Card Emulation)だった。多くの方はご存じないかもしれないが、実はHCEは昨年2013年秋にリリースされたAndroid 4.4(KitKat)における最大の目玉機能の1つだ。当時はあまりフィーチャーされることがなかったが、その概要が判明するにつれ、業界内での話題となっていったようだ。
HCEとは、簡単にいえばスマートフォン上でクレジットカードの動作を擬似的にエミュレーションする機能。もともとの仕組みは2011年に設立されたスタートアップ企業の米SimplyTappによって開発されている。NFCにおける3つの機能の1つに「Card Emulation」(CE)というモードが存在するが、これは何らかの形で端末内に内蔵されたセキュアエレメント(SE)とNFCの間で通信を介在し、チップ内蔵スマートカードと同様の動作をスマートフォン上で実現している。HCEの場合、このSEは端末上には存在せず、基本的にはクラウド上に「仮想SE」のような形で認証情報が保存されている。そのため「Secure Element in the Cloud」のような表現が使われたりもする。
なぜクレジットカードのような個人情報を取り扱う仕組みでSEが利用されているのかといえば、重要なデータはハードウェアとして提供されるSEのチップ内に厳重に保管され、PINコードを使わない限りハッキングが非常に困難だからだ。決済サーバとの通信もSEチップ外では暗号化状態で行われるため、実際に通信を仲介しているスマートフォンでさえ把握できない。この、ハードウェアで担保されている安全性が大きな特徴といえる。
一方でHCEは、このSEをハードウェアでスマートフォン上に内蔵しておらず、そのデータや実体はクラウド上に存在する。スマートフォンはHCEを通じてクラウド上のSEと、クレジットカード情報等を必要とするPOSレジのNFCカードリーダーとの通信を仲介する。NFCカードリーダー側から見れば、スマートフォンのHCEは通常のSEを使ったNFC通信や、非接触カードと認識する。実際には存在していないが、あたかもSEのように振る舞う仕組みを提供するのがHCEだ。
SEが存在しないため、その代わりとなるHCEでは実際のデータがクラウド上にあるとしても、一定以上のセキュリティがスマートフォン上で動作するOSに求められることになる。そこで登場するのが、ARMプロセッサーにおける「TrustZone」だ。TrustZoneはARM 7以降のプロセッサーコアに搭載されたセキュリティ機能で、メインで動作するOSとは別にTrustZoneと呼ばれるセキュア領域を確保することができる。
AndroidなどのメインOSからはセキュア領域は認識できず、裏で動作するセキュアOSが縁の下の力持ちとしてメインOSの動作を支え、例えメインOSがマルウェアに感染したとしてもセキュアOSはその影響を受けず、動作を継続する。このセキュアOSを開発しているうちの1社がARM子会社のTrustonicで、2012年にARM、Gemalto、Giesecke & Devrient(G&D)の3社によって設立されたばかりだ。Trustonicマーケティング担当バイスプレジデントのRobert Brown氏によれば、TrustnicのセキュアOS(Trusted OS)における主なターゲットは「モバイルペイメント」「DRMによるコンテンツ保護」「(Samsung Knoxなどの)エンタープライズ用途」であり、その中でもいま最もホットで注目なのがモバイルペイメントにおけるHCEというわけだ。
ただしBrown氏によれば、セキュアOSがTrustZoneで実現するTEE(Trusted Execution Environment)はあくまで限定的なもので、ハードウェアのSEをそのまま置き換えることはないという。つまり、HCEとしての利用においてもクラウド上のSEの仲介でしかない。ここで疑問が出てくるのは、クラウドとの接続が行えないオフライン状態のとき、HCEを使って小売店での非接触通信による決済が行えるのか? という点だ。SEの実体はクラウド上に存在するため、オフラインでは当然その情報をHCEは参照できない。
だが、モバイルウォレット技術を開発するC-SAMと、クレジットカード会社のMasterCardの説明によれば、HCEでは最初のクラウドSEとの通信で「トークン」と呼ばれる仮想クレジットカード番号のようなものが発行され、以後はオフラインでもこのトークンを使ってHCEによる非接触決済が可能になるという。トークンはセキュアOS上のメモリ上に保存され、最大で3年程度、基本的にはクレジットカードを発行するイシュアーが設定した期間が有効となる。トークンは端末にひも付けられており、見た目は16桁の数字や有効期限でクレジットカード番号のようだが、番号の譲渡はできない。しかもワンタイムパスワードのように一時的な番号として機能するため、番号が盗まれた場合は即廃棄して新しい番号を発行してもらえば、本来のクレジットカード番号を変更することなく安全性が保たれる。もともとはEMVと呼ばれるチップ入りクレジットカードの仕様を応用したもののようだが、非常にうまく機能しているような印象を受ける。
関連記事
- 特集:Mobile World Congress 2014
- カナダにみるNFCとモバイルペイメントの最新事情——北米は業界トレンドのリーダーになれるか?
日本では当たり前になりつつある「おサイフケータイ」だが、海外では国によって利用できるサービスや規格などが大きく異なる。今回はカナダのオンタリオ州政府の招待により、トロント周辺エリアでNFC/モバイルペイメント技術に取り組む各社と、現地での最新事情を取材した。 - 国をまたぎ、キャリアを超えて使えるように——FeliCaとNFC、相互運用の現状
対応、非対応の端末が混在し、国をまたいだサービスの利用ができないなど課題も多いNFC/FeliCa関連サービス。こうした課題の解消に向けたソリューションが登場し始めている。 - KDDIら日・台・韓・香のキャリア4社が「ASIA NFCアライアンス」を設立
KDDI、中華電信、HKT、SKの4社が、NFC対応サービスの普及・拡大を目的とした「ASIA NFCアライアンス」を設立した。NFCタグの標準化やプラットフォームを共通化し、相互利用の拡大を目指す。 - NTTドコモの「モバイルCashbee」をソウルで使う
韓国版“おサイフケータイ”がドコモのスマートフォンで使えるようになった。ならば、ソウルで使い勝手をチェックするしかない(大義名分)。 - 「決済の世界を変えていきたい」——QRコードで決済ができる「ZNAP」提供開始
スマートフォンでQRコードを読み取ると、あらかじめ登録したクレジットカードなどで支払いができる決済サービス「ZNAP」が、六本木の「QRBAR」で提供開始された。カードや現金がなくても、スマホでスムーズかつ安全に決済できるのがメリットだ。
Copyright© 2014 ITmedia, Inc. All Rights Reserved.