3DS Browser Cookiesとは、3Dセキュア認証プロセスにおいてブラウザ側で保持される一時的な情報を指す。
概要
3Dセキュア(3DS)は、オンライン決済時にカード所有者の本人確認を行うための認証規格である。認証フローでは、カード情報を送信する際にブラウザが一時的に保持する情報が必要となる。これを「3DS Browser Cookies」と呼ぶ。ブラウザに保存されることで、認証サーバーとカード発行会社間の通信を継続的に行い、認証結果を安全に受け渡す役割を担う。ブラウザ側の一時保存は、セッション管理や認証ステータスの保持に不可欠であり、PCI DSS の要件に沿ったデータ処理が求められる。
役割と機能
- 認証状態の維持:カード所有者が認証画面で入力した情報をブラウザが保持し、サーバー側に送信できるようにする。
- リダイレクト時の情報伝搬:認証サーバーからカード発行会社へ、または決済ゲートウェイへリダイレクトする際に、必要なパラメータを Cookie に格納して渡す。
- 再試行・エラーハンドリング:認証失敗時に再試行を行う際、前回の入力情報を Cookie から取得し、再送信をスムーズにする。
- セッション管理:ブラウザが閉じられた場合に Cookie を破棄し、セッションを終了させることで不正利用を防止。
- コンプライアンス遵守:PCI DSS で要求される「最小権限」や「データの最小化」を実現するため、Cookie は一時的かつ限定的に使用される。
特徴
- 一時性:ブラウザを閉じるか、一定時間経過すると自動的に削除される。
- ドメイン限定:3DS 認証に関わるドメインにのみ設定され、他のサイトからはアクセスできない。
- 暗号化・署名:Cookie の値は暗号化され、改ざん防止のために署名が付与される。
- サイズ制限:ブラウザが許容する Cookie サイズ(数 KB)を超えないように設計。
- 互換性:主要ブラウザ(Chrome, Firefox, Safari, Edge)で同一の挙動を保証。
ポイント
- 3DS Browser Cookies は、カード情報そのものを保持しないため、PCI DSS の「カード情報の保管禁止」要件を満たす。
- 認証フローの途中で発生する一時データを安全に保持することで、ユーザー体験を損なわずにセキュリティを確保できる。
現在の位置づけ
近年、PSD2 の導入に伴いオープンバンキングや API 銀行が拡大している。3DS Browser Cookies は、API ベースの決済フローにおいても重要な役割を果たす。特に、モバイル決済や QR コード決済においては、ブラウザを介さずに直接アプリ内で認証を行うケースが増えるが、Web ベースの認証を行う際には依然として不可欠である。
規制面では、EU の PSD2 で要求される「強力な顧客認証(SCA)」に対応するため、Cookie を利用した認証フローが標準化されている。さらに、PCI DSS の最新版では、Cookie の暗号化や有効期限の厳格化が推奨されている。
市場では、トークナイゼーションや 3Dセキュア 2.0(3DS2)への移行が進む中、Cookie の設計も進化している。3DS2 では、ブラウザ側でのデータ保持がより細分化され、ユーザーのプライバシー保護と認証精度の両立が図られている。
続きを読むには確認が必要です
