CAVV Issuer Authentication Keyとは、発行者が生成するCardholder Authentication Verification Value(CAVV)を作成・検証するために用いる暗号鍵である。
この鍵は、EMV(Europay, MasterCard, Visa)および3D Secure認証プロトコルにおいて、カード保有者の本人確認情報を安全に伝送し、取引の正当性を保証する役割を担う。
概要
CAVV Issuer Authentication Key は、発行銀行(Issuer)が保持する秘密鍵である。EMVや3D Secure 1.0/2.0 の認証フローでは、カード保有者の本人確認情報(例えば、デバイス情報、取引金額、トランザクション日時など)を基に CAVV を生成し、その値をカード発行者から加盟店へ送信する。
この鍵は「Issuer Authentication Key (IAK)」とも呼ばれ、発行者のハードウェアセキュリティモジュール(HSM)内で安全に保管される。CAVV Issuer Authentication Key がなければ、取引ごとに生成される CAVV を検証できず、本人確認が機能しないため、金融機関はこの鍵を厳格に管理する義務がある。
役割と機能
- CAVV の生成 – 発行者はカード保有者の認証結果(例:OTP、バイオメトリクス)を入力し、この鍵で暗号化/署名して CAVV を作成する。
- 取引検証 – 加盟店から送られた取引データとともに受け取った CAVV は、加盟店側の認証サーバーが発行者公開鍵(または共有秘密)で復号・検証し、本人確認済みであることを確認する。
- セキュリティ保証 – 鍵は暗号的に強固であり、改ざんや不正使用を防止するための基盤となる。取引ごとの一意性と有効期限が鍵によって確保される。
特徴
- 対称/非対称 – EMV では通常 3DES のような対称鍵で暗号化し、発行者は同じ鍵を使用して CAVV を検証する。3D Secure 2.0 では RSA や ECC による非対称鍵が採用されるケースもある。
- 限定的利用 – この鍵は CAVV の生成と検証にのみ使用され、他のトランザクションデータやカード情報の暗号化には使われない。
- セキュリティ要件 – 鍵長は 128bit(対称)以上、または 2048bit(非対称)が推奨され、HSM 内でのみ生成・保管される。
- キー管理プロトコル – 発行者は定期的に鍵をローテーションし、失効リストや監査ログを保持することで不正使用を検知できる。
現在の位置づけ
近年の PSD2 や Strong Customer Authentication(SCA)規制では、カード発行者が安全かつ透明な本人確認手段を提供することが求められる。CAVV Issuer Authentication Key は、これら規制下で 3D Secure 認証フローを支える不可欠要素となっている。
また、オープンバンキングや BaaS プラットフォームの拡大に伴い、API を通じたカード認証サービスが増加しているため、発行者は鍵管理とインタフェース設計を統合的に見直す必要がある。
近年ではキー管理システム(KMS)やクラウドベースの HSM の採用が進み、鍵の可用性とスケーラビリティが向上している。一方で、サイバー攻撃の高度化に対抗するため、マルチファクター認証やゼロトラストアーキテクチャを組み合わせたセキュリティ設計が推奨されるようになってきている。
続きを読むには確認が必要です
