電子決済を安全に保ち、不正を検知する最新の手法4つ

消費者と企業がデジタルチャネルに殺到している昨今、決済代行業界が挑み続けている重要な問いがあります。「消費者や販売事業者、金融機関の資産を保護すると同時に、どのようにスムーズな購入エクスペリエンスを構築するか」という問いです。pymnts.comが公開した資料によると、調査対象となった顧客の10％が「2021年の1年間にデジタルデビットカード、またはクレジットカードの不正利用インシデントがあった」と回答しています。また各種ソーシャルメディアについても、調査対象者の8.8％が詐欺攻撃を受けたと回答しており、不正行為の温床となっていることが明らかになりました。一連の数字は比較的穏やかな水準に見えるかもしれません。しかし、米国連邦取引委員会は2019年から2020年にかけて不正な攻撃の総数が45％増加したと発表しました。J.P. Morganの調査において、2020年の1年間に消費者が標的となった不正行為と窃盗の被害額は16億米ドル相当と推計されています。

決済代行業界もこの状況に反応し、不正行為防止の最新のテクノロジーの必要性を最優先事項と位置付けています。別のある調査において、世界的なオンライン決済の不正検知市場は2028年まで15％の年平均成長率で拡大すると予測されています。この成長を担うのは、不正行為の検証、調査、判断を支援する多種多様なベンダーです。ここでは、不正に立ち向かう決済代行業界のテクノロジーを進化させる、最先端の4つの手法をご紹介します。

生体認証検知

決済代行業界にとって、生体認証は特段新しい技術ではありません。近年ではモバイルデバイスが広く浸透し、指紋や網膜、顔の認証は多数のアプリで標準的な方法となりました。瞳や紙の色など、個人の特徴を静止状態で認証する技術の精度は大きく上昇しています。しかし現状では、悪意の行為者たちがすでにエンドユーザーの写真や動画、録画を使用してサービスを出し抜く複数の方法を見つけ出しています。

そこで最新の生体検知技術開発において、悪意の行為者による金融サービスや決済代行の詳細へのアクセスを阻止するより安全な手法が編み出されました。生体検知技術は多様なトリガーを使用し、画面の前でエンドユーザーが“生きている”ことを確認します。たとえば、エンドユーザーが何らかのアクション（例：まばたき）を行う必要がある“アクティブライブネス”認証、あるいは、エンドユーザーは動く必要がない代わりにアルゴリズムを用いる“パッシブライブネス”認証などがこれに該当します。アクティブライブネス認証はより厳重なセキュリティを実現しますが、認証に時間がかかり、棄却率が上がるというトレードオフを生じます。どちらのライブネスメソッドを用いる場合も、従来の“ユーザー名とパスワード”方式に比べて高度なセキュリティレイヤーを構築することができます。

3Dセキュアプロトコルの向上

3Dセキュア（3DS）は20年以上使われており、現在も不正行為の防止と商業取引の活性化に貢献する重要なプロトコルです。このセキュリティレイヤーは、取引事業者と決済ネットワーク、金融機関を結ぶ承認データ接続を作成し、トランザクションについて豊富なインテリジェンスの共有を可能にします。しかし、旧来の3DSにはいくつかの欠点がありました。具体的には、承認システムのスピードが遅いだけでなく、ユーザーが応答し、いくつかの通知をクリックする必要があります。アメリカンエクスプレスのJ・J・キーリー氏は次のように指摘します。「取引事業者は3DSが不正行為防止に効果的なツールであることを理解していました。同時に、彼らは不正行為から保護する、すなわち取引放棄にもつながる摩擦を起こすかどうかの決断しなくてはなりません。3DSは、決して快適なエクスペリエンスではありませんでした。」

新しいバージョンとなる3DS 2.0ではこの点が考慮され、発行者がユーザーの承認に使えるトランザクション属性の数が増えています。さらに、トークンベースの認証と生体認証も使用し、静的なパスワードの要求も回避しています。このプロトコルはウェアラブルウォレットやデジタルウォレットといった最新の決済手段をサポートするだけでなく、リスク評価の精度向上にも貢献します。端的に言えば、エンドユーザーにより高速で安全な決済エクスペリエンスを提供します。

出典：Visa

バックエンドでPIIを保護する

不正行為の事案の増加は広く認識されています。消費者は現在もデジタルチャネルを怪しく思い、不正利用やID窃盗を心配しています。最近実施されたある調査において、調査対象となった消費者の55％が「念のため決済資格情報をオンラインに格納しない」と答えたほか、57％が「個人情報が適切に保護されないと感じた場合は、オンラインプラットフォームの利用を放棄すると思う」と回答しました。これはあながち無根拠な主張ではありません。平均的なオンライン事業者は、2020年の1年間に344件の不正な試みを経験しており、前年度比では24％上昇しています。

この事態を受けて、セキュリティ専門家たちはサービスやアプリ、ネットワークを悪意ある行為者から保護する新たな手法を検討しています。人工知能や機械学習など多様なツールを活用すると、脅威をすばやく停止することができます。さらに、サイバー脅威を迅速に緩和し、環境全体への包括的な可視性を提供する単体のプラットフォームへ複数のセキュリティツールを統合するメリットについて多数の企業が検討を進めています。Gartnerの評価にもある通り、Elasticセキュリティは豊富なツール群とベストプラクティス、テクノロジーを提供しています。

検索が支えるソリューション群でデータセットを拡張する

Deloitteのホワイトペーパーが示すように、世界的にデジタル化とリモート化が進み、ケースや調査の規模が拡大したことで、不正アナリストたちは広範な課題に直面しています。この問題の解決策として挙げられるのが、「より多量で良質のデータ」です。豊富なインテリジェンスの取得はセグメントの部分母集団に役立つだけでなく、行動パターンについてより完全な全体像を描くことができます。トランザクションに関連するメールや動画、SMSメッセージといった通信データは、金銭的損失が生じる前段階での不正防止に役立ちます。たとえば、インスタントメッセージやログのタイムスタンプの異常認識は、調査プロセスの改善に貢献する可能性があります。

ところが、少なからぬ不正対策チームにおいて、そのような重要なデータの可用性とインジェストスピードに制約が存在しています。このような制約は、セキュリティに複数の死角を生み出す、運用のスケールが不可能となる、あるいはインシデントの検知スピードが低速化するなどの問題を招く可能性があります。さらに、顧客の慣習が絶えず変化していることも、アノマリーの認識や迅速な反応を困難にする理由の1つです。Elasticは、時間、空間、地理、その他の属性など、あらゆる形式のデータを数秒で一元化、検索、分析することにより、このような課題の克服を支援しています。また不正対策チームにElasticの教師あり、および教師なしの機械学習を導入すると、未知の問題を表面化させたり、インシデントをより正確に監視、トリアージ、調査することが可能になります。そうした取り組みは、顧客と取引事業者、アナリストのエクスペリエンスの向上という形で結実します。

金融サービス業界でElasticを導入し、データを戦略的資産に変える方法について詳しくはこちらをご覧ください。