2020年11月25日8:00
RSA Security Japanは、2020年11月24日、クレジットカード発行会社(イシュア)向けに、 リスクベースの認証を組み込んだ3-D セキュア 2.x対応のソリューション「RSA Adaptive Authentication for eCommerce」の最新版を発売すると発表した。ジェーシービー(JCB)の本人認証サービス「J/Secure 2.0」に対応し、J/Secure認定製品となっている。
アジア圏でJCBブランド対応の要求が高まる
EMV 3-D セキュアは、オンラインショッピング等でクレジットカードによる決済で用いられる本人認証サービスとなる。「RSA Adaptive Authentication for eCommerce」は、 EMV 3-Dセキュア2.xに対応したACS(Access Control Server)として機能し、クレジットカード決済のプロセスにリスクベース認証機能を提供している。これまで、同社のACSサービスは、VisaのVerified by VISA、MastercardのSecureCode Identity Check、、American Express のAmerican Express SafeKeyはサポートしていたが、「昨今、特に日本を含めたアジア圏でJCBブランド対応の要求が高まり、J/Secure 2.0に対応しました」とRSA Security Japan 事業推進部 阿部章裕氏は話す。
3-Dセキュアのバージョン2 では、非対面の不正利用対策に効果を発揮する。従来のカード番号・有効期限の基本情報とは別に、デバイス情報等の取引情報を利用したリスクベース認証を実施し、パスワード入力画面など、本人認証画面の表示を含むチャレンジ認証は必要に応じて行われる。利用者が、ネットショッピング時に使用する機器のデバイス情報や、利用者のクレジットカード利用履歴に基づいて利用者の不正使用リスクを判断。また、加盟店側の3-Dセキュアの環境と利用者の不正使用リスクレベルによっては、パスワード認証がなく取引できるため、安全性に加え、利便性を向上できるのが特徴だ。
RSA Adaptive Authentication for eCommerce は、不正検知率が高く、低いチャレンジ率(不正であるリスクが高いと判定された購買者に追加の認証を課す割合)を実現するという。それにより、カード発行会社と決済事業者は、追加の認証の適用をおよそ5%に留めることができるとしている。
グローバルな不正情報をイシュア間で共有可能
RSAでは、3-Dセキュアのソリューションを以前からグローバルで提供しており、リスクベース認証については2008年から対応していた。他社との差別化として阿部氏は「1つめは、リスクスコア、ルールベースをハイブリッドで組み合わせています。2つめは、リスクベース認証での動きとして機械学習機能のエンジンを持っています。3つめは、グローバルな不正情報をRSAを介してお客様間で共有できるRSA eFRAUDNETWORK(RSA イーフロウドネットワーク)があり、お客様があっていない不正パターンにも対応できるメリットがあります」と説明する。
すでにACSサービスとして、グローバルで40社の実績がある。RSAのリスクベース認証は、eコマースやオンラインバンキングといった業態のログインや送金チェックなどでも使われており、そこで入手した不正パターン、不正な情報も参考にしているそうだ。
大手から中堅まで幅広く対応、サービスの目標は?
サービスの提供形態はクラウドで、RSAセキュリティおよびRSAセキュリティのビジネスパートナーからを予定している。クレジットカードを発行するカード会社、デビットカードを発行する銀行など、大手から中堅のイシュアまで幅広く対応でき、価格は3-DセキュアのACSサービスを使うトランザクションの数(カード決済におけるリスク判定の数)により異なる。
6月下旬には、「J/Secure 2.0」対応を見越して、セミナーを開催。大手イシュアはすでに3-D セキュア 2.x対応を進めているケースも多いが、不正検知率の高さを生かし、将来的なリプレイスの需要を見込む。一方、中堅のイシュアは検討中のところも半数あるため、積極的に導入を進めていきたいとした。国内では先行する2社を中心にACSサービスが展開されているが、「まずは20社前後の導入を目指していきたい」とRSA Security Japan マーケティング部 部長 水村明博氏は語った。
