2021年1月13日8:00
EMV 3-Dセキュアで高度なリスクベース認証が実現
その1つがEMV 3-Dセキュアのソリューションです。3-Dセキュアの1.0バージョンがリリースされたのは、もう20年も前のことです。2000年当時の環境を振り返ると、パソコンの情報閲覧はすべてブラウザベースだったと思いますが、現在その環境は大きく変わってきています。そこで、新しい環境に合わせたEMV 3-Dセキュアがリリースされました。これも3-Dセキュア1.0と同じく、Visaだけでなくほかの国際ブランドと共通して使うことができる技術仕様になっています。
3-Dセキュア1.0との大きな違いの1 つは、認証方法です。3-Dセキュア1.0と比べて加盟店から送られてくる情報が非常に多くなっていることから、パスワード認証ではなく、これらの情報を活用したリスクベース認証を採用できることです。一部3Dセキュア1.0でもリスクベース認証を実装しているケースはありますが、EMV 3-Dセキュアでは、より高度なリスクベース認証が実現できると想定しています。
先ほども述べたように、インターネットでの決済環境は近年大きく変わってきています。モノを購入するときのモバイルアプリ利用は日常になっています。カード利用時の本人認証のシーンも、カードの加盟店サイトへの登録、EMVトークンの登録、非決済(支払い)領域での活用など拡大しています。EMV 3-Dセキュアはそういった状況を踏まえて設計されました。ユーザー体験を向上することによって、1.0で問題となっていた「スピードの遅さ」や「度重なるパスワード入力のストレス」を解消し、認証途中での「カゴ落ち」を大きく減少できるものと考えています。実際に弊社のケーススタディでは、85%の決済時間の短縮、70%のカゴ落ち減少を達成できました。
3-Dセキュアに関して、弊社ではイシュア、加盟店双方向けにそれぞれソリューションを用意しています。イシュア向けのACSサービスであるVCASと、加盟店向けの3DSサーバ(3DS1.0ではMPIサービス)であるCardinal Centinelです。これを活用した決済の流れについてご説明いたします。お客様がカード番号を入力しますと、加盟店からVisaに認証要求が出されます。3-Dセキュア1.0ではMPIと言われるもので対応していましたが、EMV 3-DセキュアではVisaグループの1つであるカーディナルコマースが提供している3DSサーバで対応いたします。
その後、Visaはイシュアに認証要求をし、イシュアがACSでリスクベース認証を行うという流れになりますが、VisaではそのACSソリューション(VCAS)もイシュア向けに提供しております。これによりリスクの高低を判断して、リスクが低ければその場で本人認証を完了してオーソリゼーションに進み、リスクが高ければチャレンジに進んで追加認証を行うか、直接拒否ということになります。このソリューションはすでに世界で2,500社以上に導入され、承認率の向上と不正比率の低下を実現しています。
続いてCybersource Decision Manager(DM)についてご説明いたします。これは加盟店向けの不正決済検知システムです。加盟店からのオーソリゼーションの前、あるいはその後に、不正か否かを判断するシステムです。これにはVisaNetとCybersourceが持っている真正取引および不正取引のデータを活用して不正検知を行っています。DMは年間12億件、2,140億米ドル[6]の不正を検知した実績を持っています。不正検知は平均600ミリ秒(0.6秒)以下という短い時間で行われます。不正検知レーダーのほか、ユニバーサルルールエンジンや案件管理システムなど、不正検知に必要なソリューションを網羅して提供しています。
DMを7年以上ご利用いただいている航空会社では、売上の向上、不正の減少、承認率の向上に大きな効果を上げています。加えて、マニュアルで行っていた確認作業のオペレーションコストを57%削減することができたということです。
[6] cybersourceデータ
Visaトークンサービスで多様な機能を提供
ここでもう一度、承認率についてお話ししておきたいと思います。対面では今、チップ取引とタッチ決済が主流になってきており、偽造できないということで承認率が非常に高くなってきています。ただEコマース取引においては、まだまだ承認率は低い水準にあります。これを改善する手段として先ほどご説明した3-Dセキュアなどがありますが、弊社としてこれから広げていきたいソリューションの1つが、トークンです。
トークンはPANから置き換えるものとご理解いただけているものと思いますが、実はそれだけではありません。Visaトークンサービスでは多様な機能を提供しています。トークンは万一盗まれてもほかで使えない、ドメインコントロールという機能を提供します。特定の加盟店でしか使えないトークンを発行することもできますし、一部のデバイスでしか使えないトークンを発行することもできます。もう1つ、トークンに求められている機能は、ライフサイクルマネジメントではないかと考えます。実際のカードの有効性とは別に、トークン独自のライフサイクルがあります。トークン情報の更新とか、新規作成、削除などです。また、カードを紛失しても、トークンを置き換える必要がないことが、トークンの魅力の1つになっています。
また、トークンにはカードアートという券面デザイン情報を利用できる機能もあります。いつもカードホルダーが利用している券面デザインをWEBに表示させることで、お客様に安心して使っていただけることもトークン活用のメリットとなります。
Visaのトークンの歩みについて簡単にご説明したいと思います。2010年代前半にいわゆる〇〇Payや○○ウォレットに付随して登場してきたトークンが、ウェアラブル、Card on File、P2Pといったかたちで浸透していった経緯がございます。Visaのトークンは、これからClick to Payなどさまざまなかたちで発展し、広がっていくのではないかと予想しています。
その他のソリューションとして、いくつかご紹介いたします。決して派手ではないですが、Visaのセキュリティを高めるための数々の取り組みです。
その1つが、Visa Payments Threat Labです。弊社のクライアントの脆弱性につながるエラーを特定したり、承認プロセスを評価を行ったり、犯罪者に悪用されうる潜在的なリスクや脅威を事前に検出し、リスクを回避する設定を可能にしています。ほかに、Vital Signsというものがございまして、潜在的な不正取引、近年は特にATMでのキャッシュアウト詐欺などのモニタリングおよび対応を行っています。
また、Risk Operationsとして、24時間365日体制でリスクを監視し、分析の結果、何か問題が発見されれば、早期警戒情報としてクライアントに提供しています。Eコマースの加盟店で顧客情報流出の可能性があればそれを早急に特定するためのサービスを提供しています。
ネットワーク・オブ・ネットワークス戦略を提唱
最後に、Visaの戦略とセキュリティについてご説明させていただきます。Visaでは今、ネットワーク・オブ・ネットワークス戦略を提唱しています。これは大きく5つの基礎的要素から成り立っています。①エンドポイントを網羅、②ネットワークを網羅、③決済保証、④信頼できる標準規格、⑤機能の分離・単体化の5つです。
1つ目は、決済・送金を行うすべての方々に対してあらゆるアクセスポイントを提供するということです。単一の接続ポイントで世の中にあるすべての決済手段に対応することを目指しています。
2つ目については、Visaは世界各国のパートナーと協業して関係を構築しながら世界最大の決済ネットワークを築き上げてきました。VisaNet以外のネットワークも含めてあらゆるネットワークを網羅していくということです。
3つ目の決済保証については、Visaで決済すれば安心・安全だということをしっかり担保していくことが重要だと考えています。
4つ目の信頼できる標準規格というのは、Visaの標準規格を通じて、ストレスフリーでセキュアで、かつ、親しみやすい資金移動・決済を提供することです。VAAスコア等もこの戦略の一部となっています。
5つ目の機能の分離・単体化は、Visaのネットワーク、あるいはソリューションを、単体で、あるいは分離して、一部をお客様に提供するということです。これらによって、取引前・中・後を通して、いかにパートナーに高い価値を提供できるかというのが、弊社のネットワーク戦略の核となる部分です。本日ご説明したセキュリティのソリューションもこの一部にもなっています。
この戦略を通して、新しいフローの構築や、パートナーシップの構築に貢献していきたいと思っております。
日本国内で今、弊社がどのような戦略を展開しているかと申しますと、キャシュレス化の推進です。施策は大きく4つあり、1つ目は安心・安全な決済の普及、2つ目は、便利でフリクションレスな決済体験の提供です。3つ目はフィンテック・プラットフォーマーとの協働、4つ目は支払・残高の可視化です。
本日ご説明いたしましたさまざまなソリューションを通して、クライアント、イシュア、アクワイアラ、加盟店の皆様とともに、国内の戦略の1つである安心・安全で便利な決済の普及に努めていく所存です。
※本記事は2020年11月13日に開催された「ペイメントカー
