2023年8月7日8:30
リスクベース認証やフィッシング対策など複合的な対策で不正利用を抑止
三越伊勢丹ホールディングスの子会社であるエムアイカードは、多様化かつ高度化を続けるクレジットカードの不正利用に対し、共同利用型の不正検知システム導入などで対策を強化している。同社の不正検知の取り組みについて、業務部 セキュリティ担当 担当長 古川馨一氏に話を聞いた。
IWIのSaaS型不正検知「IFINDS」を導入
AI活用で検知精度向上へ
日本クレジット協会(JCA)の発表によると、2022年におけるクレジットカードの不正被害額は、過去最高の436.7億円となった。エムアイカードでも不正検知システムのルールの見直しなど、継続して不正対策を強化しているが、不正の手口は巧妙化しており、犯罪者とのいたちごっこが続いている。
エムアイカードでは以前インテリジェントウェイブ(IWI)の不正検知システムである「ACE Plus」を導入していた時期があった。その後、他社製品にリプレイスしたが、6月から新たにIWIが提供するSaaS型の不正検知システム「IFINDS(アイファインズ)」を導入した。また、IWIとPKSHA Technology(PKSHA)が開発したクレジットカードの不正手口に関するデータを導入社間で共有することによって、AIの検知精度を向上させ不正被害を防ぐサービス「FARIS共同スコアリングサービス Powered by PKSHA Security」のファーストユーザーとなった。古川氏は「不正の手口も巧妙化しているため、今回導入したIWIとPKSHAのモデルを活用して、抑止していく体制へのシフトを目指しています」と意気込みを見せる。
「IFINDS」導入の背景として、エムアイカードでは複数の製品を比較した結果、業界で一番採用されているシステムであることに加え、5年の投資効果を考えた際に安価に運用でき、安定して業務が遂行できるため、コストメリットが大きかったという。オンプレミスの「ACE Plus」は固定費がかかることがネックだったが、モデルの運用費用も入れて数分の1に価格を抑えることができた。また、PKSHAのAIシステムを先行して導入している大手カード会社に不正の削減効果を確認できたのも大きかった。
「IFINDS」は7月から稼働を開始しており、旧システムのトランザクションデータを機械学習のためにシステム投入している。不正検知システムのルールは人がチューニングしているが、スコアリングは日々の取り組みをもとに機械学習を用いて自動でモデル生成を行うため、直近で起きた不正取引に対するスコアが高く採点され、不正な取引を防止できる。モニタリングの数もチューニングしながら進めているが、今後、スコアリングモデルを本格的に稼働したときに負担が減ると期待する。古川氏は「不正被害がかなりの金額で発生している中、IWIからは2~3割は減った事例があるという報告をいただいているため、同様の数字が出ると期待しています。業務を行う中で、スコアリングの精度が高いという評価の声が社内から出ています」と話す。
SMS機能の導入で省人化での対応に期待
導入社共同でクレジットカード情報流出経路を特定へ
昨今、不正金額が低額化して見極めが難しい状況の中、テーマパークの入場券や鉄道チケットなどのアタックが増えており、そういった取引が真正利用を阻害している。古川氏は「現在はその確認も電話で行っていますが、他社では不正検知システムで利用を制限した際にSMSを送信し、Web上で本人利用の場合は保留解除、不正の場合はカード停止のシステムを導入しています。現在、第二フェーズとしてこの仕組みを開発すべくIWIと協議している段階です」と説明する。今後、SMS機能の導入が進めばより省人化して対応できると見ている。一方で、クレジットカードの不正対策は専門的なノウハウが求められるため、システムだけに頼ることなく、人材の育成は継続的に行っていきたいとした。
なお、共同スコアリングサービスは導入社数が増えるほど、学習データが増え精度向上につながるため、他のクレジットカード会社も採用してもらいたいと考えている。古川氏は「IWIからは、9月にもう1社の参画が決まっており、年明けに複数社が合流できると聞いています。コンソーシアムの数が増えれば、トランザクションや不正利用のデータも機械学習が進んでいきますので、参画している企業間で効果が発揮できると思います」と語る。最終的には10を超える企業が参画すれば高い影響力が発揮できるとした。
リスクベース認証、情報の共有化で成果
フィッシング被害も減少傾向に
エムアイカードでは、多様化かつ高度化を続けるカードの不正利用に対し、継続して対応を行ってきた。例えば、大日本印刷(DNP)の協力を得て、ネットワーク上でクレジット決済の不正利用を検知・判定するリスクベース認証を導入している。同認証では、不正使用された機器の情報をジェーシービー、三菱UFJニコス、トヨタファイナンスといった複数のクレジットカード会社間で共同活用している。古川氏は「共有する会社はトランザクション量が多く、不正データも集まりやすいため、不正IPアドレスやブラックリストの共有が進んでおり、売り上げデータもブロックされるため、安価な投資で大きな効果が出ています」と成果を述べる。
このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。
すでにユーザー登録をされている方はログインをしてください。