2022年3月16日8:00
2,000以上の情報を用いてスコアリング
3ランクに振り分けそれぞれのフローで対応
ThreatMetrixのリスク判定の仕組みについてご説明させていただきます。ThreatMetrixでは、デバイス・位置情報、ユーザーがサイトから入力する情報、すでに弊社が持っている世界中の情報から2,000以上の情報を用いて、ルールを使い、リスク値を判定いたします。判定結果は、プラス100からマイナス100までのポリシースコアとして示されます。このスコアによってお客様が、取引を「パス」「レビュー」「リジェクト」に振り分けます。たとえばリスクが少し高い「レビュー」判定であれば、アラートをかけてメールが飛ぶようにして、そこからケース管理の機能を使って、マニュアルでトランザクションの中身をチェックしていく。どういう理由で、どのルールが引っ掛かって「レビュー」になったのかをチェックします。あるいはそのままステップアップ認証に移る設計にすることも可能です。
ThreatMetrixのタッチポイント、実際のユースケースについて簡単にご説明いたします。ThreatMetrixはいろいろなシーンでご活用いただけます。決済、ポイント交換、入出金、国内送金、チャージとさまざまです。ほかにも、会員登録、ログイン、それからログイン後の行動ですね。たとえばメールアドレスの変更、住所変更、パスワードの変更をして、それから決済をした場合、それはリスクの高いトランザクションととらえられます。そういったパターンは、ワンタイムパスワード、ステップアップ認証をかいくぐる手段として使われることが多いことが確認できているからです。決済や送金、チャージといったところだけでなく、ログインや会員登録、そのほかさまざまなタッチポイントでこういったリスクベース認証、不正検知システムを使うことによって、より効果の高い不正対策を講じていただくことができます。
ThreatMetrixが実際にどのような判定要素を使っているかといいますと、大きく4つあります。1つはデバイスです。2つ目が位置。VPN、プロキシ、TORなどを使っていないかといったこともここに含まれます。3つ目が行動や動作。ここにはたとえば、マウスの動きや、キーボードの入力操作方法、それからタッチ画面の指の太さや角度センサーといったさまざまな情報を利用しています。4つ目はデジタルIDといって、デバイスの先にいる人物にIDを振って、どういう行動をとっているか、振る舞いを検知します。
これらにはすべて、ルールを使い、さまざまなルールを組み合わせることによって、ステップアップ認証の減少であったり、コスト減少、誤検知の削減、不正被害の削減、かつ業務効率アップ、会社の信頼度アップにつなげていきます。
多くの国や地域、多くの業種で活用
年間700億件のトランザクションを処理
続いて、ThreatMetrixの活用事例をご紹介いたします。まず1つ目が、大日本印刷です。3-Dセキュア本人確認サービスと連携して、ThreatMetrixをお使いいただいています。導入の目的は、非対面カード決済における不正取引の削減、カード会社に対する不正損失の削減、誤検知を減らして真正阻害を削減でした。ThreatMetrixの導入によってこれらの目的は達成されたのですが、それとは別の取り組みもありまして、3-Dセキュア本人確認サービスを使っているカード会社でカードコンソーシアムというものを組んでいただいています。これによってどういうメリットがあるかというと、コンソーシアムに入っている企業同士で不正と真正のユーザーの情報を共有することができます。たとえばカード会社A社で不正が起きた場合、その情報をコンソーシアムに入っているカード会社全社に共有して、そのデバイスがアクセスしてきた時点でリジェクトするという対応をとります。同様に真正情報も共有して、真正阻害の削減につなげています。
次は三菱UFJニコスの導入事例になります。非対面カード決済にThreatMetrixをご利用いただいています。導入にあたってのビジネス上の要件は、不正による損失の削減、柔軟にカスタマイズ可能かつ強力なシステムであることでした。導入の効果として、不正検知率を20ポイント増加させることができました。これは結構大きなことで、ThreatMetrix導入以前から不正検知を行っていたけれども、そこからさらに20ポイント、不正検知率が向上したということです。そして、不正被害の減少により損失が削減しました。また、不正判定精度の向上により、ユーザビリティが向上したことによって、お客様自身の真正な利用阻害を削減することができました。
ThreatMetrixは年間700億件以上のトランザクションを処理しており、膨大なデータが収集されています。多くの国や地域、さまざまな業種で利用いただいておりまして、カード会社のほかにも、銀行、証券会社、暗号資産、BNPL、航空会社、チケット販売などがあります。さまざまな業種で起こった不正、海外で起こった不正のデータを弊社では持っています。ですから、たとえば海外の不正集団が日本をターゲットにしたとき、弊社はもうそのデータを持っているので、それを有効に活用できるのではないかと思っております。
※本記事は、2022年2月10日開催の「ペイメントカード・セキュリティフォーラム2022」のLexisNexis Risk Solutionsの講演の採録に加筆・修正を加えたものとなる。
■お問い合わせ先
LexisNexis Risk Solutions
〒106-0044 東京都港区東麻布1-9-15
東麻布1 丁目ビル3 階
URL:https://risk.lexisnexis.co.jp/financial-services/fraud-and-identity-management
一瀬 惇也:080-4219-6788
Junya.Ichinose@Lexisnexisrisk.com