カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 金融情報Navi

業界横断的な不正対策に向けたインテリジェントウェイブ（IWI）の取り組み（上）

2023年3月22日8:10

30年近くにわたり、主にイシュア（カード発行会社）向けに不正検知システムを開発・提供してきたインテリジェントウェイブ（IWI）は、クレジットマスター対策の機能拡充、AI（人工知能）を活用した不正対策機能の強化など、カード不正被害削減に向けたさまざまな取り組みを行っている。近年深刻化している不正利用被害に対し、業界一丸となって対策を推進するべく、IWIが力を入れている共同利用型カード不正対策サービス、および、カードセキュリティ関連ソリューションを紹介する。（2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より）

株式会社インテリジェントウェイブ
営業本部　決済ソリューション営業部　部長　加藤涼介氏
第二システム本部　第二部　部長　夏目康秀氏

決済領域で40年間、事業を展開
オンプレ、クラウド双方のニーズに対応

インテリジェントウェイブ（以下、IWI）の加藤です。まずはじめに会社概要を紹介させていただきます。われわれは東京都中央区に本社を構え、北海道函館市に技術センターを設置しています。約450名の従業員がおり、うち8割が技術者という、技術者集団です。さらに同数程度のパートナーの技術者に入っていただいて、1,000名弱でソリューションの開発を行っています。沿革としては、1984年に会社を設立し、2001年にJASDAQに株式上場いたしまして、2010年に大日本印刷のTOBを受けて連結子会社化し、現在に至っております。

株式会社インテリジェントウェイブ営業本部　決済ソリューション営業部　部長　加藤涼介氏

事業内容ですが、カードビジネス事業、証券システム事業、セキュリティシステム事業、そして新規事業の大きく4つの柱で事業を展開しています。カードビジネス事業としては、クレジットカード決済が行われる際に使われるネットワーク接続の仕組みであったり、リアルタイムの不正検知のシステムを提供。セキュリティシステム事業では、自社製品だけでなく、海外のソリューションも多数ラインナップして提供しております。事業全体のうちの8割方が、決済システム関連です。今回は決済関連システムと、2003年から開始したセキュリティ事業をご紹介できればと思っております。

われわれのペイメント領域の事業について紹介させていただきます。創業以来、提供してきたのが、「NET＋1」（ネットプラスワン）と「ACEPlus」（エースプラス）という2つのシステムです。「NET＋1」は決済ネットワーク接続・オーソリシステムです。クレジットカード決済を行うときに、各プレーヤーは国内のネットワークやブランドネットワークと接続する必要があります。その24時間365日止められない接続の仕組みを、自社開発で提供しています。日本で行われている決済の多くは、「NET＋1」をどこかしらで通過しています。もう1つの「ACEPlus」は、主にイシュア向けの、リアルタイムの不正判定システムです。ルールベースの仕組みとAIのスコアリングの2つを軸に、カード決済が行われるタイミングで瞬時に第三者利用か否かを判定します。

5～6年前からクラウド化の波が加速したことに対応し、われわれもASP型のシステムを強化してきました。これには3つありまして、1つが「IOASIS」（アイオアシス）というアクワイアリング（加盟店開拓事業）のASPです。従来のプレーヤーに加えて、地方銀行など独自の経済圏を持っている企業が自社でライセンスを取得してアクワイアリングを始める動きが活発です。そういった場合、ゼロからシステムを構築するには膨大な費用と時間がかかりますので、オーソリと基幹をすべて搭載したこのシステムを利用してアクワイアリング事業を開始していただくことをお勧めしています。2つ目が「IGATES」（アイゲイツ）という決済ネットワーク接続のASPサービスです。「NET＋1」の機能をネットワーク接続に特化して提供しているもので、チャレンジャーバンクなどのスタートアップや、スマホアプリ開発などの新しい事業に取り組んでいる企業に利用していただいています。3つ目が「IFINDS」（アイファインズ）で、「ACEPlus」の機能のすべてをASP型で提供するものです。

昨年JCB、PKSHAとの協業を相次いで発表
優れた海外セキュリティ製品を国内に紹介

データの共同利用ということで、われわれは2つの取り組みを発表させていただいております。1つはJCBとともに発表した「セキュリティーコンソーシアム」の取り組みです。業界横断的にデータやノウハウを活用して、不正対策を強化していくというものです。もう1つが、国内随一のAIアルゴリズムベンダーでありますPKSHA Technologyとの協業によって、AIによる判定を高度化し、不正対策を強化する取り組みです。こちらは後半でも詳しく紹介させていただきます。

われわれはセキュリティ事業として、事前対策、検知、対応、防御の各観点からソリューションを取り揃えております。その1つに、自社開発の内部情報漏えい対策ソリューション「CWAT」があります。これはパソコンの操作を見張って、情報流出を止めるというものです。これに加えてここ5～6年は海外製品の紹介にも力を入れています。組織内部からの情報漏えいのみならず、外部からのサイバー攻撃も視野に入れて、セキュリティ先進国のイスラエルやアメリカの優れたソリューションを選別してラインナップしています。

その中から、ペイメント領域に関連するソリューションを2つご紹介したいと思います。1つは、ISIAというフィッシングドメイン報告サービスです。これはアメリカのRecorded Future社の製品です。膨大な脅威インテリジェンス情報をもとに、フィッシングドメインの作成を検知して報告するというもので、テイクダウンのオプションもあります。

もう1つは、Keypasco MFAというデバイス所持認証のサービスです。多要素認証の中でも特に強固なデバイス所持認証を提供しており、フィッシング被害に遭ってしまったあとに、犯罪者がそれを利用しようとしても使えない状態をつくります。これは、台湾のLydsec Digital Technology Co., Ltd.が提供しているソリューションです。カードの不正利用が行われるタイミングで、3Dセキュアとの組み合わせによって認証エラーを出すといったもので、台湾の銀行などで使われています。また、フィッシングなどで会員サイトのアカウントを盗まれた場合にも、ログインに多要素認証を採り入れることで不正アクセスを防ぎます。フィッシングに関しては、本人が情報を盗まれたことに気づいていないケースもありますので、ログインや認証のタイミングで本人のデバイスに通知して、気づきを与えるというフローになっています。

このKeypasco MFAのシステム配置ですが、PCからログインを試みた場合、サーバーからさらにKeypascoのサーバーに行って、あらかじめ登録されたデバイスに対して認証をかけるという流れになっています。Keypasco MFAの特性としましては、登録したデバイスかどうか、あるいはそのデバイスを近くに持っているかどうかを確認するためにデバイスフィンガープリントを使っています。それに加えて位置情報や時間情報、それからデバイスにさらにICカードをかざして認証させるという複合的な認証をしたり、ルールベースのリスクエンジンなどを組み合わせて、非常に強固な認証を行います。

たとえばワンタイムパスワードの場合、SMSで通知をするのでそこに盗聴のリスクが生じますし、ユーザー側にはパスワードを入力するというひと手間が発生します。それに対してKeypasco MFAには、デバイス認証の強固さや、ユーザーがスマホをタップするだけで認証を行えるというメリットがあります。そういった特性を踏まえた上で、どの認証を導入するか検討していただければと思います。

ルールとAIの両方を用いて瞬時に不正を判定
実績も豊富なIWIの「ACEPlus」と「IFINDS」

弊社のカード不正検知システムをご紹介します。弊社では1999年にオンプレ型のリアルタイムカード不正検知システム「ACEPlus」の提供を開始し、2017年にはこれをクラウド型で提供する「IFINDS」をリリースしました。そのあと「FARIS」（ファリス）というプロジェクトを立ち上げまして、AIスコアリングの提供を始め、さらにPKSHA Technologyなどとの共同対策も進めています。

「ACEPlus」「IFINDS」は、主にイシュア向けの不正検知システムです。カード決済が発生すると、国内ネットワーク、決済代行、アクワイアラ、ブランドネットワークなどを通ってイシュアに取引情報が届きます。イシュアが受け取るのはFEPオーソリという仕組みになりますが、「ACEPlus」や「IFINDS」はこれにリアルタイムに接続して瞬時に不正かどうかの判定を行って結果を返します。主な機能は、ルールによる検知と、AIによるスコアリングの検知です。ルールというのは事前に作成されたルールに合致するかどうかの判定を行うもので、スコアリングというのは今回の取引の怪しさを点数で評価するものです。イシュアでは24時間365日体制で、モニタリングや、ヒットしたトランザクションに関するカード会員へのコンタクトや通知、各種後続業務に対応する必要がありますので、われわれはシステムによる不正判定と合わせて、それらの業務を支援する機能も提供しています。

ルール作成機能について簡単にご紹介します。イシュアに届くオーソリの情報は非常に限られています。「ACEPlus」や「IFINDS」では精度の高い判定を行うために豊富な情報を利用します。まず利用日、金額などの取引情報。これに加えて、基幹システムと接続して会員属性情報、加盟店情報、端末情報などを取得します。さらにプラスアルファで独自情報、たとえば平均利用金額や、過去に訪れたことのある国などの情報もオプションで用意しています。これらを利用することによって、柔軟にルールを書けるようになります。ルールは、エクセルのように簡単に書くことも、プログラムのように書くこともできます。ルールにヒットしたときに何をするかですが、間違いなく不正と思われる取引は拒否するように設定することもできますし、グレーであればいったんOKで返して事後調査に回すといった設定をすることも可能です。

最近のカスタマイズ事例の中から、利用通知機能をご紹介します。当然のことながらルールをきつく書くと利用阻害が発生しますし、ゆるく書けば不正が増えるということで、そのバランスが難しいのですが、この事例ではルールにヒットした場合、会員にメールで通知します。メールが届くと、会員は、本人利用かそうでないかの回答を返します。本人利用であれば、システム側は利用制限を解除します。こういった対応ができるため、企業側ではルールをより強気に書くことができるようになりました。