カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 流通・コマースNavi, 金融情報Navi

PayPal、グローバルな決済企業としてパスキーやAI活用などセキュリティ対策を強化

2023年8月24日8:00

PayPal Pte. Ltd.（ペイパル）は、世界200以上の国と地域で利用でき、アクティブアカウント数は3,500万の加盟店を含む4億3,100万となっている。世界中でキャッシュレスが進む中、デジタル犯罪への対策も重要となるが、PayPalではAI（人工知能）などを活用した不正対策を強化している。また、決済会社としていち早くパスキー（Passkeys）によるパスワードレス認証を導入するなど、安心・安全な認証・決済を目指しているそうだ。今回はグローバルでPayPalのセキュリティ対策を統括するペイパル最高情報セキュリティ責任者アサフ・ケレン（Assaf Keren）氏に同社の安心・安全な支払いへの取り組みや、巧妙化・悪質化する不正対策のポイントについて話を聞いた。

PayPal 最高情報セキュリティ責任者アサフ・ケレン(Assaf Keren)氏。PayPalの最高情報セキュリティ責任者として同社のグローバルセキュリティ製品および関連サービスを提供する組織全般を統括。セキュリティ製品の構築、セキュリティインフラの管理、顧客へのセキュリティサービスの提供に至るまでペイパルのセキュリティ分野の最前線でリーダーシップを発揮している

4億3,000万件以上のアカウントを保護
2022年は3,500万ドル以上の被害を阻止

PayPalにとってAPAC（アジア・太平洋地域）は重要な市場の１つであり、最も成長著しいエリアだ。例えば、オーストラリアはPayPalにとって最大級の市場だ。また、中国では現地企業を買収し、決済のライセンスを取得するなど注力地域となっている。日本も重要な市場であり、あと払い「ペイディ」を提供するPaidyを買収するなど、今後さらなる成長が期待できる。Paidyには優秀なスタッフがおり、セキュリティ対策も強化しているというが、人材や不正対策に継続的な投資を続けていきたいとした。

PayPalの日本を含む国際部門の拠点はシンガポールにあり、国際的なハブとなっている。現在、米国とともに、世界2カ所のサイバーディフェンスセンターをシンガポールに設けており、世界中の取引を監視している。シンガポールのサイバーディフェンスセンターは、2018年に開設したが、現在は人員規模が4倍となった。また、インドの技術部隊ではセキュリティツールの開発を行っている。

PayPalは、売り手（マーチャント）、買い手（購入者）が安心・安全に取引を行えるように、セキュリティ対策を強化してきた。アサフ氏は「コロナ禍や世界的な経済状況もあり、不正が増えていますが、全社一丸として不正と戦っています」と説明する。

例えば、高度な不正検知技術により、不正取引、アカウント情報の漏えい、その他違法行為や利用規定（AUP）違反を阻止するため、4億3,000万件以上のアカウントを24時間365日体制で保護している。PayPalへの悪意ある攻撃は毎秒発生しているが、その98％は侵入を試みようとする段階で防止している。また、2020年末時点で、フィッシングメールやDoSなど不正な攻撃への対応の80％以上が自動化された。

2022年の実績として、米国、オーストラリア、ブラジルを含むさまざまな国で3,500万ドル以上の被害を阻止したそうだ。取引損失率は0.09％となり、さまざまな不正防止対策によって取引損失率を低水準に維持している。PayPalのリスク対策関連製品を通じて、加盟店を不正行為から保護し、チャージバックによる金銭的損失を削減している。

世界の決済会社としていち早くパスキーに対応
生成系AIも不正対策に組み込みへ

PayPalでは、アカウントなりすまし（ATO：アカウントテイクオーバー〈乗っ取り〉）やID不正に関して、テクノロジを駆使することで未然に防止している。IDによる不正への対策として、世界の決済サービス事業者の中でいち早くパスキーに対応した点も見逃せない。パスキーは、フィッシング耐性のあるパスワードに代わる機能で、ユーザーのデバイス間でWebサイトやアプリケーションへのサインインを、より早く、簡単、かつ安全に行えるのが特徴だ。2022年5月、Apple、Google、MicrosoftがパスキーによるFIDOのサポートを拡大する計画を発表し、対応を進めている。PayPalはパスワードレス認証を推進するFIDOアライアンスの創設メンバーの１社であり、安心・安全な認証の実現に向けて取り組んでいる。

PayPalの「2022年グローバル・インパクト・レポート」によると、2022年10月以降、100万アカウント以上の登録があり、今後は世界的に採用を広げていきたいと考えている。アサフ氏は「パスキーを導入することにより、不正の第一歩であるアクセスを阻止できるためATOに対抗でき、アイデンティティと認証管理を堅牢にできます」と話す。また、セキュリティを向上させることに加え、パスワードレス認証を導入することでユーザー・エクスペリエンスも高まると期待している。

PayPalでは、パスキーの導入に加え、複合的な取り組みで不正を防止してきた。「弊社はAI企業の１つであり、不正対策に機械学習やAIを導入して10年以上が経ちます。マシンラーニング（機械学習）やAIによって不正を特定してきました」（アサフ氏）。現在、Chat GPTなどの生成系AIが登場しているが、PayPalの不正対策に組み込む努力をしているそうだ。