2017年6月13日8:00
■ビザ・ワールドワイド
リスク・ベース認証の進化として、3-D Secure2.0を推進
支払いの時間を85%減、カゴ落ち率を7割減
Visaでは、リスク・ベース認証の進化として、「3-D Secure2.0」を推進してます。3-D Secureの歩みとして、1999年にVisaが3-D Secureのプロトコルを策定、「Visa認証サービス」プログラムとしてサービスを開始しました。2002年には、Mastercard、JCB、Discoverなどのブランドにライセンスを提供開始し、それ以来オンライン認証のグローバルスタンダードとなっています。2014年には、VisaとMastercardが開発した次世代の3-D Secureのドラフト仕様書をEMVCoに提供し、3-D Secure 2.0プロトコルの共同開発が開始されています。また、EMVCoが3-D Secure 2.0を管理することになりました。
3-D Secure2.0のコンセプトは、Eコマースの戦略としてリスク・ベース認証、動的認証を実現します。目的は不正利用を少なくすることですが、同時に利便性を保つことも重要視されています。特に、消費者にとって3-D Secureのユーザビリティ改善を行い、何よりもグローバルで展開できる柔軟性を兼備しています。そして、加盟店、カード発行会社(イシュア)といろいろなデータをやりとりが可能です。Visaでは、リスク・ベース認証を実現してフリクションを少なくし、Visa認証サービスプログラムの中で3-D Secure 2.0をサポートします。
1999年当時と現在のインターネット環境を比較すると、当時は買い物のほとんどがPCとブラウザベースでした。また、一部のモールなどの例外はありましたが、多くのEC加盟店は規模が小さいなか、安全性に不安があり、かつ信頼性に欠ける取引とみなされていたため、厳格な不正防止対策が必要とされていました。そうした環境の中、3-D Secureのプロトコルを提供していましたが、固定パスワードの入力はユーザーにとって負担が大きく、加盟店はカゴ落ちがあるため導入したくないところもありました。また、現在はPCとブラウザに加え、スマートフォンのアプリやデジタルウォレットの決済が進んでおり、重要な販売チャネルとして不正防止をしながら売り上げを伸ばす必要があります。
3-D Secure2.0プロトコルは、2016年10月に仕様書が完成しました。アプリも含めて、さまざまなデバイスタイプをサポート可能です。また、加盟店での取引は、イシュア側でリスク・ベース認証を利用してリスクの高い取引のみに対して承認を要求します。また、動的なワンタイム・パスワードは複数の方式をサポートします。
これまでは、高いカゴ落ち率や低い承認率が課題となってきましたが、リスク・ベース認証によって、支払いの時間を85%減、カゴ落ち率を7割減らすことが可能です。
ブラウザに加え、モバイルやアプリ決済に対応
ワンタイム・パスワードなどの動的認証や生体認証にも対応
そのキーとなるのは加盟店とイシュアのデータのやりとりです。3-D Secure2.0と1.0を比較すると、1.0 では消費者の支払いプロセスの体験があまりよくありませんでした。1.0ではポップアップが表示され、パスワードの入力を求められましたが、2.0はブラウザに加え、モバイルやアプリベースの承認も統合できます。また、消費者とのやりとりが多岐にわたりましたが、それも簡略可能です。データのやりとりとして、認証やセキュリティのデータとして、1.0では決済関連の限られたデータのみ使用できましたが、決済以外のデータや認証情報も含め、より豊かなデータに対応しています。認証方法としては、ワンタイム・パスワードなどの動的認証や生体認証にも対応できます。
さらに、加盟店とイシュアの間のデータ提供が強化されます。加盟店のリクエストの情報をイシュアが閲覧することができ、たとえばどのデバイスを利用しているかも把握できます。ショッピングカートの請求先住所、電話番号、eメールアドレスを見れますので、リスク・ベース認証についてはデータがあればあるほど成果を高められます。
利点として、リスクが高い5%ほどの取引のみに認証を行います。そのため、リスクが低いとされる残りの95%の判定はユーザー認証のステップは必要ありません。加盟店にとって、消費者の体験をよくできることによってカゴ落ち率が減ります。また、認証する段階で、オーソライゼーションをイシュアが行う段階で、承認率を上げることができます。3-D Secure2.0を導入することによりカゴ落ち率を改善し、承認率を高めることが期待できます。
3-D Secureのエコシステムとして、①加盟店、②プログラム(国際ブランド)、③イシュア(ACS:アクセス・コントロール・サーバー)の3つのドメインの参加によりオーソリゼーションの前にカードホルダーの認証を行います。イシュアは、ACSにより、リスク・ベース認証とカードホルダーの認証を行いますが、1.0に加え、2.0のサポートが必要となります。その認証の性能はACSベンダーによって異なりますが、ACSでリスク・ベース認証を判定するので、非常に大きい役割となります。日本ではNTTデータや大日本印刷がACSサービスを提供しています。加盟店はMPI(マーチャント・サーバー・プラグイン)を利用して、認証リクエストを行いますが、日本では沖電気工業が大きな役割を果たしてきました。
加盟店では、MPIで取引が2.0か1.0という判定をします。MPIでは、さまざまなデータを取り上げ、イシュアに返します。Visaをはじめとした国際ブランドは、ダイレクトリーサーバーや3-D Secureプログラムの提供を行います。なお、1.0と2.0の互換性はなく、2つの別々のプロトコルとして、並行して共存します。加盟店では、MPIでイシュアBINの対応プロトコルバージョンを判定し、そのバージョンに沿ったメッセージを作成して各ダイレクトリーサーバーに送信します。
5%のリスクの高い取引のみが消費者認証プロセスの対象に
リスクの高い約0.2%の取引はそのままで拒否することも可能
リスク・ベース認証によるメリットして、1.0ではカゴ落ち率が2割以上あると言われてきましたが、2.0では高リスクの取引のみ、固定パスワード、秘密の質問の「Knowledge-based authentication (KBA)」、ワンタイム・パスワード、生体認証などで認証します。イシュアは「よくカードを利用するか?」「どういった買い物をするのか?」といったカードホルダーの利用の動き、利用するデバイスや位置情報などの検証も可能です。また、今までは日本だったが、中国のIPアドレスで取引が行われた場合などに認証を踏むといったことが可能です。さらに、加盟店の検証として、“換金性が高い商品を扱う店舗”など、イシュアでリスクの判定を行うことができます。たとえば、5%の取引の中でも、約0.2%の取引はイシュアで不正の可能性が非常に高いと判断し、そのままで拒否することも可能です。
そのほか、イシュアはコールセンターの問い合わせもユーザー認証やワンタイム・パスワード、生体認証に切り替えることにより、パスワード忘れなどのコールセンターの問い合わせ件数が85%減るといった効果もあります。リスク・ベース認証の採用により、カゴ落ち率が4分の1になりましたが、不正比率はほとんど変わっていません。また、コールセンターへの問い合わせ件数も5分の1ほどに削減できたそうです。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のキビザ・ワールドワイド・ジャパン株式会社 リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏の講演をベースに加筆を加え、紹介しています。
