2018年5月30日8:00
■ビザ・ワールドワイド・ジャパン株式会社
データを保護し、活用可能にする4つのカテゴリ
日本での不正管理対策にも適用
次にVisaのリスク方針について説明します。データを保護し、活用可能にするカテゴリとして、「データ保護」「データの無価値化」「カード会員による不正管理」「データの活用」の4つがあります。
「データの保護」として、暗号化方式のP2PE(Point-to-Point Encryption)暗号化、情報セキュリティのPCI DSSが挙げられます。P2PEはクレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」にも組み込まれている拠点間の暗号化になります。
「データの無価値化」として、トークナイゼーションとEMVがあります。また、ICカードのEMV化があり、日本国内の発行が100%になれば偽造被害が減ります。トークナイゼーションは、16桁の番号で処理していたものを違う番号で処理し、仮にトークンが盗まれても悪用できない仕組みとなっています。
「カード会員による不正管理」として、カードを利用した際に、どの加盟店で、いくら使ったという本人利用を確認する「トランザクションアラート」が挙げられます。また、カード会員自体でスマホのアプリで利用を制御する取り組みもあります。たとえば、日本にいる時に海外で利用が発生した際は取引をオフにし、会員が海外に行って利用する際はオンにするといった仕組みを提供しようとしています。
「データの活用」では、「リスクベース認証」として、加盟店がさまざまな情報を持っていますが、それを活用しようとしています。生体認証やワンタイムパスコードによるセキュリティ強化に加え、過去の取引から情報漏えいの傾向がわかりますので、その対応があります。
Visaの不正対策の推奨として、ベースは実行計画となります。
対面の不正の場合、偽造被害がほとんどですので、ICカード化することが重要です。カードの発行を100%IC化することに加え、チップの取引データをしっかり検証することが重要です。不正犯はICカード化してもあきらめませんので、偽造データとは異なるものですが、以前の取引と同じようなデータを違う金額、別の加盟店で取引する不正を働く可能性があります。米国のチップ化が進めば、犯罪者は新たな不正を行いますので、IC取引のクリプトグラムを検証する必要があります。
アクワイアラでは、実行計画で2020年3月までに加盟店のICカード対応端末の設置が求められますが、不正の増加傾向が今年、来年とより厳しくなりますので、できるだけ早くICカード対応端末の設置をしていただければ、不正を抑止できます。
非対面の不正は増加傾向が激しい状況ですが、イシュアはカード会員に3-D Secure(セキュア)の登録をできるだけ早くしていただきたいです。イシュアは静的パスワードを動的パスワードに切り替えることで、不正利用の1つの解決策になります。また、長い目で見ると、次期バージョンである「3-Dセキュア2.0」への切り替えがあります。
アクワイアラ側では、加盟店側での不正検知システムの導入に加え、特に不正が多い加盟店は偽造データの不正対策が必要です。トークナイゼーションへの対応も非対面加盟店は不正を抑止できます。加盟店も3-Dセキュア2.0への対応を検討していただきたいです。
米国ではクレジット99%、デビット91%がIC取引
3-Dセキュア2.0でも既存のライアビリティシフト適用
国別の状況を見ると、ICカード取引として、3~4年前は米国、韓国、日本が遅れていました。米国の2017年12月時点の状況として、クレジットは実際に利用されているカードの99%の取引がICカードになりました。デビットは若干遅れ気味でしたが、91%とクレジットカードに近づいています。米国の店舗ベースの対応は64%です。それに対し、日本の店舗での対応は18%となっています。このように、米国の不正が少なくなったのは事実で、日本の増加傾向につながっています。
米国加盟店の偽造不正傾向として、対面では2015年第4四半期と比べて、2017年第3四半期の偽造はIC加盟店で70%、米国全体では40%削減の効果が表れています。このようにチップ化が進めば偽造は少なくなります。
不正対策の推奨として3-Dセキュア2.0が挙げられます。3-D セキュア 2.0では、リスクベースの認証をカード利用者の決済情報等を基に、取引の大半は追加認証なしに取引が完了、高リスクと判断される取引にのみ、ワンタイムパスワード等の追加認証を実施します。
3-Dセキュアの仕組みとして、加盟店での承認率はイシュアがより判定できます。カード会員の本人認証時に、加盟店はイシュアにIPアドレス、デバイス、属性、登録情報等の情報を流します。イシュアはリスク判定を行いますが、いつも使用している加盟店、PCなどは通常のオーソリで済み、そのままで取引が成立します。一方、違うPC、中国のIPアドレスといったように、高リスクと思われる取引の絞り込みをします。追加認証が必要ない場合は95%、追加認証が必要なのは5%程とみています。バージョン1と比べて決済の時間は約8割減、かご落ちが7割程減ると想定しています。
Visaでは、2018年の後半に初めて、3-Dセキュア2.0の導入があり、本番の運用は来年からになります。2019年4月12日から、3-Dセキュアのライアビリティシフトが適用され、加盟店での3-Dセキュアの取引はチャージバック保護の対象となります。
トークン化取引でカード番号の漏えいを防止
重層的な不正管理として「Decision Manager Overview」を提供
また、Visaでは、トークナイゼーションも推奨していますが、トークン化取引では、別のトークン番号に置き換えるため、カード番号は漏えいしません。トークン化で簡単にできるのは、加盟店が決済番号を照会する際に、決済代行会社が戻す番号がトークンとなり、それが万が一盗まれても利用されないといったものです。
さらに、加盟店での重層的な不正管理として、Decision Managerを提供しています。これは、海外では浸透していますが、国内ではそれほど普及していません。トランザクション情報を包括的に参照・分析し、リアルタイムで疑わしい取引をチェックします。また、ネガティブ・ポジティブリスト、業界に特化した検知モデリングを活用した検知が可能となっています。スクリーニングはサイバーソースが提供しており、加盟店での取引の際、IPアドレス、メールアドレス、商品コードはどうなっているか、買い回りデータ等も含め、ルールをもとに判定する仕組みです。これは、「VisaNet」とサイバーソース契約加盟店46.8万社の決済トランザクションを参照した包括的不正管理ソリューションとなります。実行計画では、多面的重層的な不正対策が必要ですが、その1つの属性・行動分析であり、日本の加盟店でも検討していただきたいですね。
※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」のビザ・ワールドワイド・ジャパンの講演をベースに加筆を加え、紹介しています。
