不正対策は、不正利用を検知、防止、軽減するための慣行です。これには、取引のモニタリング、疑わしい行動のパターンの分析、確認システムの導入、不正利用の試行を認識して報告する方法に関するトレーニングをスタッフと利用者に提供することなど、さまざまなアクティビティーが含まれます。Statista によると、2021 年の全世界でのカードの不正利用による損失は、300 億ドルを超えると推定されています。なりすまし犯罪から金融詐欺、サイバーセキュリティ侵害まで、不正利用の影響を受けやすいすべてのビジネスで、不正対策システムを整備する必要があります。金融機関や E コマースプラットフォームなどの一部のビジネスでは、不正対策システムの必要性が特に高くなっています。
以下では、一般的なベストプラクティスから業界に特化した検討事項まで、ビジネスで不正対策の戦略と運用の策定を開始する方法について説明します。
本記事の内容
- 不正対策のベストプラクティス
- 最適な不正対策ソリューションの選び方
- Stripe にできること
不正対策のベストプラクティス
ビジネス向けの不正対策のオプションは多種多様です。それぞれのビジネスで慎重にアプローチを選択し、具体的な優先事項と脆弱性に対処するソリューションを作成する必要があります。しかしながら、ほぼすべてのビジネスにメリットをもたらす不正対策のベストプラクティスがいくつかあります。
階層的防御: ファイアウォールとウイルス対策ソフトウェアだけでなく、リアルタイムの行動追跡とデータ暗号化も搭載された多層的な防御戦略を導入します。これらの階層が組み合わさることで、侵入者が侵入しにくい複雑な仕組みが構築されます。
リアルタイムのアナリティクス: リアルタイムのアナリティクスを導入して、組織内のあらゆるデータ取引をモニタリングします。新しい不正行為のタイプに適応し、それらから学習することが可能な機械学習アルゴリズムを活用しましょう。異常の特定が速くなるほど、より迅速にアクションを取れるようになります。
人の手による監査: 最高レベルの自動化されたシステムでも、一部の異常を見逃すことがあります。金融取引とデータ取引の人の手による監査を定期的に実施しましょう。
利用者の本人確認の方法: 2 段階認証 (2FA)、生体認証やその他の高度な確認方法を使用して、取引に関与する個人の本人確認を入念に行います。
スタッフのトレーニング: 従業員に対して、不正防止の重要性や、監視のための一般的な戦術、疑わしいインシデントを処理するための社内での手順に関するトレーニングを実施しましょう。従業員の教育が不十分であったり、訓練不足であったりすると、たとえ善意を持っている場合であっても、セキュリティシステムの弱点になることがよくあります。その一方で、十分なトレーニングを受けた従業員は、効果的な抑制手段としての役割を果たします。
金融機関との連携: 銀行や決済代行業者と密接に連携して、潜在的な不正利用の兆候を特定します。通常、これらの組織は、エスカレートする前に異常なアクティビティーを見つけるための専門知識やツールを有しています。
役割ベースのアクセス制御: 組織内の機密データへのアクセス権を持つ人物を制限します。本当にそのデータを必要とする役割のみにデータのアクセス権を制限することで、社内での不正利用が生じる可能性を低減できます。
ベンダーのリスク管理: サプライヤーとサードパーティーのベンダーについて入念に調査します。貴社のセキュリティポリシーを遵守するように求めて、潜在的なリスクに備えてこれらのパートナーシップを定期的にレビューしましょう。
インシデント対応計画: 徹底したインシデント対応計画を維持し、定期的に更新します。不正利用が疑われる場合にとるべき手順を全従業員が把握する必要があります。
定期的な更新とパッチ: サイバー犯罪者は、悪用するためのソフトウェアの脆弱性に常に目を光らせています。ご使用のソフトウェアがすべて最新の状態になっていることを確認して、サイバー犯罪者による古いシステムの利用を困難にしましょう。
ビジネスでこれらのベストプラクティスを活用することで、包括的で適応性のある不正対策システムを構築することができます。不正行為者は既存のセキュリティ対策を回避するための新たな方法を絶えず編み出しているため、適応性が重要になります。
最適な不正対策ソリューションの選び方
不正対策ソリューションを選択する際には、次の重要な要素について検討しましょう。
目標と重要業績評価指標 (KPI): ソリューションについて調べ始める前に、不正対策ソリューションで実現したいことを決めましょう。誤検知やチャージバックの低減でも、新たな不正利用パターンの特定でも、こうした目標を事前に定めると、選択するうえでの道標になります。
データの連携と互換性: 不正対策システムと既存のテクノロジースタックとの連携のしやすさを評価します。既存のワークフローへの取り込みを容易化するために、API の実装 やソフトウェア開発キット (SDK) に対応しているプラットフォームを探しましょう。これらのシステムで連携できるデータベースの種類を把握し、それらがデータの移行に対応しているかどうかを確認します。
リアルタイムの処理: 不正利用は猛烈なスピードで進展するため、選択したソリューションでリアルタイムのデータ処理とアラートを実行できることが必須になります。レポートの遅延を避けることで、金銭的な損失の防止を大幅に改善できます。
拡張性: 不正対策ソリューションでは、ビジネスの成長に合わせて拡張できることが必須になります。データの量、取引のスピード、地理的な拡大に応じて容易に拡張できるシステムを探しましょう。
機械学習と適応性: 良質な不正対策システムでは、新たな不正利用パターンに適応する高度な機械学習アルゴリズムが使用されているはずです。検討しているすべてのソリューションの機械学習機能について調べてみましょう。これには、ソリューションで使用されているアルゴリズム、モデルが更新される頻度、継続中の最適化のために整備されているフィードバックループが含まれます。
ユーザーインターフェイスと操作性: トレーニングの時間を減らして、学習をスムーズに進めるために、直感的なインターフェイスを備えた不正対策ソリューションを選択します。
コストの分析: 特に手頃なオプションを選びたくなるかもしれませんが、低コストなソリューションには、必要とするすべての機能が揃っていない場合があります。初期費用に加えて、長期的な ROI (より安価で効果が低いシステムで見逃される恐れのある潜在的な不正行為のコストを含む) も考慮しましょう。
カスタマイズと柔軟性: 設定やパラメーターのほか、ビジュアルダッシュボードもニーズに合わせて柔軟に調整できる不正対策システムを探しましょう。
法令遵守とデータのプライバシー: あらゆる適切な地域の法令と国際的な法令 (EU で事業を運営しているか、EU の利用者にサービスを提供している場合は、特に一般データ保護規制 (GDPR)) がシステムで遵守されていることを確認します。システムでデータを保存、処理、送信する方法や、定期的な法令遵守監査が実施されているかどうかを確認してください。
サードパーティーによるレビューと推薦の声: 本格的なレビューを探して、ユーザーからの推薦の声を見つけましょう。時には、類似した業界のビジネスからのインサイトによって、データシートからは収集できないシステムのパフォーマンスに関する重要な情報が明らかになることがあります。
販売後のサポート: 導入後のサポートは、製品それ自体と同じくらい重要になる場合があります。ベンダーが提供するサポートのレベルや、サポートがオンラインリソース、専用のサポートチーム、定期的なパフォーマンスチェックのうち、どれによって提供されるのかを調べましょう。
危険信号: きわめて多くのことを期待させつつも、記録されている成功事例が少ないソリューションや、透明性のある料金体系が提示されていないか、テクノロジーの制約について公表していないプラットフォームに気をつけましょう。
これらの要素を体系的に調べることで、運用上のニーズと長期的なビジネス目標に密接に適合する不正対策ソリューションを選択できます。
Stripe にできること
Stripe では、Stripe を代表する不正防止ソリューションである Radar に加えて、ビジネスでの不正利用のリスクへの対処を支援するための包括的なソリューションスイートを提供しています。ここでは、Stripe のツールと機能が不正利用の防止と軽減にどのように役立つのかを紹介します。
Stripe Elements: Elements は、機密性の高い決済情報を利用者から直接収集することで不正利用を低減できるようにする、構築済みの UI コンポーネントとウィジェットのセットです。
3D セキュア: 3D セキュアは、オンラインでのクレジットカードとデビットカードの取引におけるセキュリティを強化します。3D セキュアが有効化されている場合、カード保有者は購入を行うために追加の認証情報を入力する必要があります。これにより、セキュリティが強化され、不正取引が生じる可能性が低減されます。
動的な 3D セキュア: 動的な 3D セキュアでは、取引に関連したリスクのレベルに基づいて、どのような場合に 3D セキュアを適用すべきかを判断します。これにより、利用者全員に追加の認証ステップで不便な思いをさせることなく、この機能によって強化されたセキュリティのメリットをビジネスで得られます。
トークン化: Stripe のトークン化プロセスでは、カード番号などの機密データが確実に一意の識別子 (トークン) に置換されるようにします。これにより、カード詳細がビジネスのサーバーに保存されないため、不正行為者が決済データを傍受したり盗んだりするリスクが最小化されます。
Webhook: Webhook は、不正利用の可能性があるアクティビティーを含め、ビジネスの Stripe アカウントでのイベントに関するリアルタイムの通知を提供します。これは、ビジネスで疑わしいアクティビティーに速やかに対応するうえで役立ちます。
Stripe Connect: Stripe Connect では、他のビジネスに代わって決済を管理するプラットフォームを対象に、取引における異常なパターンを検知するためのモニタリングを提供します。これは、プラットフォームで潜在的な不正利用を特定および防止するうえで役立ちます。
人の手によるレビュー: 自動化はきわめて重要ですが、Stripe ではビジネスで疑わしい取引を人の手でレビューできるようにしています。Stripe は、利用者のデータと取引履歴の詳細な記録をレビュー用に保持しています。
不審請求の申請の処理: 利用者がチャージバックを申請した場合、もしくは支払いに対して不審請求を申請した場合、Stripe では不審請求の申請に関する情報やビジネスでの対応方法に関する提案を提供することができます。これにより、不審請求の申請がビジネスに不利な形で解決される可能性が低減されます。
データとレポート: Stripe のダッシュボードと API では、ビジネスで取引パターンの分析や異常の発見、不正利用の検知に関する戦略の経時的な改善に使用できる詳細な取引データが提供されます。
外部ツールとの連携: Stripe は、さまざまなサードパーティーの不正防止および検知ツールとシームレスに連携するように設計されています。これにより、必要に応じて、ビジネスで特化型のソリューションを利用して Stripe の組み込みの機能を強化することができます。
これらのツールと機能が合わさることで、包括的な不正防止および軽減のフレームワークが形成され、ビジネスで幅広い潜在的な脅威から自社と利用者を保護できるようになります。特に、Stripe Radar では、潜在的な不正利用を検知するために、主要なグローバル企業からのデータでトレーニングした機械学習ツールが使用されています。Radar の機械学習アルゴリズムでは 197 か国からの取引を評価し、さまざまな地域のアクティビティーに関する総合的な判断が可能になったほか、潜在的な不正利用の検知に使用する広範な専門知識の獲得に成功しました。
また、Stripe Radar ではいくつかの不正対策オプションよりも高い精度が実現されています。数百万件の正当な支払いのうち、Radar で誤ってブロックされたのは 0.1% にすぎません。Stripe Rader では、Visa、Mastercard、American Express といった巨大な金融企業からの支払いの詳細および情報を含む、財務スタック全体からのデータを取り込みます。
Stripe Radar の主な機能は以下のとおりです。
- 決済フローデータの使用: これにより、Stripe の決済ツールで、不正利用を目的としている可能性がある詳細なカスタマーパスなどのパターンを自動で特定できます。
- 定期的な調整: この機能では、不正利用の検知のために、新たな不正利用の脅威に対する動的な調整や、特に関連性の高い属性を特定するアルゴリズムの一貫した改善が導入されています。
- 危険信号の評価: Radar では多くの信号を評価して詳細なデバイスプロファイルを作成し、疑わしいデバイスや異常な行動を特定できるようにします。
- 履歴データの使用: Radar では繰り返し発生しているパターンを認識するために履歴データを使用し、既知の不正利用の戦術や発生源の特定を迅速化します。
- 検知技術: この機能では、IP スプーフィングや異常なプロキシの使用状況 (どちらも潜在的な不正利用の兆候です) を発見するために、プロキシ検出などの技術が使用されています。
- 多信号の手法の使用: これにより、不正利用の予測の精度が向上します。
- 不正利用の追跡に特化して設計されたツール: これには、レビュー用の特に関連性の高いデータや、不正利用のパフォーマンスと不審請求の申請率に関するインサイトを表示する機能が含まれます。
- カスタマイズ: この機能により、ビジネスでカスタムルールを設定して、特定の取引をハイライトまたはブロックしたり、特定の取引に対する確認の強化を要求したりすることが可能になります。これにより、個々のビジネスの要件に合わせて保護をカスタマイズできます。
- ブロックリストと許可リストの機能: これらの機能によって、ビジネスで過去の行動に基づいて信頼できる利用者やブロックした利用者を監視できます。
- 統合された不正利用モデルの実装: これにより、ビジネスで不正利用のデータと Radar の広範なデータセットをマージすることができます。
Stripe の Radar は、機械学習、広範なデータソース、適応型アルゴリズムを組み合わせて活用することで、不正取引の検知とブロックに高い効果を発揮します。
Stripe Radar の詳細はこちらでご確認いただけます。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。