2022.10.17 通販支援
なぜ「3Dセキュア2.0」の導入が必要なのか?求められる不正対策レベルとは
クレジットカードの不正利用による被害が拡大し続ける中EC・通販業界では不正対策への取り組みの強化が求められている。10月からはVisaやMastercardなどのクレジットカードの国際ブランドが本人認証「3Dセキュア1.0」のサポートを終了するため、新バージョン「3Dセキュア2.0」(正式名称:EMV3Dセキュア)を導入するECサイトが増加している。「3Dセキュア2.0」の特徴や課題、その有効性などについて、不正注文検知サービス『O-PLUX』(オープラックス)を提供するかっこ(株)の小野瀬まい氏に話を聞いた。
かっこ(株)小野瀬まい氏
かっこ(株)小野瀬まい氏
「改正割賦販売法」でセキュリティ対策が義務化
ECサイトでは「3Dセキュア2.0」への切り替えが進んでいるが、そもそも「3Dセキュア1.0」を導入していないECサイトも多い。まずは現状の不正対策の種類について整理したい。
かっこの小野瀬氏は「セキュリティ対策はECサイトによってまちまちなのが現状ですが、実は2018年に施行された『改正割賦販売法』によって対策が義務付けられています」と語る。
「改正割賦販売法」の施行当時は、「カード番号の非保持化」への対応がクローズアップされていたが、セキュリティ対策も義務付けられていた。しかし、どのような対策を選択するのかは、事業者の判断に委ねられたため、ECサイトによってセキュリティレベルが異なる状況となった。
セキュリティ対策には大きく分けて、本人認証の「3Dセキュア」、カードの裏面に記載された3桁または4桁の数字を入力する「セキュリティコード」、各ベンダーより提供される「不正検知システム」、不正利用された注文の配送先情報をデータベース化して該当する住所への配送を防ぐ「不審住所データ」の4つがある。
「3Dセキュア」はセキュリティ強度が高いが課題も
このうち、「3Dセキュア」はセキュリティ強度が高い対策となるが、従来の「3Dセキュア1.0」には課題があったという。
「従来の『3Dセキュア1.0』は、カード情報の入力に加え、利用者が登録した別のID・パスワードを入力する必要があります。事前に登録したパスワードを忘れてしまうなどで商品を購入する前に離脱してしまう『かご落ち』が起きやすいという課題がありました。加えてパスワード自体が流出して認証を突破されるケースも起こっていました。」(小野瀬氏)
こうした課題があったことなどから、「3Dセキュア1.0」は、有効なセキュリティ対策ながらECサイトで導入がそこまで拡大していなかった。この課題を解決するために開発されたのが「3Dセキュア2.0」だ。
「3Dセキュア2.0」では不正のリスクがある注文のみ認証
小野瀬氏は「『3Dセキュア2.0』は、すべての注文ではなく、怪しい注文に限定してスマホに一定時間ごとに自動的に1度限り有効なパスワードを送るワンタイムパスワードなどで認証するため、かご落ちのリスクが低くなります。この点が大きなメリットとなります」と語る。
「3Dセキュア2.0」では、ワンタイムパスワードのほか、生体認証(指紋・顔)、QRコードスキャンなどにも対応しており、専用のパスワードを覚える必要がないことから、かご落ちのリスクが軽減され、利用者にとっても利便性が高いサービスとなる。
「3Dセキュア2.0」に移行すれば、セキュリティ強度を向上させつつ、かご落ちのリスクも低減できることから、1.0から2.0に切り替えるECサイトが増えている。だが、小野瀬氏によると、2.0に移行するにあたり、不安な部分もあるという。
『3Dセキュア2.0』はリスクベース認証
「『3Dセキュア2.0』では決済情報などをもとに怪しい注文に認証を求めるシステム(リスクベース認証)ですが、この怪しい注文だと判断するのは、イシュアと呼ばれるカードを発行する会社です。不正かどうかを見極める仕組みは、イシュアごとに全加盟店共通のものを利用しており、そのチューニングは各社に委ねられています。そのため、イシュアごとに不正判定の基準が異なることや、商材や加盟店の個別事情を反映した加盟店単位でのチューニングが難しいことから、『3Dセキュア2.0』のみの対策で万全かどうかは現時点で判断しにくいと思います」(小野瀬氏)
また、別の課題もあるという。小野瀬氏は「『3Dセキュア2.0』の導入は、無料でバージョンアップしてくれるのではなく、新たにシステム開発が必要で、数百万円のコストがかかった例もあります。大手では問題ないと思いますが、中小企業の負担は厳しいかもしれません」と話し、コスト面での負担が大きいことが中小企業にとって導入の障壁になっているとした。
不正検知システムでの代用も可能?
実際、コストの問題から、『3Dセキュア2.0』の導入を断念する企業も出ているとのことで、『3Dセキュア2.0』を導入するよりもコストが低いことから、同社の不正検知システムを導入した事例もあるという。同社は長年不正ログイン・不正注文に特化したシステムを提供し、不正に関するデータを蓄積しているため、怪しい注文かどうかを複数の要素でリアルタイムに検知することが可能だ。特に不正検知システムで共有されている約2万サイトの情報から構築したネガティブデータベースや不動産空き室情報との照合など高度な審査を安価に利用できる点が評価されている。
また、セキュリティ対策は冒頭の4つの対策を複数実施した方が、セキュリティ強度は向上する。『3Dセキュア2.0』と不正検知システムの併用や『3Dセキュア2.0』の導入が難しい場合は不正検知システムを導入することでコストとのバランスをとりながらセキュリティ強度を向上させることができる。セキュリティ対策の検討にあたっては、幅広い選択肢を持っていた方がいいかもしれない。
(山本 剛資)
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。
資料DLランキング
-
1
【2024年最新版!】ECモールセール予測カレンダー
-
2
【完全解説】共通項から読み解く、売れるECと売れないECの決定的な違い
-
3
【通販消費者調査】消費者の65%「ヤマトに届けて貰いたい」…佐川も好スコア?
-
4
EC利用に関する 口コミ・レビュー実態調査
-
5
転売対策-虎の巻-【6社の対策事例あり!】
ニュースランキング
-
1
紅麹問題でサプリメント市場が前年同期比18%減に
-
2
オンラインカジノへの参加は違法…東京都が注意喚起
-
3
特商法の執行 2023年度に通販分野の注意喚起が約1600件
-
4
サイバーエージェント2Q インターネット広告事業の売上高が過去最高を更新
-
5
機能性表示食品検討会 業界団体・消費者団体からヒアリング…被害情報の報告義務化やGMPによる品質管理など要望
