売れるEC・通販の不正防止対策とは？～組織づくりのポイント～

１．売れるEC・通販は、サイト上の顧客体験向上とセキュリティを両立

コロナ禍で巣ごもり需要が増える中、これまで以上にEC・通販サイトの利用が促進されています。それと同時に、国内のクレジットカードの不正利用被害は年々増加しており、そのほとんどが窃取されたカード情報等を不正に利用したなりすましによる被害です※1。中でも、EC（ネット取引）加盟店において多く発生しています。
多くのEC・通販サイトで、１クリック購入や口コミの充実等、顧客体験の向上に力を入れていると思いますが、成長するEC事業者は同時に、これらの顧客体験を阻害しないセキュリティ対策に力を入れています。理由は３つです。

理由①一度の不正被害体験が、約３割の機会損失に

クレジットカードの不正利用被害は、特に、家電、電子マネー、チケット、デジタルコンテンツ（オンラインゲームを含む）など高額で換金しやすい商品を取り扱っている事業者ほど、被害が発生しやすい傾向にあります。EC・通販サイト上での一度の不正被害体験は、顧客離反につながる大きなリスクをはらんでいます。Sift社の調査によれば、一度クレジットカードの不正被害にあった顧客のうち、28%が他社のサイトを利用すると回答しています。

理由②不正手口は多様化、被害額が増大

既にご存じの通り、クレジットカードの不正利用額は年々増加しています。また、オンライン決済の普及により、不正手口は多様化しています。今や、盗まれたクレジットカードで商品やサービスを不正に購入される事だけが、不正手口ではありません。Siftの調査によると、近年不正の手口には、以下のようなものがあります。

64%：不正決済
63%：偽アカウント
42%：アカウント乗っ取り
55%：偽コンテンツ、スパムコンテンツ

このような不正のリスクは、ECサイト上で顧客体験を向上させるために1クリック購入、P2Pマーケットプレイス、デジタル商品、口コミの充実等、機能や特徴を増やすにつれて広がっていきます。しかし、犯罪者はこれらの機能を悪用するテクニックを身につけており、進化し続ける攻撃手法に対して、従来ルールベースでの監視を継続することは難しくなっています。

理由③ルールベースの不正監視では手遅れになる可能性が高い

従来型の不正防止対策である、ルールベースの対策とマニュアルレビューの欠点は、事後対応であるうえに、「不正防止」というよりも「不正軽減」に留まっていること、人手もかかり拡張性にも欠けることです。ルールベースの監視では、日々進化する新たな不正手口に即座に対応することができず、被害の発生と顧客離反のリスクを防ぐことはできません。

また、ルールベースの対策では次のような弊害もあります。

• ルールベース不正検知を使用している企業の60％は、正規の顧客をブロックしてしまっている
• ルールベース不正検知の60％はスムーズな顧客体験を妨げている
• ルールベース不正検知の45％は効果的に機能しない
• ルールベース不正検知の44％がチームにとって非効率を招いている

２．機械学習を使った不正検知のアプローチ

ルールベースの対策に代わり、今注目されているのが「機械学習」を使ったユーザの行動分析によるアプローチです。
機械学習を活用することで、不正の傾向を見極めるのに時間をかける必要はなくなります。その代わりに、ユーザに対してどのような顧客体験を提供するか、戦略的に考えるのに時間を使うことができます。機械学習は、リアルタイムにリスクに順応しそれらのリスクに基づいた最適な顧客体験をユーザに届けることができます。

能動的にリスクを特定するには、どのページに訪れたか、そのページにとどまった時間、キー入力、ソースの参照のような行動分析を含む、カスタマージャーニー全体からの豊富な知見を活用する必要があります。
不正手口が高度化するにつれて、機械学習を用いて抽出した特徴量が正規のユーザと不正なユーザを見分けるために役立ちます。機械学習はオンライン不正の傾向を見極めリアルタイムに適応するので、たとえ不正のふるまいが過去の行動パターンから変化しても、適切な対応をとることができるのです。

３．オンライン不正対策の組織の作り方

これからはプロアクティブなセキュリティ対策が求められます。
機械学習というテクノロジーの活用の他にも、組織構造や考え方を改めて考える必要があります。これからのオンライン不正対策は、単に新しいツールや手順を追加するだけではなく、デジタル世界の課題や機会に合わせてビジネス戦略を再構築することが重要です。

横断的かつ共通の目標を持ったチーム構成

縦割りの組織体制の場合、報告された部署にとって重要なリスクのみを優先してしまう危険性があります。例えば財務関係のチームは売上のみに注目して、コンテンツ不正等の目に見えにくい不正リスク対策には予算を割り当てにくいでしょう。また、カスタマーサービスの部門では、ユーザの不満を少なくすることが目標のため、不正の兆候等には興味関心を持っていないかもしれません。リスク対策部門では怪しいユーザや怪しい決済取引をなるべくブロックし排除しようとする一方、これらの対策は月間アクティブユーザの低下や売り上げの損失に影響してしまう恐れがあります。また、不正対策としてキャプチャ、3Dセキュア、2段階認証等の追加の認証をしようとすると、それが原因で登録するユーザ数の減少や売上低下につながってしまう可能性があります。逆に、営業/プロダクトチームは、リスク対策チームにとって危険と思われるような新しい機能を新規で追加しようとします。

ここで重要なのは、すべての観点に耳を傾け、リスクと利益を天秤にかけ、1つのチームとして意思決定を行う事です。成功する組織は、リスクと収益の両方を考慮して利害を調整し、リスクを最小化し、収益を最大化することができるのです。

他にも、以下の項目を組織全体として検討することが重要です。

いかがでしたでしょうか？
本ブログではオンライン不正対策を検討する前に必ずおさえておきたいポイントとして、以下の記事を公開していますので、ぜひこちらもご覧ください。

オンライン不正対策を検討する際に、必ず押さえておきたい４つのポイントとは？(前編：現状把握編)
https://mnb.macnica.co.jp/2020/09/post-17.html

オンライン不正対策を検討する際に、必ず押さえておきたい４つのポイントとは？(後編：対策編)
https://mnb.macnica.co.jp/2020/10/post-18.html

売れているEC・通販サイトのセキュリティ対策の事例はこちら▼

オンデマンド動画はこちら▼

▼セミナー案内・ブログ更新情報 配信登録