時として、不正対策はいたちごっこのように見えるかもしれません。犯罪者はたいてい攻撃的ですが、企業は自分たちを守るために奮闘し、防御に徹しています。企業にとって、このいたちごっこは難しくなっています。犯罪組織のツールはより巧妙化し、攻撃はさらに複雑になっています。金融サービス企業や加盟店は、急速に進化する攻撃に対応するために、セキュリティや不正行為に対する防御策を絶えず適応させることは難しいと感じています。そして、追いついていないということは、遅れをとっているということです。その結果、損失の拡大、取引の中止、顧客満足度の低下などの危険性が生じます。収益の損失と顧客の喪失が同時に起こるのは良くありません。
今こそ、不正防止の考え方を見直す時ではないでしょうか。しかし、次のような声も聞かれます。「人員も資金も不足しています。より機敏で資金力のある犯罪組織に、どうやって追いつけというのでしょうか?」このような厳しい環境下では、ハード ワークではなく、スマート ワークが必要です。この問題を解決した加盟店や金融サービス企業は、内と外の両方に目を向けることで解決しました。
内側に目を向けると、成功している企業は、セキュリティと不正行為の軽減が非効率的であることを認めています。一般的に企業には、コンピューティング ネットワークや外部向けアプリケーションを侵入、悪用、サービス妨害などの攻撃から保護するサイバーセキュリティ部門と、オンライン/デジタル取引、イベント相関、インシデント対応業務を中心とする不正行為対策部門があります。これによって責任が分離され、異なるツール、データ セット、パフォーマンス指標、スタッフ、予算を持つ2つの部門が存在することになります。このことが企業にどのような損害を与えるかを見てみましょう。
データ漏洩や認証情報の流出により、ユーザー名/パスワードのペアを含む、何十億もの個人情報の記録が流出しています。典型的な攻撃では、攻撃者は高度に分散したボットネットを使ってクレデンシャル スタッフィングを行い、これらのペアを大規模にテストして、どのユーザー名/パスワードのペアがまだ有効であるかを特定します。有効なペアがあれば、攻撃者は簡単にサイバー犯罪者となり、顧客のオンライン アカウントを乗っ取って金銭の引き出し、ロイヤルティ ポイントのロンダリング、不正購入を行います。サイバー犯罪者は、遭遇したセキュリティ対策に応じて、ネットワーク スクリプトやボットネットから、人間の行動をエミュレートするツールや、人間によるクリック ファームにAPI呼び出しを行ってCAPTCHAを解くことができるフレームワークまで、さまざまなツールを使って攻撃を変える可能性があります。
この種の攻撃は、セキュリティ チームと不正対策チームの両方の責任にまたがります。セキュリティ チームと不正対応チーム、またはそれぞれのツールが連携していないと、脅威の情報やコンテキストが失われ、攻撃の全体像を把握することが困難に(場合によっては不可能に)なります。その結果、不正行為者はその隙間をすり抜け、企業とその顧客は金銭的な損失を被ることになります。
今こそ、組織のサイロを打破する時です。チームやテクノロジーの垣根を越えたコラボレーションは、収束、増収、そして最終的には企業の成功につながります。さらに、リソースやデータを共有することで可視性が向上し、犯罪組織を排除すると同時に、優良顧客をスムーズに通すことが可能になります。Aite-Novarica Groupが110社のフィンテック企業を対象に行った調査では、統合された不正対策システムを導入している企業は、個別の不正対策システムを導入している企業と比較して、不正行為の管理がやや容易である、または非常に容易であると回答する割合が2倍になっています。
統合されたプラットフォームには、データをプールして継続的に分析することで、より多くの不正行為の状況を把握できるというメリットがあります。より多くのデータ セット、つまりより多くの不正信号があれば、より予測的で正確な機械学習モデルを作成することができます。これにより、さらにプロアクティブで実用的なインテリジェンスが得られるだけでなく、精度の向上により認証が迅速に行われ、不正行為を増やさずにお客様がシームレスに取引できるようになるため、ユーザー エクスペリエンスの向上にもつながります。
外側に目を向ける
なぜプロアクティブでないのでしょうか?商用ソリューションを提供するベンダーは、その幅広い経験と可視性を活用して、個々の顧客が自身を守る以上に顧客を守ることができます。では、どのように行うのでしょうか?複数の地域や業界にまたがる大規模な顧客基盤を持つベンダーは、特に脅威インテリジェンスが集団的な防御ネットワーク全体で共有されている場合には、不正行為について非常に広い範囲を把握することができます。新たな不正攻撃のベクトルが出現した場合、ベンダーはすべての顧客を守るために不正行為に対する防御策をすばやく変更することができます。
Win-Win-Winのソリューション
David Mattei著、Aite-Novarica Group戦略アドバイザー
_____
詳細については、Aiteのレポートをお読みになり、不正行為による損失を最小限に抑えるための新しい戦略をご確認ください。
詳細については、Aiteのレポートをお読みになり、不正行為による損失を最小限に抑えるための新しい戦略をご確認ください。