BLOG

セキュリティと不正対策を連携させてサイバー犯罪者に先手を打つ

F5 サムネール
F5
Published November 15, 2021


時として、不正対策はいたちごっこのように見えるかもしれません。犯罪者はたいてい攻撃的ですが、企業は自分たちを守るために奮闘し、防御に徹しています。企業にとって、このいたちごっこは難しくなっています。犯罪組織のツールはより巧妙化し、攻撃はさらに複雑になっています。金融サービス企業や加盟店は、急速に進化する攻撃に対応するために、セキュリティや不正行為に対する防御策を絶えず適応させることは難しいと感じています。そして、追いついていないということは、遅れをとっているということです。その結果、損失の拡大、取引の中止、顧客満足度の低下などの危険性が生じます。収益の損失と顧客の喪失が同時に起こるのは良くありません。

今こそ、不正防止の考え方を見直す時ではないでしょうか。しかし、次のような声も聞かれます。「人員も資金も不足しています。より機敏で資金力のある犯罪組織に、どうやって追いつけというのでしょうか?」このような厳しい環境下では、ハード ワークではなく、スマート ワークが必要です。この問題を解決した加盟店や金融サービス企業は、内と外の両方に目を向けることで解決しました。

内側に目を向ける

内側に目を向けると、成功している企業は、セキュリティと不正行為の軽減が非効率的であることを認めています。一般的に企業には、コンピューティング ネットワークや外部向けアプリケーションを侵入、悪用、サービス妨害などの攻撃から保護するサイバーセキュリティ部門と、オンライン/デジタル取引、イベント相関、インシデント対応業務を中心とする不正行為対策部門があります。これによって責任が分離され、異なるツール、データ セット、パフォーマンス指標、スタッフ、予算を持つ2つの部門が存在することになります。このことが企業にどのような損害を与えるかを見てみましょう。

データ漏洩や認証情報の流出により、ユーザー名/パスワードのペアを含む、何十億もの個人情報の記録が流出しています。典型的な攻撃では、攻撃者は高度に分散したボットネットを使ってクレデンシャル スタッフィングを行い、これらのペアを大規模にテストして、どのユーザー名/パスワードのペアがまだ有効であるかを特定します。有効なペアがあれば、攻撃者は簡単にサイバー犯罪者となり、顧客のオンライン アカウントを乗っ取って金銭の引き出し、ロイヤルティ ポイントのロンダリング、不正購入を行います。サイバー犯罪者は、遭遇したセキュリティ対策に応じて、ネットワーク スクリプトやボットネットから、人間の行動をエミュレートするツールや、人間によるクリック ファームにAPI呼び出しを行ってCAPTCHAを解くことができるフレームワークまで、さまざまなツールを使って攻撃を変える可能性があります。

この種の攻撃は、セキュリティ チームと不正対策チームの両方の責任にまたがります。セキュリティ チームと不正対応チーム、またはそれぞれのツールが連携していないと、脅威の情報やコンテキストが失われ、攻撃の全体像を把握することが困難に(場合によっては不可能に)なります。その結果、不正行為者はその隙間をすり抜け、企業とその顧客は金銭的な損失を被ることになります。

今こそ、組織のサイロを打破する時です。チームやテクノロジーの垣根を越えたコラボレーションは、収束、増収、そして最終的には企業の成功につながります。さらに、リソースやデータを共有することで可視性が向上し、犯罪組織を排除すると同時に、優良顧客をスムーズに通すことが可能になります。Aite-Novarica Groupが110社のフィンテック企業を対象に行った調査では、統合された不正対策システムを導入している企業は、個別の不正対策システムを導入している企業と比較して、不正行為の管理がやや容易である、または非常に容易であると回答する割合が2倍になっています。

統合されたプラットフォームには、データをプールして継続的に分析することで、より多くの不正行為の状況を把握できるというメリットがあります。より多くのデータ セット、つまりより多くの不正信号があれば、より予測的で正確な機械学習モデルを作成することができます。これにより、さらにプロアクティブで実用的なインテリジェンスが得られるだけでなく、精度の向上により認証が迅速に行われ、不正行為を増やさずにお客様がシームレスに取引できるようになるため、ユーザー エクスペリエンスの向上にもつながります。

外側に目を向ける

効果的な不正対策のエコシステムを構築するには、外に目を向けることも重要です。金融サービス企業や加盟店では、ツールを購入して社内で不正行為を管理し、スタッフが不正行為を防ぐためにツールを設定するのが一般的です。しかし、不正行為による攻撃は時間の経過とともに変化するため、それに対応するために不正対策の戦略を変更したり、認証ルールを調整したり、誤検出を調査したりしなければなりません。言い換えれば、企業は新たな不正攻撃(および金銭的損失)を経験してからでないと、今後の不正攻撃を防ぐことができないのです。このようなリアクティブな戦略では、社内の各部門がセキュリティ ギャップを調査して修正している間、会社は無防備な状態になってしまいます。

なぜプロアクティブでないのでしょうか?商用ソリューションを提供するベンダーは、その幅広い経験と可視性を活用して、個々の顧客が自身を守る以上に顧客を守ることができます。では、どのように行うのでしょうか?複数の地域や業界にまたがる大規模な顧客基盤を持つベンダーは、特に脅威インテリジェンスが集団的な防御ネットワーク全体で共有されている場合には、不正行為について非常に広い範囲を把握することができます。新たな不正攻撃のベクトルが出現した場合、ベンダーはすべての顧客を守るために不正行為に対する防御策をすばやく変更することができます。

Win-Win-Winのソリューション

巧妙化する犯罪組織とその攻撃の一歩先を行くことは、特にスタッフやリソースが不足している状況では困難です。今こそ、内と外に目を向けるべきです。サイバーセキュリティと不正行為対策を統合したチームを編成し、外部の専門家を活用することで、主に3つのメリットが得られます。サイバーセキュリティと不正行為対策が簡素化され、損失が減少し、お客様のオンライン体験が向上します。Win-Win-Winのソリューションです。

David Mattei著、Aite-Novarica Group戦略アドバイザー

_____

詳細については、Aiteのレポートをお読みになり、不正行為による損失を最小限に抑えるための新しい戦略をご確認ください。

詳細については、Aiteのレポートをお読みになり、不正行為による損失を最小限に抑えるための新しい戦略をご確認ください。