オンラインのE-コマース トランザクションはEMVによって安全になるか

それでは、この疑問をすぐに片づけてしまいましょう。EMV、つまりチップが組み込まれたスワイプ不要のクレジット カードは、(利用者本人が直接関係する)クレジット カード詐欺に対する強固な防御手段です。  しかし、カード不使用のE-コマース トランザクション(オンラインE-コマースなど)では、EMVは関係なく、サイバーセキュリティの脅威が急増し続けています。このような場合、実店舗と同じように安全で便利な操作性をサイバー世界のお客様にも提供する必要はないのでしょうか。

当然のことながら、対面で不正行為を働くチャンスが減少するにつれて、オンラインの不正行為は大幅に増加するであろうと予想されています。実際、Javelin Strategy and Researchが作成したデータによると、カード不使用の不正行為は2018年までにPOSでのカード詐欺の約4倍になり、オンラインでの損失額はなんと190億ドルを超えると予測されています。

Aite GroupがRSAのために行ったこの調査では、カード不使用の環境を保護するために加盟店とカード発行会社が利用できるソリューションは多岐にわたっており、階層型アプローチによって個々の防御策に対応できることがわかりました。

カード不使用の不正行為

カード発行会社向け:

 

    • カード不使用トランザクションのリスク ベース認証に投資する。カード不使用の不正行為は、もはや加盟店だけの問題ではありません。米国において3Dセキュアの採用が増加していることや、カード会員の一貫した操作性を保証しなければならないという競争上の圧力のおかげで、カード不使用の効果的なリスク評価は共通の責務となっています。カード発行会社は、不正行為の結果として生じる不利益とともに、3Dセキュア トランザクションの量も増えていくことを認識するでしょう。リスク ベース認証は、カード発行会社がお客様の操作性に与える影響を最小限に抑え、低い誤検出率でトランザクション リスクを適切に評価するのに役立ちます。

 

  • トークナイゼーションを採用する。加盟店のデータ侵害はなくなりません。安全なカード環境を作成する最善の方法は、加盟店のシステムから機密データを排除することです。これにより、避けることができない侵害が発生しても、カード会員は守られます。

 

加盟店向け:

 

    • 行動分析に投資する。オンラインおよびモバイル チャネル内での行動分析は、エンド ユーザーに対して透過的であり、差し迫った攻撃や進行中の攻撃を示唆するパターンを検出できる優れた方法です。

 

  • 不正行為スコアリング システムを活用する。オンライン セールスで役立つこのツールは、特に各セールスを「評価」して、そのリスク レベルを判断するために導入できます。メトリックとデータ ポイントを融合させて、IPフィルタリング、地理的な場所、プロキシ検出、セールスの閾値などを取り入れた不正行為スコアリング ツールは、高リスクで、多くの場合不正なセールスを特定、回避するのに役立ちます。

 

 

  • トークナイゼーションを採用する。現在の脅威環境を考慮すると、遅かれ早かれ悪者がシステムに侵入することを想定する必要があります。新聞記事に載るような重大ニュースに巻き込まれないための最善の方法は、悪者がシステムに侵入したとしても、貴重なデータを入手できないようにすることです。

 

 

  • 3DS 2.0の採用を計画する。静的なパスワードの完全な全廃に向けた業界の「潮流」は2016年も続いており、従来の3DS標準は近い将来に「3DS 2.0」になります。業界の主要なステークホルダーと共同で開発されている2.0バージョンでは、高度でインテリジェントなリスク ベース認証を利用した、より円滑なユーザー エクスペリエンスに対する要件が取り入れられる予定です。

 

結局のところ、操作性とセキュリティの間にはトレードオフの関係があります。 セキュリティとエンド ユーザーの利便性のバランスをとり、リスクに勝る見返りを保証することは個々の判断です。また、オンラインで買い物をするか、あるいは実際の店舗で小売りの取引を行うかを選択する場合も同様です。どちらのチャネルを利用するお客様も保護したい企業にとって、今日のテクノロジーは、お客様のオンラインまたは実店舗でのトランザクションの安全性を保証できるだけでなく、お客様を維持してさらなるセールスにつなげていくのに十分な利便性と信頼性を提供します。

RSAの不正行為およびリスク インテリジェンス ソリューションの詳細については、@RSAFraudをフォローしてください。

No Comments