　ショッピングサイトやポイント交換サイトでは他にも対策が講じられています。例えば、利用者のアクセス環境を確認し、普段とは違う場所や端末からのアクセスや不自然・不可能なアクセスだった場合は、取引をいったん中止したり、メールで確認したりします。配送先が過去に犯罪に利用されたことがあるものだった場合は、商品の配送を中止することもあります。

　これらの対策は以前の記事で紹介した「認証の3要素」を使っていないので、本人認証には当てはまりません。場所や行動様式を利用した、利便性を上げるために用いられる補助的な認証方法「リスクベース認証」の考え方を用いた対策です。リスクベース認証については、今後の記事にて取り上げたいと思います。

認証の3要素

　サービス事業者は、こうした対策を行う義務が課せられています。16年に割賦販売法が改正され、サービス事業者もクレジットカード不正利用対策の実施対象になりました。クレジット取引セキュリティ対策協議会がこの法律に対応した実行計画を設定し、対応を進めています。

　対応しなかったサービス事業者はクレジットカード払いが利用出来なくなるという事実上のペナルティーが課せられることもあり、対応は粛々と進んでいる模様です。先に紹介した「平成30年12月28日　クレジットカード不正利用被害の集計結果」で18年7月～9月の被害額が減少したのも、この実行計画の効果かもしれません。

　この実行計画では、番号盗用への対策として以下が挙げられています。

3Dセキュアなどによる「本人認証」
セキュリティコードによる「券面認証」
過去の接続情報や取引履歴による「属性・行動分析」
「配送先情報」データベースによる確認
新たな技術による対策が出現した際には有用性を確認して適用

　サービスを利用するにあたって、利用者側では項目3、4、5の適用を確認することは困難ですが、項目1、2については確認可能です。

　この実行計画は、20年の東京五輪・パラリンピックの開催までに整備することが目標であり、現在は最終段階に入りつつある状況です。利用者側としても、セキュリティを意識して「それがどのようなサービスか」と「3Dセキュアが適用されているか、もしくはセキュリティコードしかないのか」を確認し、そのサービスがどこまでセキュリティを意識しているのかを評価する時期になってきているといえます。

「3Dセキュア2.0」が登場

　3Dセキュアをより使いやすく、導入しやすくするために「3Dセキュア2.0」がリリースされています。

　これまでの3Dセキュアはパスワード入力画面をWebブラウザでしか開けず、カードブランド側で用意した固定のインタフェースとデザインになっていました。利用者からみると、利用していたサイトから突然デザインテイストが異なる3Dセキュアの画面に遷移したり、ポップアップが表示されたりするので、なじみがないと使いにくいという難点がありました。

何が改善？

前のページへ 1|2|3|4 次のページへ