2025年5月7日8:00
NTTデータが、決済プラットフォームから見たEMV 3-Dセキュアの活用実態を解説。2024年10月に開催された前回のペイメントセキュリティセミナー後のアップデート情報に加え、最新EMV仕様動向や、NTTデータが提供する新たな不正利用対策ソリューションの詳細についてご紹介します。(2025年2月27日開催「ペイメント・セキュリティフォーラム2025」の講演より)
株式会社NTTデータ ペイメント事業本部ペイメントプラットフォーム事業部
開発統括部 サービス開発担当 課長代理 川口 史恵氏
決済プラットフォームを通して培った
知見とノウハウをベースに企業をサポート
NTTデータはCAFISという決済ネットワークサービスを提供しております。このCAFISを通じて、さまざまなクレジットカード会社をサポートしてまいりました。
CAFISの不正利用対策の歴史は長く、古くは1990年代のICカード対応から始まり、利用形態や不正手口が対面から非対面決済に移り変わるのに合わせて、2010年代後半からはクレジットカード番号の非保持化対応やEMV 3-Dセキュア対応など、現在までさまざまな不正利用対策ソリューションを提供してきました。ペイメントセキュリティの提供先もさまざまです。
決済プラットフォームであるからこその知見・ノウハウ・影響力を持っていることが、NTTデータのペイメントセキュリティの強みであると考えており、それらを生かし多くのお客様のペイメントセキュリティのパートナーとなることを目指しています。
2025年3月はENV 3-Dセキュアの義務化対応の期限になっています。それを目前にした今、クレジットカード決済の市場や不正がどのように変化しているのか、そして義務化のその先に必要となるペイメントセキュリティとはどういったものなのか、決済プラットフォームとしての弊社の見解をお伝えさせていただければ幸いです。
決済・決済外利用ともに
チャレンジ認証の増加傾向が見られる
EMV 3-Dセキュアについて簡単におさらいしておきましょう。EMV 3-Dセキュア2.0以降、EMV 3-Dセキュアにおける認証方式は、従来の一律の固定のパスワードを入力する方式から、不正利用リスクが高い取引にのみチャレンジ認証と呼ばれる追加認証を行う方式に変わりました。また入力するパスワードも、固定パスワードから動的パスワードに変わりました。
EMV 3-Dセキュアにおけるトランザクション傾向をご紹介いたします。弊社のACSで取り扱っている3-Dセキュアの取引量の推移を見ますと、2025年3月の義務化期限に向けて、多くの加盟店にご尽力をいただき、増加の傾向をたどっています。直近1年間の特筆すべき傾向として、チャレンジ認証の割合が、以前は30%台を維持していたものが、直近では40%近くにまで高まっています。
チャレンジ認証の割合が高くなっているのは、不正の手口が高度化・多様化することによって、リスクベース認証のチェックをかいくぐり、フリクションレスに遷移することを狙った手口が増加しているという背景があります。このため、不正傾向やユースケースによっては、イシュア―、加盟店にて以前よりも積極的にチャレンジ認証を活用していく動きがあると推察しております。
トランザクション傾向の2つ目を紹介します。2024年8月と2025年1月の3-Dセキュアの認証結果を比較してみますと、フリクションレス、追加認証なしで認証された取引、そしてチャレンジ認証に遷移して成功した取引のいずれも、割合が増加しています。これは、EMV 3-Dセキュアの会員登録数の増加、固定パスワードを忘れたことによるチャレンジ認証の失敗の減少、そしてユーザーが3-Dセキュアに慣れたことに起因しているものと思われます。
一方で、ECサイトにカードを登録する際などのEMV 3-Dセキュアが決済以外の用途で実行されるケースでは、チャレンジ認証の割合が高くなっています。これは、EMV 3-Dセキュア2.1以降、加盟店にてチャレンジ認証の要否を指定することができるインターフェースが追加になったことに起因しています。決済以外の用途においては、9割近くのトランザクションにおいて、加盟店がチャレンジ認証を必須と指定して3-Dセキュアを実行しているため、認証結果についてもチャレンジ認証を行った割合が高くなっていると考えられます。また、今後新たな運用パターンによる3-Dセキュア導入を行う加盟店が増加することにより、本ユースケースにおけるチャレンジ認証の重要性はより一層高まってくるものと予想しています。
95%が動的認証に移行済み
チャレンジ認証は安全性とユーザビリティの両立へ
トランザクション傾向の3つ目は、3-Dセキュアにかかる時間です。先ほどフリクションレスの割合が増えているとお伝えいたしました。では本当にエンドユーザーにとってフリクションレス、つまりストレスなく3-Dセキュア認証を行えているのかについて言及してみたいと思います。弊社の3DSサーバ、つまり加盟店側から見たフリクションレスの場合の処理時間は、ボリュームゾーンが2~5秒となっております。3-Dセキュアの後にオーソリゼーションが行われることを加味すると、エンドユーザーから見た処理時間は3~7秒とも考えられます。この数字は、3-Dセキュア導入前と比較すると長いと感じるエンドユーザーもいらっしゃるかもしれません。
また、注目すべきは、数パーセントであるとはいえ、フリクションレスであっても10~20秒かかっているケースがあるということです。これは3-Dセキュアが抱える潜在的な課題だと考えています。これは、国際ブランドのディレクトリサーバ拠点が海外であるため、国境を越えたインターネット通信を経由しなければならないこと、またやり取りするメッセージの数と経由する処理ノードの数が非常に多いことゆえに、どうしても3-Dセキュアを完了するまでの時間がかかってしまうケースが発生してしまうためです。そのためEMV 3-Dセキュアは、たとえフリクションレスであってもユーザーエクスペリエンス面ではいくらかの課題が残るものであると言えるでしょう。
トランザクション傾向の4つ目として、チャレンジ認証の移行状況と成功率の変化についてご紹介します。先ほどチャレンジ認証成功の割合が増えているとお伝えしました。2025年1月の状況では、95%の取引が動的認証に移行済みですが、この内訳としては2024年8月と比較して、静的・専用アプリOTPが減少し、SMSによるOTP認証の割合が6%増加しています。これは“SMS-OTPは認証率が高い”つまり、“エンドユーザーにとってはSMS-OTPの方がユーザビリティがよい”と考えられていることによるものと推測しております。つまりはチャレンジ認証の必要性・重要性が高まることに比例して、チャレンジ認証には安全性とユーザビリティの両方が求められるセカイへと変化しているのではないかと考えております。
以上、EMV 3-Dセキュア義務化後の市場や不正の変化についてまとめますと、1点目は、イシュア―と、加盟店、PSP双方の3-Dセキュア義務化対応の努力により、フリクションレスOKとチャレンジ認証OKの割合が増加し、3-Dセキュアが一般的に使える状態になっていること。2点目は、3-Dセキュアの潜在的な特性により、フリクションレスOKでもユーザーエクスペリエンスに課題は残っており、場合によってはクレームとなり、リピート顧客を逃し、将来の機会損失の可能性があるというリスクがあること。3点目は、不正利用手口の高度化・多様化および新たなOTPフィッシング手口の登場により、チャレンジ認証における安全性・ユーザビリティの需要が一層高まっていくということ。そして、それらに応える手段として、属性・行動分析と3-Dセキュアの組み合わせの活用や、新たなチャレンジ認証が求められるようになっていくと考えております。
NTTデータが提供するペイメントセキュリティソリューション
組み合わせにより実効性が向上
3-Dセキュア義務化対応だけでは、機会損失や不正利用をなくすことはできません。ではこれにプラスして、どのような対応が必要とされているのでしょうか。
NTTデータは現在3つのペイメントセキュリティソリューションを提供しています。3-Dセキュアの分野においては、イシュア―向けのACSサービス、そして加盟店、PSP向けには3-DセキュアサーバサービスであるCAFIS 3DS Connector。そしてすべてのお客様に向けた属性・行動分析のサービスである、CAFIS Brain。デバイス情報や取引情報を分析することで、不正リスクのある取引・ユーザー操作を検知します。NTTデータでは、これらのソリューションの組み合わせによって、これからのペイメントセキュリティのユースケースに対応していけると考えています。
最近では、厳格な不正ログイン対策とはいったい何をすればいいのですか、というご質問を加盟店様やPSP様より多くいただきます。クレジット取引セキュリティ対策協議会が作成している「セキュリティ・チェックリスト」第3版では、具体的に推奨されている対策が示されています。その中のかなりのものが属性・行動分析に該当するものです。CAFIS Brainを採用していただければ、決済時だけでなく、会員登録時やログイン時にも属性・行動分析を行うことが可能です。これにさらにCAFIS 3DS Connectorを組み合わせて活用していただくことで、優良顧客でかつ正しくログインされた場合の取引については、3-Dセキュア実行の対象外とし、不正リスクがあると判断した取引のみ3-Dセキュアを実行するなど、運用パターン②への対応も可能になります。
EMV 3-Dセキュア義務化後には、3-Dセキュア、属性・行動分析を効果的に組み合わせて活用することにより、不正利用対策の実効性をさらに高めることができます。NTTデータは、3-Dセキュア義務化後のセカイにおいても、皆様にとって必要なペイメントセキュリティをトータルでサポートしてまいります。最後までご清聴ありがとうございました。
■お問い合わせ先
株式会社NTTデータ
ペイメント事業本部ペイメントプラットフォーム事業部
開発統括部 サービス開発担当
URL:https://www.nttdata.com/jp/ja/contact-us/
The post NTTデータ 3-Dセキュア義務化後のセカイはどうなる? いま貴社に必要なペイメントセキュリティとは ~決済プラットフォーム企業だからこそ提供できる不正対策ソリューション~ first appeared on ペイメントナビ.