独自のデバイス識別・解析技術で不正を検知する【アラン・ノーマン  41st Parameter 社長兼 CEO】

日本のネット販売事業者の間でも、問題が深刻化しつつある不正アクセスによる被害。自社サイトからの情情報漏えいと同時に、漏えいした情報による攻撃からいかに身を守るかは、各事業者の課題だ。こうした状況下、欧米を中心にデバイスの識別技術と分析技術を活用した不正アクセスのセキュリティサービスの提供を行う41st Parameter(フォーティーファーストパラメーター)は日本での事業展開を加速。同社のアラン・ノーマンCEOは、情報が漏えいしていることを前提にした対策の重要性を強調する。(聞き手は本誌・後藤浩)

スポンサードリンク

不正アクセスによる損害は増えている

欧米を中心に約200社の大手事業者が導入

――御社でどのようなセキュリティサービスを提供しているのでしょうか。

クラウドでソフトを提供し、オンラインのトランザクションで不正がないかを当社のソリューションで監視しています。技術的には、デスクトップPCやラップトップPC、携帯電話、スマートフォンなどあらゆるデバイスを認識・特定する技術、そして挙動のパターンを解析し不正を検知する解析技術が特徴になります。

――具体的なサービスの内容を教えて下さい。

当社では、ネットユーザーの善意と悪意を縦軸、デバイスの特定と推定という認識を横軸に取ってできる4つの領域にサービスを提供しています。悪意を持ったユーザー対応のサービスとして『FraudNet(フロードネット)』というものがあります。各デバイスの特徴となるものを分析し、プ
ライバシーに配慮しながらユーザーには分からないような形でデバイスを特定するもので、悪意を持ったユーザーのデバイスをかなりの確度で検知できるのが特徴ですね。このほかに、デジタルメディアの不正行為の検知やマルウェアを検知するサービスも提供しています。

――善意を持ったユーザー向けのサービスとは、どのようなものなのでしょう。

事業者に広告のターゲティングに活用してもらう「AdTruth(アドトゥルース)」というものがあります。個人情報を取得せずにデバイスを推定していく仕組みになります。もうひとつ「TrustInsight (トラストインサイト)」。これは、クレジットカードを使い適正な買物をしたユーザーにデジタル的なIDを付け、事業者側が認証しても大丈夫なユーザーかどうかを認識できるようにしたものです。

――デバイス識別はなかなか難しいと思うのですが、識別の精度はどうなのでしょうか。

デバイスの識別技術は当社独自のもので、TDL(Time-Differential Linking:クライアントブラウザーとWebサーバーの時差を確認する手法)など特許も取得しています。他社でもデバイスの識別に関する試みを行っていますが、他社サービスと精度を比較すると、このTDLによりデバイスの認識率に40%近い開きがありました。当社の識別率が95%だとすると、他社は55%程度しか正確にデバイスを識別できないことになります。これはかなり大きな差だと思いますね。

――識別精度が高い理由は。

デバイスの識別技術だけではなく、その他の要素、アドレスやトランザクション、地域的な情報など約500のアルゴリズムを使って解析をするという総合的なアプローチをしていることが挙げられ
ます。組織的な犯罪の場合、同じ場所で同じデバイスから、盗んだ情報で一気に複数のサイトにアクセスするケースが多いため、こうしたアプローチが重要になるのです。

――実際に、どのような企業がサービスを導入しているのですか。

現在、欧米を中心に約200社が当社のサービスを導入しています。大企業が多く、銀行やクレジットカードなど金融関連の事業者が半数以上を占めています。ECやトラベル、デジタルメディアなどの事業者にも導入されており、ECでは米国のQVCやトイザラス、e-Bayエンタープライズなどが採用しています。

――御社としては、どのような事業者をターゲットにしているのでしょうか。

ひとつは、物理的なモノを出荷しているECなどの事業者。当社のサービスを使えば不正が検知でき、何かあった時にすぐに出荷を止めることができます。また、新しいところでは、ゲームや音楽などダウンロード系のデジタルサービス提供事業者もターゲットになります。もうひとつはクレジットカードのネットワークに関連した事業者ですね。クレジットカードのセキュリティシステムとして「3Dセキュア」もありますが、EC取引の拡大に伴い不正被害が拡大する可能性もありますので、こうした事業者は既存のセキュリティシステムの他にプラスオンするセキュリティの仕組みが必要となっています。

また、国境を越えたクロスボーダー取引を行う事業者も当社のターゲットになります。不正被害のリスクは国境を越えたところでいきなり大きくなりますからね。実際、クロスボーダー取引で不正被害が発生した場合の損害は、5倍程度高いと言われており、このリスクについては、海外向けのECを考えている日本の事業者も十分認識する必要があると思います。

――導入事業者数約200社というサービスの普及状況ついて、どのように評価しているのでしょうか。

想定を上回っており、当社の売上高も伸長率40 ~ 50%と急成長しています。要因はふたつあり、ひとつは、オンラインバンキングの急速な普及に伴い、当社のサービスが予想以上に必要とされていることです。大手のITベンダーが、同様のソリューションに対して有効な手段を講じられなかったこともプラスになっています。もうひとつは、モバイルデバイスの普及ですね。モバイルは、PCなどのデバイスと比較してトラッキングがしづらいのですが、それをしっかりと識別できることが支持されています。また、このデバイス識別技術をベースに開発したモバイルの広告ビジネスが非常に伸長している状況です。

NTTデータと組み日本での事業展開を加速

――日本での事業展開の状況をお聞か
せください。

日本では、一昨年の夏から事業を始め、すでに約20社が当社のサービスを導入しています。やはり大手の事業者が多く、有力なEC事業者も含まれています。日本では、今のところEC事業者をメーンターゲットに考えています。当社のサービスに対する問い合わせも多いですからね。また、銀行やクレジットカード会社も有力なターゲットですね。ECの決済とも関連しますが、万が一被害が発生した場合のすそ野が広いですから、当社のサービスに対するニーズは大きいと思います。このほかに、中小EC事業者への対応を考えると、決済代行事業者も重要なターゲットになります。

――昨年12月、NTTデータが御社の技術を活用したサービスの提供を発表しています。日本での事業展開の方向性は。

NTTデータとパートナーシップを組んだ展開がひとつの軸になります。NTTデータは銀行関係に強く、知名度や信頼度も高いですからね。また、サービスの提供を考えると、日本でローカルなデータセンターを運営していることも大きいと言えます。従来、クラウドサービスは米国のデータセンターから提供していましたが、NTTデータのデータセンターを活用することで、より効率的にサービスが提供できるようになります。

――NTTデータとの取り組みも行っているのでしょうか。

すでに共同で営業活動を行っており、NTTデータも4月からサービスの展開を始める予定です。昨年12月のサービス発表直後から反響があり、EC事業者からも問い合わせを頂いています。NTTデータでは、カード処理のネットワーク「CAFIS」を社会インフラとして提供しており、中小のEC事業者が安心してビジネスができるよう、「CAFIS」と当社の技術を連携したサービスの展開も考えています。

――日本の導入事業者数の目標は。

現在、約20社の導入事業者数を今年中に2倍にしたいと考えています。

情報の漏えいを前提に対策を考えるフェーズ

日本でも今が打ち手を講じる重要な時期

――昨今、日本では有力事業者の通販サイトでも不正アクセスによる被害が目立ち始めています。欧米の状況はどうなのでしょうか。

米国でもここ数年、不正被害のリスクが高くなっています。ある事業者から不正アクセスの件数が前年の10倍になったという話も聞いていますし、不正アクセスによる実損も増えています。今まで日本は言語の壁に守られてきた面もありましたが、それが通用しなくなりつつあります。日本の事業者も不正アクセスのターゲットにされていると思いますね。

――不正アクセスを受けた事業者のダメージについては。

不正アクセスに遭った米国のある有力小売事業者では、様々な損害を受けています。例えば、自社ブランドのクレジットカードなどを全て再発行しなければならず、それだけで数億ドルのコストを要したと言われています。また、不正アクセスの影響で売り上げが減り、ブランドにも傷がつくことを考えると、さらに数億ドルの損害が生じるでしょう。クレジットカードには保険もありますが、EC事業者やカード会社、銀行は、既存のセキュリティシステムに加え、さらにセキュリティを強化する必要があります。

――不正アクセスの被害拡大に伴い、対応策の考え方に変化はあるのでしょうか。

米国では1人の消費者が8~ 10のID・パスワードを持っていると言われています。日本でも恐らくそれに近い状況だと思いますが、すでにIDやパスワードは色々なところで漏えいしていると考えるべきでしょう。そうなると、あとはデバイスをきちんとチェックするしかありません。すでにIDやパスワードが漏えいしているという前提で、どのように対処していくかを考えるのが今のフェーズですね。

――不正アクセス対策に関する日本の現状をどのようにご覧になっているのでしょう。

これまで日本では、漏えいした情報による不正行為の対処に関する話はあまりなかったと思います。しかし、以前のようないたずらではなく、今は、悪意を持って情報を盗み、対価を得ようとしている人間がいるのです。その意味では、情報が盗まれることイコール実損に直結するということを理解し、対策を講じることが非常に重要になります。当社のサービスが海外の有力事業者に受け入れられているのも、漏えいした情報による攻撃から身を守らなければならないということが理解されているためです。

――日本は、欧米に比べ不正アクセス対策の取り組みは遅れているようですね。

一般的な見方として日本のEC市場は米国よりも2年遅れていると言われており、恐らくアタックレートや不正による損失の規模なども、2年前の米国の水準だろうと思います。同時に、不正を検知し対応するためのテクノロジーの採用も米国よりも数年遅れているのが現状でしょう。2年前、米国では100社以上が当社のソリューションを導入していました。日本については、これから普及に取り組む段階ですが、当社のサービスを導入すれば、危険を事前に察知し対処することができます。

日本でも、これから盗まれた情報による不正被害が増えると思いますし、グローバル経済の中で国際的なオンライン取引が増えれば不正リスクも高まります。日本の事業者も、今が打ち手を講じる重要な時期だと思います。

◇プロフィール◇

Alan Naumann(アラン・ノーマン)氏
1960年ミネソタ州生まれ。アイオワ州立大学でBSEE(電気工学理学士)の学位を取得。ヒューレット・パッカードでキャリアをスタート。以後、インターネットコマース・インフラストラクチャ、データ統合および分析、電子設計ソフトウエア、システムの仮想化、およびコンピュータシステム業界等で25年以上にわたり従事。電子設計ソフトウエア企業のCadence社、インターネットコマース・ソフトウェアを提供するCalicoCommerce社等を経て、前職のSystemCツールを提供するCoWare社ではCEOとして、システム仮想化設計ソリューションを提供する企業の中で最も急成長させる一方、2010年には、業界最大手のSynopsys社の合併を成功させる。

◇編集後メモ◇

昨今、日本でも有力ネット販売事業者の通販サイトが不正アクセスに遭い、情報が漏えいしたという報道が目立つようになってきました。市場の拡大が続き注目されるネット販売ですが、悪意を持った人間には格好のターゲットと映っているのかも知れません。欧米での不正アクセスの事例を知るフォーティーファーストパラメーター社のアラン・ノーマンCEOは、不正アクセスへの対策とともに、不正アクセスにより漏えいした情報による攻撃への対策の重要性を説きます。日本のネット販売事業者も不正アクセスの二次被害に遭わないための対策を本気で考えなければならないのかも知れません。

NO IMAGE

国内唯一の月刊専門誌 月刊ネット販売

「月刊ネット販売」は、インターネットを介した通信販売、いわゆる「ネット販売」を行うすべての事業者に向けた「インターネット時代のダイレクトマーケター」に贈る国内唯一の月刊専門誌です。ネット販売業界・市場の健全発展推進を編集ポリシーとし、ネット販売市場の最新ニュース、ネット販売実施企業の最新動向、キーマンへのインタビュー、ネット販売ビジネスの成功事例などを詳しくお伝え致します。

CTR IMG