判定スコアや判定ルールが必要？：不正対策に関する３つの通説を検証（PART２）

2022年9月22日 2022年10月30日

野田陽介 / Forter

不正対策の分野は過去５年間で劇的に変化し、現在も急速に進化を続けています。その結果、不正対策に関するかつての慣習は時代遅れの通説となりつつあるのです。本稿では、最も広く流布されている３つの通説について検証します。第一回目のコラムでは、不正対策と保険・保証について取り上げました。

今回のコラムで取り上げる通説は「不正対策ソリューションが透明性を確保するにはスコアやルールが必要だ」というものです。スコアやルールの必要性が誤った通説である理由は（少なくとも）２つあります。

この記事の目次

1 理由１：AIと機械学習は複雑である
2 理由２：ルールがシンプルなほど、ソリューションは影響を受けやすくなる
3 サードパーティのデータセット活用は問題を抱える
4 まとめ

理由１：AIと機械学習は複雑である

不正対策において、透明性に関する誤った考えがあります。「シンプルなルールを、正規と不正の判定理由を裏付ける証拠として必要だ」というものです。なぜ誤った考えなのかといえば、シンプルなルールが穴だらけだからです。

シンプルなルールは、ひどく単純化したテクノロジーの表れです。それらは限定的な結果しか得られないルールベースのシステムや荒削りな機械学習を用いたテクノロジーになります。その一方、不正者はますます巧妙化しており、彼ら彼女らの行為を「住所一致」や「未確認IPアドレス」などの判定理由に集約できないのが実情です。

たとえば、ある人物がアメリカのIPアドレスで新しいデバイスを使用し、中国語のブラウザを介して日本に配送する商品を購入したとします。いたるところに警告が出るでしょう。一方、その人物が中国人で日本にいる友人に普段使っているプロキシーサービスをONにしたままプレゼントを注文したとAIで判定できるとしたらどうでしょうか。取引は承認すべきですが、ルールベースの場合どのように説明できるでしょうか？そもそもなぜルールが必要なのでしょうか？

こうした状況を克服するため、業界リーダーの方々は最先端の機械学習やAIに着目しています。例として、Forterの特許取得済みのプラットフォームは、1取引ごとに最大7,000のデータポイントを調べ、時間の経過とともにパターンを明らかにし、膨大な自社データセット内のつながりを分析します。どのような判定であっても、もし調査が必要であれば、掘り下げて詳細を調べることができるのです。

理由２：ルールがシンプルなほど、ソリューションは影響を受けやすくなる

不正者の技術力を改めて認識しましょう。彼ら彼女らはプロフェッショナルであり、上述のように、テクノロジーを取り入れることでますます巧妙になりつつあります。そのため、不正対策ソリューションがスコアやいくつかのルールに集約するのであれば、不正者は容易にリバースエンジニアリングすることができます。つまり、適当な属性を操作してルールの間隙を巧みに縫ってくるのです。

ですが、AIと機械学習を使用することで、不正者に先んじることができます。これらのテクノロジーを組み合わせることで、既知および未知の不正に対処することができるのです。AIと機械学習はパターンを認識しそれらのパターンを明らかにすることで、不正組織、ブルートフォースアタック（総当たり攻撃）、新たなボットの挙動などを正確に特定することが可能です。

サードパーティのデータセット活用は問題を抱える

一部のベンダーが取引評価をスコアやルールベースに集約する理由の１つは、データセットから導き出せるものがそれしかないからです。たとえば、あるソリューションは自社ではなくサードパーティのデータを組み合わせて判断材料としています。こうしたサードパーティのデータをひとまとめにすると問題が生じます。あるIDに関して、それぞれのサードパーティが矛盾する情報を持っている場合、調整が困難になったり、複数の情報源を結合すると判定に要する時間が長くなったりすることがあるからです。

ときには、これらのベンダーは時間短縮のためデータを敢えて曖昧にすることもあるでしょう。皮肉なことに、これらのソリューションはサードパーティを利用していることへの透明性が高くないのです。

Forterは膨大な自社のデータセットを保有しており、AmazonやPayPal、Shopifyよりも多くのオンラインIDを把握しているため、取引の判定をサードパーティのデータに依存することはありません。つまり、ある取引に関して掘り下げて分析したい場合は、私たちがご提供する管理画面で詳細を確認することができます。