2025年3月末にEMV 3-Dセキュア（3-Dセキュア2.0）導入の原則義務化が迫っているが、事業者としての対応は“導入して終わり”ではない。その先には更新が発生する可能性が高く、事業者が最新の情報をキャッチアップするのは困難だ。

株式会社アクルが提供する不正検知・認証ツール「ASUKA」では、新たにEMV 3-Dセキュアに対応した「ASUKA-3DS」を展開し、事業者の不正対策への支援を一層強化している。今回はECのミカタが主催した「EC事業者向けの総合セキュリティカンファレンス2024」において、同社 代表取締役社長 近藤修氏が語った新サービス「ASUKA-3DS」の特徴と事業者が抱える課題について紹介する。

EMV 3-Dセキュアをシームレスに統合する「ASUKA-3DS」

株式会社アクル（以下、アクル）が提供するクレジットカード決済の不正検知・認証システムの「ASUKA」は、2024年11月時点で300社超、3万サイト以上が利用しており、国内最大のネットワークを誇っている。不正検知システムはブラックボックス的な側面が強く、実際に利用してみないと効果を得られるかが不透明だ。しかし、国内で不正な決済を行っている不正利用者は同じである場合が多く、ネットワークが広いことは重要なポイントとなる。「誰かが傷つくと他の人が助かるのがネットワークの特徴です。アクルが持つ国内最大のネットワークは、私たちのサービスが選ばれる主な理由となっています」（近藤氏）。

そのアクルがこのたび、新たなサービスとして「ASUKA-3DS」の提供を開始した。「ASUKA-3DS」とは、EMV 3-Dセキュアの提供および運用支援サービスであり、「ASUKA」を導入していればシームレスにEMV 3-Dセキュアを使えるのが特徴だ。

EMV 3-Dセキュアにおける5つの課題

画像提供：株式会社アクル（カンファレンス登壇資料より）

続いて、近藤氏は2025年3月に導入原則義務化を迎えるEMV 3-Dセキュアの課題について述べた。1つ目の課題は「多岐にわたる対策を考えなくてはいけず、コストや手間がかかる」ことだ。これまでは一般社団法人日本クレジット協会から「本人認証」「券面認証（セキュリティコード）」「属性・行動分析（不正検知システム）」「配送先情報」の4方策（※1）が定められていた。

しかし、近年は不正が多様化しており、決済前から決済後まで「線」で対策を考えなくてはならない。「最近はクレジットマスターアタックや不正ログインの被害が増えており、EMV 3-Dセキュアの義務化も始まります。時系列に応じて必要な対策をしなくてはなりませんが、個別に対策をしていたらコストと手間がかかります」（近藤氏）。「ASUKA」のプラットフォームでは不正ログイン対策やクレマスアタック対策などが行われていたが、今回「ASUKA-3DS」が加わることで、「線」の対策をほぼ全て網羅できるようになった。

2つ目の課題は「EMV 3-Dセキュアの開発にかかる工数やコスト」である。EMV 3-Dセキュアの開発には多額のコストがかかるケースや、仕様を見ると連携項目の選定やセッション保存など難易度が高いケースがある。「ASUKA-3DS」であれば、およそ1カ月弱で実装でき、「ASUKAプラットフォーム」の他の機能を利用することも可能だ。拡張性に優れている点は、事業者にとっても喜ばしい要素である。

3つ目の課題は「定期的に発生する仕様の更新に対応するための改修コスト」が挙げられる。2025年3月のEMV 3-Dセキュア導入の原則義務化を控え、「導入すれば終わり」と考えている事業者は多い。しかし、EMV 3-Dセキュアは導入して終わりではなく、定期的に仕様が更新される。

「ASUKA-3DS」はASUKA側でアップデートを行うため、更新の費用は原則として発生しない。つまり、中長期的な視点で改修コストを大幅に削減できるのだ。「PSPさんやECベンダーさんからタイムリーにセキュリティの情報を知るためには、能動的に情報を取りに行かなくてはなりません。私たちは決済のプロフェッショナルなので、最新の情報はいち早く提供し、最適なアップデートを実施してまいります」（近藤氏）。

4つ目の課題は「システム提供は受けているものの適切な情報共有がなく、突然改修のコストが発生したり、EMV 3-Dセキュアの効果を最大化できているか不安に感じたりすること」だ。実際に近藤氏はEMV 3-Dセキュアの義務化の方針が示された際、「どのタイミングで導入すべきか」という加盟店からの質問に対して「すぐに入れてもいいが、基本的には期限が来るまで待つのがいいのでは」と言及していた。

これはEMV 3-Dセキュアのガイドラインが定まっていない中で導入すると、更新による改修コストが発生してしまうと考えていたからだ。「大切なのは情報です。アクルは決済会社出身者が多くを占めているため、情報提供と連携項目の最適化に自信を持っています」（近藤氏）。

5つ目の課題は「かご落ちの回避と与信承認率の最大化」だ。EMV 3-Dセキュアがバージョン2.0になったことで1.0からの課題は解決されたが、まだ完璧ではない。また、EMV 3-Dセキュアのチャレンジ認証はカード会社に委ねられており、加盟店側でコントロールが不可能だ。つまり、加盟店側は依存するしかないため、不正利用者に狙われてしまうとEMV 3-Dセキュアだけでは対策が足りない。「ASUKAプラットフォームでは、事前に属性・行動分析などをシームレスに実施することできれいなユーザーだけを流すため、EMV 3-Dセキュアの負担を減らせます。決済の手前に不正検知を入れてEMV 3-Dセキュアとセットで使うのは、ベストな形だと考えています」（近藤氏）。

※1：一般社団法人 日本クレジット協会

「ASUKA-3DS」は運用ガイダンスに沿った体制構築も支援する

EMV 3-Dセキュアには3パターンの運用ガイダンスが示されており、新たに全取引ではなく一部の取引に限定できるという基準も設けられた。「ASUKA-3DS」を導入すれば、運用ガイダンスで示されているパターンに即した運用を実現できるだけでなく、了承が必要なPSPやアクワイアラーに対する支援も行っている。

導入の原則義務化が迫っているが、事業者はEMV 3-Dセキュアを導入して安心するのではなく、その先の改修や効果最大化も考えて対策することが大切だ。

画像提供：株式会社アクル（カンファレンス登壇資料より）