金融企業が多階層検知により、サードパーティ不正の80%以上を削減
SASは、不正のトレンドをリアルタイムで特定しながら誤検知を削減する取り組みを支援しています。
数百万ドルを節約
Axcess Financialがこの事例で活用した製品 • SAS® Identity 360 on Microsoft Azure
Axcess Financial社、SAS Identity® 360 on Microsoft Azureを活用して、不正による損失を劇的に減らし、顧客満足度を大幅に向上
人生は一瞬で変わることがある。もしかすると、通勤中に車が壊れるかもしれないし、子供の体調が急に悪くなり医療措置が必要になるかもしれない。あるいは、新しい仕事に就き、最初の給料小切手の到着を待っているものの、家賃と水道光熱費の支払期日は今日かもしれない。これらすべての ── および他の多種多様な ── 不測の事態に直面した人々は、やりくりのためにペイデイローン〔訳注:給与を担保に短期かつ小口の融資を行う金融サービスのこと〕に頼る可能性がある。
それこそまさに、Axcess Financial社が提供するサービスだ。25年以上にわたり、Axcess Financial社とその関連会社は、あらゆる生き方の人々が必要なときに必要な資金を入手できるよう支援してきた。現在、同社は1,000件の店舗を運営しており、オンラインでのプレゼンスも拡大中だ。
融資を希望する人々の大多数は合法的に融資を受けるが、すべての申込者が善良な意図を持っているわけではない。事業の成長に伴い、不正を企てる申込者の数も増えた結果、相当な額の金銭的損失が生じていた。Axcess Financial社は、ID不正(個人情報不正)の新たなトレンドの検知とそれに対する適応をリアルタイムで実行するための、より優れた方法を必要としていた。そしてそれはSASの出番だった。結局のところ、人生は予測不能であるが、不正もそうである必然性はない。
デジタル空間での実効性を確保するためには、スピード、正確性、そして、新種の攻撃を素早く検知できる能力が不可欠です。SASはそれを行う能力をもたらしてくれるのです。 Rick Cooney Fraud Director Axcess Financial
不正の多様な側面
帳簿上の融資総数が5,000万件に及ぶAxcess Financial社とその関連会社には、従来型の不正検知対策が導入されていた。しかし、そのレガシーシステムは今日の洗練された組織的な攻撃を処理するようには設計されていなかった。同社は単一の検知手法だけに頼ってアラートを生成していたのだ。
このアプローチにおける重要な難点は、犯罪者がいったんシステムを学習すると、それを悪用できてしまうことである。Axcess Financial社の不正対策担当ディレクター、リック・クーニー(Rick Cooney)氏は次のように言う。「不正対策プロセスをリバース・エンジニアリングできる不正犯罪者は大勢います。そして解明に成功すると、彼らは毎回、(閾値の)スコアを下回ってくるのです。」
クーニー氏によると、金融機関における一般的な不正には3つのタイプがあるという。
- サードパーティ不正: 「ID窃盗」とも呼ばれる。犯罪者が被害者のIDを不正に使用して、被害者名義で融資を受ける行為
- ファーストパーティ不正: 犯罪者が自身の個人情報を操作して、自分用に複数の虚偽のIDを作成する行為
- シンセティック不正: 犯罪者が不正を働く目的のために、完全に架空のIDを合成(捏造)する行為
「どのケースでも、犯罪者たちは返済するつもりのない資金を借りようとします」と、クーニー氏は言う。「最も報道されているのはID窃盗ですが、これら3つの中で最もリスクが高いのはファーストパーティ不正であり、僅差でシンセティック不正が続きます。この2つはとても良く似ていますから。」
多階層の不正検知
SASとパートナーを組む前のAxcess Financial社とその関連会社では、ひと月に数千件の不正な融資申請を受け取っており、虚偽の申請を正直な申請から見分けることが最優先事項となっていた。
クーニー氏は次のように説明する。「この問題を調べたときに私がすぐに気付いたのは、それ(=当時のシステム)が不正を検知しているのではなく、人物のID情報に不備がないことを確認しているだけ、ということでした。申請プロセス中に申請者の本人確認を行うという形で適度な “摩擦要因” を導入できれば、ID窃盗犯を受け入れてしまうことはなくなるはずです。」
いくつもの不正対策テクノロジー・ベンダーのソリューションを評価した後、Axcess Financial社が選んだのはSAS Identity 360だった(これはSASのIDアナリティクス・ソリューション群の最初のオファリングである)。このクラウドベースのSaaSオファリングを活用すると、企業や組織は複数の認証データ・プロバイダーを取りまとめ、デジタルユーザーの認証を迅速かつ一元的に処理できるようになる。
このSASソリューションの導入後すぐに、クーニー氏と彼のチームは、誰かがファーストパーティ/サードパーティ/シンセティック不正を働いていないかどうかを判定するために、トランザクションのセグメント化を開始した。どのようなタイプの不正が発生しているかをピンポイントで特定すれば、適切な防御策を講じることが可能になるからだ。
続いて取り組んだのは、不正検知に対する多階層アプローチをオーケストレート(連携調整)することだった。これにより、その後一切、Axcess Financial社が単一の検知手法に縛られることはなくなった。今では同社は、SASのアナリティクスを用いて7つの異なるソースのデータを集約した上で、KYCスクリーニング、ネガティブ・ファイル、不正検知ルール、行動バイオメトリクス(生体認証)、デバイスプリント認証、“機械学習による異常検知” といった多様な手法を活用することにより、不正犯罪者を素早く除外することができている。そして、結果がシステムにフィードバックされるほど、検知精度は向上していく。
クーニー氏は多階層アプローチを人間の感覚になぞらえた。「我々には視覚、嗅覚、聴覚、味覚、そして触覚があり、これらすべてを使って周囲の世界を評価します。それと同様、効果的な不正検知システムは、デジタルの観点からその人物が誰であるかを判定するために、すべてのデータを取り込まなければなりません。」
Axcess Financial社に関する事実と数字
1994年
設立年度
5,000万
融資件数
1,000
リテール店舗数
損失額が激減
導入後わずか数ヶ月のうちに、不正による損失額は激減した。
「現時点で、当社における不正問題の約70%について特定と対処が完了しています。シンセティック不正とファーストパーティ不正への対処は向上していますし、サードパーティ不正はほぼ排除できています」と、クーニー氏は言う。「SASにより、サードパーティ不正の80%を断ち切ったのです。」
Axcess Financial社の不正ID対策プロセス・マネージャーであるジャスティン・バターフィールド(Justin Butterfield)氏は、次のような前後例を紹介してくれた。
「SAS導入前のあるとき、我々は “同じ名前を使って融資を申請する人々” のグループを特定しました。彼らは2週間で55件の異なる申請を当社に送ってきましたが、それらは虚偽の社会保障番号とさまざまな住所 ── すべて同じ州でした ── が記入され、4つの銀行口座のどれかを使っていました。何らかの方法でデバイスのIDやフィンガープリントをリセットしていたようで、彼らは毎回、当社が以前に識別したことのない新しいデバイスでアクセスしてきました。我々は数時間ごとにシステムを手動でチェックするという方法で、これらの不正な申請を検知する必要があったのです。」
これは手間と時間がかかるプロセスだった。しかも、Axcess Financial社がいったん不正を特定してもイタチごっこが始まるだけであり、不正犯罪者は検知されないように戦術を変えた上で別の融資を確保しようとした。しかし、そうした状況のすべてが変わろうとしていた。
「SASの不正対策ソリューションを本稼働したとたん、攻撃者は毎回失敗するようになりました」と、バターフィールド氏は言う。「彼らはその後一切、当社から新たな融資を獲得できませんでした。彼らの成功率は30%から0%になったのです。」
カスタマー・エクスペリエンスを改善
Axcess Financial社は、申請プロセスにおける “望ましくない摩擦要因” の削減も達成した。以前は、多くの善良な顧客が「低速な認証プロセス」や「誤検知」による不便を被っていた。今では、SASを使ってユーザーの本人確認を行うため、正当な顧客は円滑に申請プロセスを進めることができている。誤検知率が低下したほか、融資希望者の10%は認証を全く必要としない。
「当社の事業はリピートビジネスに依存しています」と、バターフィールド氏は言う。「一人のお客様が一度のお取引だけ、ということはありません。だからこそ、このような方法で不正検知プラットフォームを構築したのです。我々は善良なお客様をお断りしたくはありません。そうした方々には必要なときに当社を頼りにしていただきたいのです。」
プロセス全体も格段に高速化した。Axcess Financial社ではこのSASソリューションをMicrosoft Azure上で実行しているが、融資申請の処理(必要な不正スクリーニングの適用も含む)を3秒未満で完了できる。こうしたリアルタイム判定は、急ぎで融資を必要としている顧客のユーザー体験の向上につながる。
同様に社内の担当者も、以前は数時間かかっていた「ID不正の申し立てに関する調査」を5分で素早く完了できるようになっている。「ユーザーがどのように本人証明を行うかをSASで確認することにより、我々は、誰かが “信用情報のクリーンアップ” や “債務の回避” を行おうとしているのか、それとも、その人物のIDが盗まれてしまったのかを判定することができます」と、バターフィールド氏は言う。「申し立ての約70%で、後者が真実だと判明します。」
不正防御の未来を構築
SAS Identity 360では、API経由で容易にテクノロジーを階層化することができる。「このおかげで、我々は新しいテクノロジーに素早く適応できます」と、クーニー氏は言う。「もし誰かがもっと優れた “ネズミ捕り” を構築したら、私はそのテストと実装を1年ではなく30日で行えます。そうしたレベルのスピードとコントロールは極めて重要です。」
「そして、それこそが、Axcess Financial社がアナリティクス・ライフサイクル全体をサポートするプラットフォームを欲していた理由です。デジタル空間での実効性を確保するためには、スピード、正確性、そして、新種の攻撃を素早く検知できる能力が不可欠です。SASはそれを行う能力をもたらしてくれるのです。」
本記事に掲載された導入効果は、各企業によって異なる状況やビジネスモデル、入力データ、業務環境に固有のものです。SASの紹介する顧客体験は、各企業に固有のものであり、業務面や技術面の背景もそれぞれ異なるため、各事例に掲載されたあらゆる証言は、導入の典型例を示すものではありません。導入にともなう金銭的効果、導入結果、ソリューションのパフォーマンスなどの特徴は、個別の顧客のコンフィグレーションや使用条件に左右されるものです。本事例は、すべてのSASの顧客が当該事例と同じ導入効果を得られるとするものではなく、そうした効果を保証するものでもありません。SAS製品および提供サービスの保証内容は、各製品・サービス向けに締結された契約書内の保証条項に記載された内容に限られます。したがって、本事例に掲載された内容は、それらの保証内容をなんら補足するものではありません。事例に掲載された顧客は、各事例をSASとの契約にもとづいて提供しているか、SASのソフトウェアの導入成功にともなう体験を共有しているものです。