決済承認率15%改善、不正率ほぼゼロを実現。「and ST」が導入したRiskifiedの網羅的な不正対策アプローチ
「承認率低下」「不正増加」「運用負荷」の“三重苦”をどう突破する? 「3Dセキュア」必須化の課題をRiskifiedのチェックアウト・インテリジェンスで解決した「and ST(アンドエスティ)」の事例を解説する
7:00
2025年以降、クレジットカード決済におけるセキュリティ強化のためにEC加盟店での「3Dセキュア」対応が必須になった。不正利用の減少に効果を発揮する一方で、決済承認率の低下や決済段階での離脱による売り上げの減少、運用負荷の増大といった課題も生まれている。ファッションEC「.st(ドットエスティ)」を運営するアンドエスティの本多由美子氏もかつて、急増する不正利用と激務化する目視チェックの現場で限界を感じていた1人だ。
セキュリティの強化とスムーズな購買体験、ひいては売り上げの最大化という相反する課題を、アンドエスティはいかにして両立したのか。Riskifiedのチェックアウト・インテリジェンスがもたらした業務効率化と決済承認率向上のプロセスから、「3Dセキュア」必須化時代を生き抜くための実践的なヒントを解説する。

決済承認率が改善! アンドエスティの成功事例
アンドエスティは2025年の商号変更時に自社ECサイトを「.st(ドットエスティ)」から「and ST(アンドエスティ)」へ改称。従来のSPA(製造小売)型のビジネスモデルから、他社ブランドや多様なサービスともつながるプラットフォーマーへリブランドした。

アンドエスティでは、「.st」時代から、クレジットカード決済における不正を防止するための本人認証サービス「EMV 3-Dセキュア2.0(以下、3Dセキュア)」を全注文に対して実施していた。
不正利用が一気に増えた2023年頃から、目視チェックを導入した。ただ、これが想像以上に人のリソースを奪う。私自身も1か月ほど張り付いて確認し続けたが、やはり人間のチェックにはどうしても限界があり、防ぎきれないケースも出てくる。不正はそのまま増え続け、状況はなかなか改善しなかった。(本多氏)
アンドエスティ プラットフォーム開発部 シニアマネージャー
本多由美子氏
「3Dセキュア」を適用すると、消費者にはSMS認証などの手間が発生するため、離脱も発生する。アンドエスティでも一般的な加盟店と同様に、「3Dセキュア」による離脱が5〜10%程度発生し続けた。
「3Dセキュア」を注文に対して100%適用していたため、アンドエスティにチャージバックの連絡はほとんど来なかった。ただ、その裏では不正が発生していた。「3Dセキュア」は不正対策ではなく本人認証に過ぎないため、不正を防止する効果は限定的だ。アンドエスティではリアルタイムで不正を把握する手段がなく、後になって想定以上の不正が判明。結果として、アクワイアラから指導を受ける状況に陥った。
オーソリを通すタイミングでカード会社からの拒否や離脱も増加した。この頃、不正の増加が顕著になっており、オーソリ承認率は次第に低下していった。

承認率改善をめざしてRiskifiedのチェックアウト・インテリジェンスを導入
カード決済では承認率が低いほど不正は発生しにくい。しかし、売り上げを最大化するためには「承認率が高く、かつ不正が発生しない状態」を実現する必要がある。アンドエスティでは承認率の落ち込みが深刻化し、「不正を減らさない限り承認率は改善しない」という共通認識の下、Riskifiedが提供する不正検知プラットフォームを導入した。
Riskifiedは2013年にイスラエルで創業した、AIベースの不正検知領域のパイオニアだ。Riskifiedの決済時不正検知チェックアウト・インテリジェンスの導入により、チェックアウト時の不正検知が行われ、そのうえで、3Dセキュアに進むか、そのままオーソリに進むかが判断されるフローとなった。

Riskifiedのチェックアウト・インテリジェンスは従来型のスコアリングツールによる不正検知とは異なるAIベースの不正検知プラットフォーム。数百名のアナリストが24時間365日体制でAIモデルの改善に取り組んでいることも特長で、不正が発生した場合AIと専門家によるハイブリッドな体制で迅速な検知・抑止が可能だ。(ナボン氏)
Riskified Japan Account Executive ナボン恵子氏
Riskifiedのチェックアウト・インテリジェンスがもたらした効果とは
導入から12か月、アンドエスティは顕著な成果を達成した。
- 決済承認率の向上……導入前の決済承認率は76%〜89%で、3Dセキュアの失敗やオーソリNGにより、不正利用者ではない正常な顧客も決済が完了できない状況があった。しかし導入後は決済承認率がおよそ15%改善し、95%以上へと向上。売り上げの機会損失を大幅に削減した。
- 不正発生率の低下…安全な決済環境が実現し、導入後9か月で不正の発生率は0.0006%、12か月後には0.0002%と、ほぼゼロに近い水準を維持している。
- 運用負荷の削減…目視チェックにかかっていたリソースは、導入前と比べて週に約10時間削減され、大幅な業務効率化を実現できた。
自分でも3Dセキュアをスキップして注文してみた。これまでにない速さで注文が完了し、決済体験の改善を実感できた。(本多氏)
さらに、チャージバックの抑止における「反証対応」の効果も高い。反証とは、利用者自身が購入したにもかかわらず「買っていない」「このカードは使っていない」などと不当な申し立て(虚偽のチャージバック)をしてきた際に、正しく購入された証拠を示すことだ。
Riskifiedから購入証明になる適切な反証資料が提供されることで、不当な申し立てを取り下げさせる可能性が高まり、アクワイアラから見たチャージバック件数を減少させることができた。一から反証資料を作成することなく、Riskifiedが示す資料をそのまま利用するだけで済む。現在のアンドエスティにおける反証勝率は約70%にものぼる。
Riskifiedのチェックアウト・インテリジェンスが備える豊富なソリューション
Riskifiedのチェックアウト・インテリジェンスは決済前、決済時、決済後の各フェーズの不正検知を網羅している。ソリューションは加盟店のウェブサイトに設置するフロントエンドのJavaScriptスニペットと、バックエンドの取引データで構成されている。フロントエンドとバックエンドで取得、送信されるデータポイントを相互に分析することで、データの不整合を検知していく。タイムゾーンや言語設定の不一致、ユーザーエージェントの偽装など、複数のシグナルを組み合わせることで、なりすましの兆候を高精度に見抜くことが可能となっている。
アカウント保護
決済前の不正検知ソリューションである「アカウント保護」は、新規アカウントの作成、ログイン、属性情報の変更といったタイミングにおいて、その操作が本当に会員本人によるものなのか、あるいは第三者によるなりすましなのかを、多角的なシグナルから分析し、そのリスク評価に応じて最適なアクションをリアルタイムで提供する。
たとえば、新規アカウントの作成時には、不正傾向が見られるユーザーのアカウント作成や、複数アカウントを作成しようとする悪質なユーザーをブロックすることができる。また、ログイン時の検知では「許可」「通知」「チャレンジ」といった段階的な制御を行う。「許可」と「通知」は、ユーザー体験を損なわないフリクションレスな設計となっており、「通知」は通常と異なるログインが検知された場合のみ行われ、ユーザーが「これは自分ではない」と申告できる仕組みだ。
加えて、登録情報の変更時においても同様に不正検知を行うことで、アカウントのライフサイクル全体をカバーする。さらに、アカウント乗っ取り後に発生しやすいポイントの不正利用や二次被害に対しても、検知防止の対象範囲となっている。
チェックアウト・インテリジェンス
決済時の不正検知ソリューションであるチェックアウト・インテリジェンスは、ユーザーが購入ボタンをクリックしたタイミングでリアルタイムに不正検知を行う。導入形態としては、「3Dセキュア」やオーソリの前に不正検知を行うパターンや、オーソリの後に不正検知を行うパターンなど、加盟店のニーズに応じて柔軟に設計することが可能である。いずれのケースにおいても、顧客からは一切意識されることのない、完全にシームレスな不正判断を実現している。
Riskifiedでは不正ではない一般の顧客をいかに正しく承認できるかを重要な指標としている。そして、承認したトランザクション、「3Dセキュア」に連携する場合にも不正判断の役割を担う。なお「3Dセキュア」に連携しない場合にはRiskified側がチャージバックを保証するため、加盟店は不正リスクを負うことなく、フリクションレスでスムーズな購入体験を提供することが可能になる。
なりすまし検知
なりすまし検知の具体例を紹介する。このケースではユーザーエージェントがiPhoneだったが、OSの情報としてLinux系の値が確認されていたり、タッチスクリーンの存在が確認できなかったり、マウス操作が行われていたりといった、本来iPhoneであれば発生しないはずのシグナルが複数検出された。こうしたデータの不整合から、なりすましの可能性が高いと判断できた。
「3Dセキュア」必須化における運用の壁をどう突破するか
経済産業省の指針により、「3Dセキュア」は2025年より必須化されたが、運用パターンには次の3つがある。
① 加盟店のリスク判断により認証を実施する方式
② カード番号登録時のみ認証を実施する方式
③ 決済の都度認証を実施する方式
決済承認率の観点から、売り上げに最も有利とされるのは①だが、①は網羅的な不正対策として、属性・行動分析を含む包括的な不正検知の実施が基本要件として求められる。網羅的な不正対策とは、決済前、決済時、決済後を一体として捉え、連続的に対策を講じることだ。それには24時間365日体制での継続的なセキュリティ対策が必要となり、さらにインシデント発生時の連絡体制など、組織としての対応プロセスが整備されていることや、アクワイアラからの承認を得ることも条件となるため、自社で体制を整えるのは現実的ではない。
アンドエスティでは「3Dセキュア」が必須化される以前から、③のパターンで運用してきたが、Riskifiedのチェックアウト・インテリジェンスを導入し、またRiskifiedの支援を得てパターン①取得に必要な資料や体制を整えたことで、①のパターンでの運用が可能になった。
Riskifiedは上述の不正対策に加え、クレジットマスター攻撃(クレマスアタック)への対策、注文内容や配送先情報のチェック、さらにユーザーの属性や行動分析まで総合的に実施する。継続的な不正検知を24時間365日体制で行っており、ポルトガル、イスラエル、インド、オーストラリア、ブラジル、ニューヨークなど、世界各地の拠点にアナリストを配置し、グローバルな運用体制を構築している。RiskifiedはAIモデルそのものを最適化して構築し判定精度を大きく向上させており、現在は日本国内の加盟店に特化したAIモデルの構築を進めている。
「3Dセキュア」必須化という大きな環境変化のなかで、セキュリティの強化と決済の最適化、そして顧客体験をいかに両立するか。アンドエスティがRiskifiedとともに導き出したこの成果は、EC事業者にとって極めて実践的で参考になる事例と言えるだろう。



