不正利用検知システムをリリースしました

こんにちは！不正利用対策チームのShoです。

3Dセキュア（3DS）導入の義務化、サイン決済の廃止が行われ、不正利用対策の重要性がますます高まっています。

UPSIDERでも2024年11月に不正利用対策チームを立ち上げ、より高精度な不正検知を目指した取り組みを開始しました。以下のブログでご紹介していますので、ぜひご覧ください。

tech.up-sider.com

そしてこの度、不正利用対策チームは新しく不正利用検知システムをリリースいたしました。

prtimes.jp

なぜ新しい不正利用検知システムを作ったのか

不正利用対策とUXのトレードオフ

不正利用を防ぐ仕組みは、プロダクトの安全性を確保する上で不可欠ですが、行き過ぎた対策はユーザー体験（UX）の悪化につながります。そのため、セキュリティと利便性のバランスを考慮することが重要です。

既存のシステムでは不十分だった理由

UPSIDERではこれまで、Visaが提供する「VRM（Visa Risk Manager）」という不正検知ツールを活用してきました。VRMはとても強力なツールですが、以下のような課題がありました。

VRMは外部サービスのため、UPSIDERの社内データを直接活用できない
法人カードの利用傾向は企業や業種によって大きく異なるため、個別最適なルール設定が困難

例えば、100万円という決済金額がその企業にとって大きいか、小さいかはUPSIDERの社内データを活用しないと判断できません。また、海外で決済が発生した際にも、海外で業務を行っている企業と、国内のみで決済をしている企業ではリスクの大きさが異なります。

このような背景から、社内データを活用し、企業ごとに柔軟な検知ルールを適用できるシステムの必要性が高まりました。

既存のシステムの構成

VRMだけではUPSIDERの社内データを不正利用検知に活用することができなかった

新システムの構成

新しい不正利用検知システムでは、UPSIDERの社内データを活用した検知を行う
VRMと併用することで、より精度の高い検知が可能になった

新不正利用検知システムのアーキテクチャ

新システムはUPSIDERのネットワーク内に構築されており、さまざまな社内データを取り込み、柔軟にルールを適用できます。主な構成要素は以下の通りです。

Rule Evaluator

不正利用をリアルタイムに判定するルール評価エンジン。複数のルールを実行し、疑わしいトランザクションを即時に検出します。

アーキテクチャの特徴

データベースには Firestore を採用しており、ルール定義の柔軟性とスケーラビリティを両立。
決済基盤に求められる厳格なレスポンスタイム要件を満たすため、リアルタイムである必要がないDB書き込み処理等を非同期で実装。
不正利用検知後の非同期アクションは、後続の Async Action Executer を利用。

Data Collector

社内のさまざまなデータソースからデータを収集・整形し、Rule Evaluatorに提供します。

データ収集とセキュリティ

機密性の高い情報を扱う際には、元データが特定されないよう適切に加工・変換し、安全性を確保しつつルール評価の精度を維持。
多様なデータソースに対応するために、高い拡張性を備えており、新たなソースの追加や変更にも容易に対応可能。

Async Action Executor

Rule Evaluatorの検知結果に応じて非同期にアクションを実行します。

非同期処理と拡張性

Pub/Sub を用いた疎結合・冪等性のある設計により、信頼性の高い非同期処理を実現。
Rule Evaluator以外のシステムからも利用可能な共通基盤として設計されており、拡張性に優れた構成。
アクションは自由に追加・変更が可能で、将来的な機能拡張にも対応。

この3つのアプリケーションを連携することで、UPSIDERならではのデータを活かした、高精度かつ柔軟な不正検知フローを実現しています。

全体システムの設計と運用

すべてのアプリケーションは Kubernetes 上にデプロイされており、高可用性・スケーラビリティ・継続運用性に優れた構成となっています。さらに、分散トレーシングにはCloud Trace を導入しており、各コンポーネントの動作や処理フローを可視化することで、迅速なトラブルシュートや性能監視を可能にしています。また、GKE における認証にはWorkload Identity Federation for GKEを利用し、安全なアクセス制御を実現しています。