Orange Moneyルーマニア：モバイルエクスペリエンスにリスクベース認証を追加した方法

不正防止、認証、モバイルアプリのセキュリティのベストプラクティスなどのトピックに関する業界イベントやプレゼンテーションに定期的に参加しています。 Orange MoneyRomaniaとOneSpanからのプレゼンテーションを見逃した場合PSD2コンプライアンスを提供し、ユーザーエクスペリエンスを向上させ、OrangeMoneyの顧客のセキュリティを強化するソリューションとしてのインテリジェント適応認証でハックサミット2020 、これが10分間の要約です。 完全なプレゼンテーションが利用可能ですオンデマンド。

Orange Groupは、電気通信サービスの世界的リーダーです。 その子会社の中には、グループのテレコム顧客ベースにモバイルバンキングサービスを提供するオレンジマネーとオレンジバンクがあります。

ルーマニアでは、2016年11月にルーマニア国立銀行によって認可された電子マネー機関（EMI）としてOrangeMoneyが設立されました。 ルーマニア最大の通信事業者が所有するOrangeMoneyは、リテールバンキングのIBANアカウントの提供、ローンの発行、支払いサービスの提供などを行うことができます。 基本的に、これらは従来の銀行が提供するほとんどすべてのサービスを提供します。ただし、eMoney機関は、欧州中央銀行からの銀行免許を保持していません。

Orange Moneyアプリ内で、顧客は仮想Orange Moneyまたは仮想VISAデビットカードを介して、モバイルデバイスで資金の送金、請求書の支払い、外貨の購入、購入を行うことができます。 銀行口座をGooglePayまたはApplePayにリンクすることで、POSで非接触型モバイル決済を行うことができます。 ATMからの現金引き出しには、物理的なデビットカードを発行することもできます。

2020年第3四半期までに、Orange MoneyRomaniaには245,000のクライアントがいました。 モバイル専用銀行として、ユーザーエクスペリエンスを損なうことなくデジタルの信頼を維持することが成長の鍵です。 そのため、強力な顧客認証（SCA）と不正防止が最優先事項になっています。

「モバイル専用銀行であるため、顧客のアカウントへのアクセスチャネルが侵害された場合、他のチャネルはありません。 そして、比較的若い会社として、セキュリティに1つの間違いを犯した場合、顧客にもう一度あなたを信頼するよう説得するのは非常に複雑です」と、Orange MoneyRomaniaの支払いおよびトランザクション責任者であるMirceaSpineiは述べています。

Orange Moneyアプリは、Google Playストアで4.4、AppleStoreで4.7と評価されています。 Orange Moneyにとって、不正防止防御とPSD2コンプライアンスを強化しながら、高レベルの顧客満足度を革新して維持することが重要です。

課題：摩擦を最小限に抑えたPSD2準拠の不正防止

Orange Money Romaniaは、自社で開発し、モバイルマネーアプリに組み込んだ、すでにPSD2に準拠したセキュリティテクノロジーを置き換える必要がありました。ただし、新しいソリューションでは、ユーザーエクスペリエンスに不必要な摩擦を加えることはできませんでした。

最先端のセキュリティにアップグレードするには、ソリューションは引き続きPSD2に準拠している必要があるため、次のことを行う必要がありました。

• 二要素認証（2FA）を提供する
• 金融取引ごとに一意の認証コードを生成する
• リアルタイムのトランザクション監視を行う

「PSD2には多くのセキュリティ要件があり、適切に実装されていない場合、顧客体験に摩擦を加える可能性があります。 これは、モバイルバンキング環境ではやりたくなかったことです。」

Orange Moneyは構築または購入する必要がありますか？

モバイルアプリのセキュリティをアップグレードするために、ルーマニアのチームは次の3つのオプションを検討しました。

• 既存のソリューションを更新する
• より安全で最新の新しいソリューションを社内で開発する
• 専用のサードパーティソリューションを統合する

彼らはそれぞれの長所と短所を調べて、コスト、品質、納期の観点から最善の道を決定しました。

「既存のソリューションを更新したいのであれば、同じカスタマーエクスペリエンスを維持することができたでしょう。 コストが低く、実装が迅速になります。 問題は、ソリューション全体のオーバーホールを行うため、新しいテクノロジーの恩恵を受けることができなかったことです。 また、専門の詐欺アナリストがいますが、銀行のセキュリティのみを行う企業と同じ対象分野の専門知識はありません」とMirceaSpinei氏は述べています。  

「オプション2の場合、新しいソリューションを社内で開発したいのであれば、おそらく同じ顧客体験を維持することができたでしょう。 独自のリソースを使用するため、コストはまだ比較的低かったでしょう。 そして、私たちは新しいテクノロジーを使用していたでしょう。それは改善でした。 問題は、銀行のセキュリティプロバイダーの専門知識から利益を得ることができなかったということでした。 そして、実装時間は大幅に長くなっていただろう。」

「3番目のオプションは、サードパーティのソリューションを統合することでした。 これにはいくつかの利点がありました。 プロバイダーがもたらす全体的なエクスペリエンスと、クラウドでホストされるため比較的高速な実装。 さらに、プロバイダーのSDKを使用することで、ゼロから開発する必要がなくなりました。 もちろん、これと、コストの上昇やカスタマーエクスペリエンスの潜在的な変化とのバランスを取る必要がありました。」

解決策：クラウドでのリスクベース認証

OrangeMoneyがOneSpanを選択しましたインテリジェントな適応認証（IAA）ソリューション。 Intelligent Adaptive Authenticationは、OneSpanのTrusted IdentityPlatformを搭載したAPIベースのPSD2SCA準拠ソリューションであり、組織化されたMFAと機械学習ベースのリスク分析を組み合わせることでリアルタイムの不正防止を可能にします。 プレゼンテーションでは、OneSpanのエキスパートであるMichalWawrzynskiがソリューションについて詳しく説明します。 要約すると、それは以下で構成されています：

• OneSpanリスク分析：これは、IAAソリューションのバックボーンであるリスクエンジンです。 トランザクションリスク管理では、トランザクションに関連するすべてのコンテキストデータを評価して、リアルタイムの不正スコアを決定します。 このスコアは、認証ワークフローを推進します。
• OneSpanクラウド認証：これにより、バイオメトリクスやワンタイムパスコード（OTP）のソフトウェアトークンなどの強力な認証機能をOrangeMoneyアプリで利用できるようになります。 多要素認証（MFA）を保証します。
• OneSpanモバイルセキュリティスイート：これは、モバイルセキュリティSDKのメニューです。 Orange Moneyが使用している機能には、モバイルデータを収集してリスクエンジンに供給するモバイルデバイスデータコレクターが含まれます。 これにより、Orange Moneyのような組織は、他の場所では達成できなかったコンテキストデータと可視性にアクセスできます。 OneSpan Mobile Security Suiteは、クライアントの電話での認証オーケストレーションも可能にします。

これらすべてを組み合わせることで、高度なリスクベース認証が提供されます。これは、ユーザーのモバイルから膨大な量のデータを収集し、それをリアルタイムで分析して、リスクスコアに基づいて認証を動的に適応させる機能です。

「ユーザーがトランザクションを実行するときはいつでも、インテリジェント適応認証のためにOneSpanを呼び出す勘定系システムとの相互作用があります。 本質的に、それはOneSpanにこう言います： 'これは文脈です。 これがトランザクションです。 これはユーザーです。 それらをどのように認証する必要がありますか？」

次に、トランザクションに関連するリスクのレベルに応じて、顧客はPINまたは指紋認証を求められます。 IAAを使用すると、トランザクションのリスクが低い場合、顧客は認証をまったく必要としない可能性があります。ユーザーが信頼できるデバイス、通常の場所、および通常の動作パターンからトランザクションを行うときにシームレスな認証を提供します。

「現時点では、PSD2SCAの免除はまだ実装されていません。 OneSpanインテリジェント適応認証ソリューションの人工知能と機械学習の部分をトレーニングしたいので、私たちは常に2FAを使用しています。 また、トランザクションを認証および承認する新しい方法に慣れたいと考えています。 しかし、将来的にはPSD2の免除を実装する予定です」とMirceaSpinei氏は述べています。

統合と運用開始

プロジェクトを立ち上げるために、OneSpanはルーマニアにチームを派遣し、Orange MoneyのIT、不正防止、およびビジネスチームにトレーニングを提供しました。 OneSpanはAndroidとiOS用のSDKを提供し、チームは協力してOrangeMoneyの技術インフラストラクチャと不正防止プロセスにソリューションを実装しました。

「本稼働では、最初にユーザー受け入れテスト（UAT）フェーズを実行しました。 次に、ベータテスターのお客様にベータ版をリリースしました。 それ以来、私たちは彼らのフィードバックのいくつかを実装しました。それは非常に役に立ちました。 次に、アプリケーションをストアに配置し、顧客が自分のペースでアップグレードできるようにします。 1か月の運用開始後、アクティブなモバイルアプリケーションユーザーの99％が新しいセキュリティソリューションに更新しました。

「銀行関係者の場合、ユーザーが銀行に対して認証する方法が変化していることに気付いたと思います。 モバイルアプリにソフトトークンを配置する人もいますが、大多数の銀行では、パスワードのみの認証とSMS認証からソフトウェア認証への移行が困難な場合があります。 そして、多くのユーザーがコールセンターに連絡します。 これに備えて、OneSpanを使用した実装は、お客様のセルフサービスに役立ちました。 コールセンターに大きな急増はありませんでした。」

OrangeMoneyルーマニアからの重要なポイント

Orange Moneyによるプレゼンテーションでは、このブログに含まれていない多くの追加の詳細がカバーされているため、金融サービスプロバイダーに注目することをお勧めします。完全なプレゼンテーション。 要約すると、OrangeMoneyの経験から3つの重要なポイントがあります。

1. クラウドの価値： OneSpanでは、Orange Moneyのような、クラウド展開の急増が見られます。 これは、AiteGroupの新しいレポートの調査結果を補完するものです。ネット銀行：収益性へのでこぼこの道。 Aiteによると、「いくつかの要因が、ネット銀行向けのホスト型/クラウドベースのテクノロジーソリューションへの選好を後押ししています。

• より迅速な展開/市場投入までのスピード
• 総所有コスト
• 人員の負担が少ない
• インフラストラクチャではなく顧客体験の差別化に重点を置いたテクノロジーを優先して、銀行業務と顧客獲得に集中する時間を増やします
• すでに金融サービス業界に準拠している従来のテクノロジーベンダーを利用する際の規制負担の軽減
• ベンダーが運営するバックアップデータセンターによる、より高いレベルのビジネス継続性」

2. より高度な認証に段階的に移行することの価値：金融機関は、不正防止、規制コンプライアンス、および顧客体験のバランスをとるために認証戦略を再評価するにつれて、単純な認証（パスワードやSMSなどの個別の認証モダリティを使用）から、認証が不正防止によって調整されるより高度なアプローチに移行しています。ルールと最終的には機械学習。 これは、Orange Money Romaniaが従うベストプラクティスです。まず、不正ルールを使用してリスクのレベルに基づいて適応認証を推進し、自分自身とクライアントに新しいエクスペリエンスに慣れる時間を与えます。 次に、次のステップとして機械学習モデルをトレーニングします。 これは、機械学習ベースの不正検出によって推進される、新しい高度な認証アプローチの先駆けとなります。   

3. ザ・専門のセキュリティベンダーの専門知識の価値：アカウント乗っ取り（ATO）、モバイルマルウェア、個人情報の盗難などの詐欺の脅威は、ますます蔓延し、高度化しています。 多くの金融機関は依然として古い不正防止技術に依存しており、システムを再評価する必要があります。 同時に、規制コンプライアンスとユーザーエクスペリエンスのバランスを取り、これら3つの優先事項すべてを顧客のシームレスなフローに結び付ける必要があります。 不正を阻止し、誤検知を減らす方法で、新しい認証および不正防止テクノロジーを最適に実装する方法を理解することが重要です。 特に、クライアントベースと規制のコンテキスト（ヨーロッパの金融市場のPSD2、英国のオープンバンキング、または米国の規制環境）のコンテキストで。 これはすべてOneSpanのコア専門知識の一部です。 パートナーシップを通じてOneSpanとお客様の詐欺チームの間で行われる知識の伝達は、従来の銀行とネオバンクの両方が組織を強化したと称賛するものです。     

のクラウドソリューションの詳細については、これらのページにアクセスしてください認証、不正防止、モバイルセキュリティ、デジタルID検証e-KYCの場合、および電子署名。