このブログは日本語から英語に翻訳されたもので、元の記事はここで公開されています。
日本を代表するレジャー・体験予約プラットフォーム「アソビュー!」を運営するアソビュー株式会社は、決済代行会社(PSP)に依存しない独自の不正検知機能の構築を目指していました。その実現のため、同社は次世代型の不正検知ソリューションであるSardineを導入しました。
DGBTはシニアエグゼクティブオフィサー兼CIOの江部淳也氏に、その決断に至るまでの道のりと、その後にもたらされた成果について話を聞いた。
本記事は、2025年12月に開催された「DGBT CommerceDay 2025」で行われた講演内容に基づいています。
「安全な体験」を中核とするサービス理念
まず、アソビューの概要と、どのような方針や考え方に基づいてサービスを運営しているのかを教えていただけますか?
アソビューは、相互に連携した2つのプロダクトを展開しています。一般消費者向けにレジャーやアウトドア体験の予約ができるプラットフォーム「アソビュー!」と、レジャー施設やアクティビティ事業者向けの予約・チケット管理SaaS「ウラカタ」です。これらは一体型のプラットフォームとして機能しており、現在は約6,000のパートナー事業者と1,600万人の会員にご利用いただいています。主なユーザー層は20〜40代の大人で、カップルやファミリーの利用が多いことが特徴です。コロナ禍は非常に厳しい時期でしたが、レジャー施設のデジタル化ニーズの高まりを捉えることで、事業の転換点とすることができました。
私たちのあらゆる行動を導く原則は、安全と安心です。人々がレジャーに出かけるとき、そのひとときは特別なものでなければなりません。私たちがその体験を台無しにするような存在であってはならないのです。
具体的には、私たちはユーザーにとっての「安全」の意味を、次の3つの分野を柱として捉えています。
- 情報セキュリティと顧客データ管理への積極的な投資
- システムの可用性と安定性を最優先する
- 利用者と施設運営者の双方にとってシームレスな体験を実現する
需要の高いチケットが販売開始されてアクセスが急増しても、取引は止まらずに処理され続ける必要があります。そのため私たちは、障害発生時に備えたバックアップシステムを用意し、常に可用性を最優先事項として扱っています。
PSP依存からの脱却
なぜ自社で不正検知機能を構築しようと考えたのですか?
PSP が提供する一体型の不正対策ツールに依存していると、プロバイダーを乗り換えるたびに、不正防止の体制がまるごとリセットされてしまいます。これまで蓄積してきたデータや学習してきたパターンは、何ひとつ引き継がれません。私たちは、セキュリティ体制が決済プロバイダーの商業的な判断に結びついていること自体が、中長期的には構造的なリスクになると結論づけました。
安全性とセキュリティは、私たちの提供価値の土台です。そこで私たちは、利用しているどの決済サービスプロバイダー(PSP)にも左右されない、独立した不正検知機能を構築することにしました。
6つの評価基準と、なぜSardineが選ばれたのか
ベンダーの評価にはどのように取り組みましたか?
私たちは候補者を次の6つの観点から評価しました。
- 検知技術の柔軟性(AI 対 ルールベース、手法)
- レイテンシとスループット
- 導入のしやすさと運用の容易さ
- 特定の製品カテゴリに対して柔軟に補償を適用できること
- 費用対効果
- 長期的な持続可能性
処理速度は、私たちが最も重視した要素でした。人気のチケットが販売開始されると、取引量は一気に急増します。その瞬間に決済処理にわずかでも遅延があると、ユーザー体験は直接的に損なわれてしまいます。Sardine の平均不正検知応答時間が 0.2 秒未満であることに加え、ピーク時でも毎秒数百件のリクエストを処理できる能力を備えている点は、決定的な要因となりました。
また、不正検知を一律にすべての取引へ適用するのではなく、リスクの高い商品カテゴリに絞って選択的に適用できる点も重視しました。そうした柔軟性が、より合理的なコスト構造の実現に直結しました。
サーディンの技術を具体的にどのように評価しましたか?
行動バイオメトリクスとデバイスインテリジェンスの組み合わせは、特に効果的な手法として際立っていました。このシステムは、マウスの動き、タイピングのリズム、ユーザーがスマートフォンを手に持ったときの傾きといった微妙な行動シグナルを分析し、ボットと正規ユーザーを見分けます。生成AIによって個人情報を捏造することがますます容易になっている今、無意識の行動パターンを偽装するのははるかに困難です。まさにその点において、この検知アプローチは優位性を持っているのです。
IPアドレスを操作して海外からのアクセスを国内からのように見せかける場合でも、接続の真の発信元を特定できるというSardineの機能にも注目しました。この種のなりすましは、アソビューの取引データの中で頻繁に見られ、その機能がもたらす効果は明確に表れています。
AI とルールベースのロジックを組み合わせたハイブリッドアーキテクチャも、Sardine を高く評価したポイントの一つでした。純粋な AI だけでは、高い精度に到達するまでに時間がかかります。一方で、ルールだけでは進化し続ける不正手口のスピードについていけません。互いの弱点を補い合う二層構造のアプローチによって、本番環境でも安心して使えるという確信が持てました。
サーディンの長期的な軌道をどのように評価しましたか?
不正行為の手口は常に進化しているため、長期的に利用するうえでは、その変化のスピードにどれだけ対応できるかが非常に重要です。Sardine は毎月のペースで新機能をリリースしており、これはプロダクトへの継続的な投資姿勢を示しています。最近では、正当な AI エージェントと悪意のあるボットを見分けるためのスコアリング機能が追加されており、こうした前進の好例と言えるでしょう。
導入プロセスはスムーズでしたか?
社内の開発チームが統合作業を担当し、導入から稼働開始まで1か月弱で完了しました。想定していたよりもはるかに早く稼働できました。
結果:顧客体験を損なうことなく、実質的な不正防止を実現
本番稼働してから何が変わりましたか?
私たちは8月にサービスを開始しましたが、これはアソビューにとって夏の最盛期であり、年間でも特に取引量が多い時期のひとつです。そのようなタイミングにもかかわらず、運用開始から最初の1か月で不正取引率を大きく低減することに成功しました。需要がピークとなる期間においてもその成果を維持できたことは、非常に重要な検証結果となりました。
精度の面で最も満足しているのは、誤検知(フォールスポジティブ)が増えなかったことです。現在は、オペレーティングシステムや画面サイズ、行動シグナルといったきめ細かなパラメータを用いて、正当な顧客の購買体験を損なうことなく、不正を外科手術のような精度でブロックできています。
不正行為に関するお問い合わせが減少したことで、カスタマーサポートチームは本来のサービスに関する問題への対応に、より多くのリソースを振り向けられるようになりました。
DGBT を用いた運用モデルは、実際にはどのように機能するのですか?
私たちは自社で設定変更を管理する必要がありません。不正データとフィードバックをDGBTに渡せば、チューニングはすべて先方が行ってくれますが、これは本当に大きな価値があります。実際の運用では、日々の業務の中で見つかったパターンや手口がシステム設定に反映され、AIモデルはその入力から学習することで、時間の経過とともに検知精度を高めていきます。一方で、手動での介入が必要なケース――たとえば、特定の不正パターンをすぐにブロックしたい場合など――では、DGBTのコンサルティングチームがそれを直接ルールロジックに落とし込んでくれます。
私たちはローンチ時には主にルールベースの仕組みからスタートしましたが、データが蓄積されるにつれて、AIモデルの精度は着実に向上してきました。DGBT と協業しながらこのサイクルを回すことで、自社の運用負荷を抑えつつ、検知品質を継続的に高めることができています。今後は、AIモデルをさらに活用し、より高精度な検知へとシフトしていく方針です。
グローバル規模を前提に構築されたセキュリティ戦略
この先の道はどのようになっていますか?
アソビューは、アクティビティやレジャーから、イベントや旅行関連のカテゴリーへと横方向に事業を拡大し、さらに海外展開も加速させています。市場が拡大するにつれて、攻撃対象領域も広がっています。AI の進歩は、一方では業務効率を高める一方で、他方ではより高度な攻撃手法を生み出しています。だからこそ、常に進化し続ける Sardine のようなソリューションと、DGBT のようなパートナーの運用面での専門性を組み合わせたパートナーシップは、「あれば良い」ものではなく、「なくてはならない」ものなのです。
不正防止は継続的な取り組みです。攻撃者は常に手口を変えてきます。私たちが蓄積する不正関連データは Sardine のモデル改善に活用され、その結果として当社自身の検知精度も向上していきます。これは、相乗効果を生みながら互いを強化し合う関係であり、私たちが長期的に維持したいと考えている、持続的で双方にメリットのあるダイナミクスなのです。