カウリス(153A) 不正利用者の端末情報を顧客間でシェアするユニークなビジネスモデルを構築
金融機関等にクラウド型不正アクセス検知サービス「Fraud Alert」を提供
不正利用者の端末情報を顧客間でシェアするユニークなビジネスモデルを構築
業種:情報・通信業
アナリスト:大間知淳
◆ クラウド型不正アクセス検知サービス「Fraud Alert」を提供
カウリス(以下、同社)は、主に金融機関等の法人顧客に対し、マネー・ロンダリング対策、サイバーセキュリティ対策として、クラウド型不正アクセス検知サービスである「Fraud Alert(フロードアラート)」等を提供している。同社は、ドリコム(3793東証グロース)や、不正アクセス対策サービスを提供するCapy(東京都千代田区)等での勤務経験を持つ現代表取締役社長である島津敦好氏によって、15年12月に設立された。
同社は、マネー・ロンダリング及びサイバーセキュリティ対策事業の単一セグメントであるが、売上高をFraud Alertの利用料とコンサルティングサービス利用料である「Fraud Alert等(ストック)」、Fraud Alertの初期設定作業や概念実証の利用料である「Fraud Alert等(その他)」、及び「その他」に分類している。23/12期におけるサービス別売上高構成比は、Fraud Alert等(ストック)94.1%、Fraud Alert等(その他)1.7%、その他4.2%となっており、継続的な収益であるFraud Alert等(ストック)が大部分を占めている(図表1)。
◆ Fraud Alertのサービスの概要と特徴
(1) サービスの概要
Fraud Alertは、マネー・ロンダリング対策、サイバーセキュリティ対策として、多くの個人ユーザー(以下、エンドユーザー)と取引している銀行、証券会社等の資金移動業を営む金融機関や、通信キャリア、ガス会社等のインフラ事業者、その他のサービス事業者へ提供されている。エンドユーザーが、顧客企業のWebサイトや、スマートフォンアプリにアクセスし、口座(アカウント)開設や、残高照会・送金等の取引を行う際、Fraud Alertが不正利用の可能性をモニタリングしている。
具体的には、端末から取得される情報をFraud Alertのアルゴリズムに基づき、なりすましではないか、顧客企業のみならず他社においても不正利用履歴がないか等を解析し、顧客にリアルタイムで通知するサービスである。特に、資金移動業を営む送金先の金融機関においては、個社毎では自社に送金された資金が正当なものかどうかを判断する要素が限られるため、送金元における利用履歴を活用することで判定精度を向上させたいというニーズから同サービスは誕生した。個社では検知しにくいマネー・ロンダリングを顧客横断・業界横断でデータを利用し、早期検知・予防する点がFraud Alertの提供価値となっている。
従来の不正検知サービスは、企業毎に不正利用情報をデータベース化し、不正利用者を検知する部分最適なアプローチを採っていたのに対し、Fraud Alertでは、利用顧客毎に作成された不正利用者の端末情報を顧客間でシェアする全体最適なアプローチを採用している。同社の場合は、顧客が増えれば増えるほど不正利用者の情報が集まることから、不正利用者の検知率が上昇し、不正利用の減少に繋がる。その結果、業種特化型のSaaS企業のように広告宣伝費を投下しなくても、顧客を獲得できており、広告宣伝費や販売手数料が少なくて済む費用構造となっている。
同社は、23年8月において、約4億件のログインをモニタリングしており、その内、約0.3~0.7%のアクセスは本人らしさが低いものとして検知している。例としては、ロケーション情報が異なるアクセス(例:東京からのログインがあった1分後に大阪から同じアカウント情報を使ったアクセス)や、1つの端末に5つ以上の口座が紐づくアクセス(例:同じパソコンで5つ以上の口座のインターネットバンキングにアクセス)、Fraud Alertにブラックリストとして登録されている端末情報(顧客が危険と判断して、Fraud Alertのブラックリストデータベースに登録した端末情報)からのアクセス等が挙げられる。
同社は18年に経済産業省が推進するスタートアップ企業の育成推進プログラムである「J-Startup」に選定されて以降、金融庁、経済産業省、警察庁、個人情報保護委員会等とのリレーションを構築してサービスを開発している。新技術等実証制度(通称「規制のサンドボックス制度」)を利用して19年に開発した、電力会社の保有する情報アセットを活用する不正検知サービスがその一例である。
また、同社では、警視庁や各県警から同社顧客に登録依頼があった銀行口座に紐づく端末情報をFraud Alertのブラックリストデータベースに登録している。23年3月に公表された総務省、警察庁、経済産業省の調査によれば、22年の不正アクセス行為の認知件数は2,200件であり、その内約半数がインターネットバンキングでの不正送金等に繋がった。
Fraud Alertは、インターネットバンキング等の各種サービスにおけるWebサイトにJavaScript注1のコードを数行埋め込むことでアクセス解析されたデータを取得し、解析結果を元にした追加認証やメール通知等、ログイン後の挙動をカスタマイズできるサービスになっている。
従来のセキュリティ対策は、主として、「ID・パスワード認証」か、全てのエンドユーザーにID・パスワードという知識要素による認証に加えて、メールやSMSで端末(所有要素)に送られてくるワンタイムパスワードを用いた追加認証を毎回行う「二要素認証」等が採用されていた。しかし、エンドユーザーによるID・パスワードの使い回しが依然として行われる中、ID・パスワード認証だけでは安全なセキュリティが確保できない状況が強まっている、また、毎回、二要素認証を行うことは、セキュリティレベルは上げられるものの、エンドユーザーへの負担が大きくなり、顧客のサービスを利用してもらえなくなる可能性がある。また、認証毎にコストが発生する場合は、サービスの拡大と連動して運用コストが膨らむ結果となる。
Fraud Alertでは、端末から取得するエンドユーザーの約250項目からなるパラメータ(IPアドレス、端末情報、OS、ログイン場所、時間、アクセス履歴、ページ内遷移等)からエンドユーザーの行動履歴をデータベース化している。エンドユーザーが顧客のWebサイトにログインした際は、通常の「ID・パスワード認証」に加え、行動履歴によるデータベースを使って、ログインやアクセスが本人のものかを独自の検知アルゴリズムでリアルタイムにアクセス解析を行い、「本人らしさ」を判定している。
本人らしさに関するリスク判定結果は、Fraud Alertサーバーから顧客のWebサイトに即座に送信される。同社のサービスでは、不正が疑われる場合にだけ、顧客側からエンドユーザーに追加認証を求める仕組みである「リスクベース認証」となっており、顧客はエンドユーザーに過度な負荷をかけずにサービスを提供することが可能となっている。
(2) 提供サービスの種類
Fraud Alertは次の3つのサービスによって構成されている。
1) Fraud Alertログイン検知サービス
ログイン検知サービスは、金融機関やその他の顧客として、エンドユーザーのアクセス環境から本人らしさを判定するものである。その判定結果に基づいて不正アクセスのリスクを検知し、リスクのある場合にだけ顧客側から追加認証を発動させる仕組みであるため、エンドユーザーに負荷をかけずに顧客サービスを提供することが可能となっている。
2) Fraud Alert入出金検知サービス
入出金検知サービスは、主に国内金融機関の顧客として、振込ルール(仕向元口座・仕向先口座における振込金額や回数等)や各種パラメータ(端末情報、エンドユーザー情報、IPアドレス等)、その他ルール(初回振込、振込時間帯等)を組合せることでリスク判定をするものである。こうしたルールベースで不正な入出金のモニタリングを行い、リスクが高いと判定されたアクセスの場合には、リアルタイムで振込中止や追加認証の制限をかけることが可能となっている。
3) Fraud Alert新規口座開設検知サービス
新規口座開設検知サービスは、主に国内金融機関を対象とし、金融機関が受付けた口座開設申請書等に対し、同社が持つ不正アクセス検知技術に加え、全国の電力会社が保有する電力設備情報の一部を組合せることでリスクを判定するものである。こうした対応により、より精度の高い、なりすましの可能性に関するリスク情報を顧客に提供することが可能となっている。
Fraud Alertは、顧客企業が開設している最大4つのチャネル(インターネット個人口座、同法人口座、スマートフォンアプリ個人口座、同法人口座)の各々3つのサービス提供ページ(ログインページ、送金ページ、口座開設ページ)に搭載されており、顧客は最大12箇所でサービスを利用できる。
同社は、基本的には、それぞれのサービス毎に、エンドユーザーのインプレッション数(総アクセスアカウント数)やユニークユーザー数注2を基に、年間の料金を決定している。具体的な料金体系は開示されていない。契約を更新する際には、数値の状況の変動を踏まえて、料金が改定されている。よって、顧客との契約で同社のサービスが搭載されるページが追加されたり、ユニークユーザー数等が増加したりすることで、当該顧客当たりの売上高が増加する構図となっている。
(3)サービスの特徴
Fraud Alertの特徴としては以下の4つが挙げられる。
1)月間数億件のモニタリング
同社は、不正利用と特定されたエンドユーザーの端末情報を集め、顧客間で共有できるブラックリストデータベースを構築しており、国内金融機関等である顧客は、不正利用端末のログイン履歴からマネー・ロンダリングの入出
金の流れをトラッキングしている。23年8月のログインのモニタリング実績は約4億件であった。
ログインに加えて、口座開設もモニタリングしており、不正利用された端末を使ったなりすましによる口座開設やクレジットカード入会の抑止にも寄与している。また、架空名義での口座開設や口座の転売、マネー・ロンダリングのトンネル口座を検知した実績もある。
2)モニタリング運用支援のコンサルティングサービス
これまで培ってきたモニタリング運用支援実績を基に、同社に集まる不正利用者の手口情報の分析や対応ノウハウをFraud Alertの顧客にコンサルティングサービスとして提供している。業種に沿ったセキュリティコンサルティングや定期的なモニタリングルール改善提案等を行っており、顧客が口座凍結等の最終的な判断を行う上での材料となるモニタリング結果の精度向上を支援している。3つのサービス自体の料金に追加されるコンサルティングサービスに関する月額料金の中央値は約50万円となっている。
3)業界毎のガイドラインへの準拠
Fraud Alertは、金融機関(銀行、証券会社)、クレジットカード会社、暗号資産業者、通信キャリア、ガス会社等のインフラ事業者に導入されている。同社サービスは、全国銀行協会や日本証券業協会、日本クレジット協会等の業界団体が示した業界毎(銀行・暗号資産業者、証券会社、クレジットカード会社)のガイドラインに準拠したモニタリングを実施している。
4)不正アクセス状況がわかりやすく可視化された管理画面
Fraud Alertの管理画面では、不正アクセスと推測される数とその推測理由がグラフで表示される。例としては、安全~危険までの5段階評価でデイリーのアクセス傾向をグラフ化したものや、リスクタイプ別のアクセスの発生割合をグラフ化したもの等が挙げられる。
◆ 高水準の営業利益率や資本効率の高さに特徴がある
同社の売上原価は、主として、労務費(開発部エンジニアの人件費及び営業部のコンサルティング業務に係る人件費)と経費によって構成されている。経費の中心は、サーバー利用料と業務委託費(外注費)である。23/12期においては、売上高労務費率16.9%、売上高サーバー利用料率15.1%、売上高業務委託費率3.6%となっており、原価率は38.3%であった。結果、売上総利益率は61.7%と良好な水準となっている。
一方、23/12期の販売費及び一般管理費(以下、販管費)は317百万円、販管費率は31.9%であった。内訳としては、給料手当及び賞与が117百万円、支払報酬が41百万円、研究開発費が40百万円、役員報酬が37百万円であり、固定費が中心と推測される。23/12期の営業利益率については、良
好な売上総利益率を背景に、29.7%と極めて高い水準を確保している。
23/12期末において、買掛金等の仕入債務は計上されていない上、有利子負債依存度は25.5%にとどまっているが、契約負債(負債純資産合計比19.3%、前払い契約となっている顧客からの前受金)や未払法人税等(同10.1%)等の割合が高いため、自己資本比率は38.3%と低水準である。
しかし、資産サイドを見ると、売掛金(売上債権)が51百万円であることや棚卸資産が未計上であることから、運転資本(売上債権+棚卸資産-仕入債務-契約負債)は176百万円のマイナスと資金繰りについて余裕のある状態となっている。売上債権の発生が少なく、前払い契約の顧客との取引が増えるほど契約負債が積み上がる構造となっていることがその要因である。
総資産(1,178百万円)の81.0%を占めるのは現金及び預金である。ソフトウェア等の無形固定資産は計上されておらず、有形固定資産(5百万円)と投資その他の資産(144百万円)によって構成される固定資産合計は149百万円に過ぎない。よって、同社の財務体質は健全である。
固定資産合計に運転資本を加算した投下資本は27百万円のマイナスである。こうした資本効率の高さと高水準の営業利益率から、同社のビジネスモデルには独自性があると言える。
◆ Fraud Alertの月次経常収益(MRR)を重視している
同社は、売上高の継続的かつ累積的な増加を実現するため、主力製品であるFraud Alertの月次経常収益(MRR)を重要指標としている。また、MRRに関連する指標として、年間経常収益(ARR)と契約企業数も開示している。MRR等の推移は図表2の通りである。契約企業数の増加に1社当たりのMRRの拡大が加わったため、MRRは堅調な伸びを続けている。
◆ 三井住友銀行や楽天証券への依存度が高い
同社は、23/12期末時点において、銀行(メガバンク、ネット銀行、地方銀行)約20行、証券会社(大手証券、ネット証券等)約10社、クレジットカード会社数社等の金融機関・決済関連事業者35社とその他4社との間で、Fraud Alertの契約を締結している。
主要顧客としては、三井住友フィナンシャルグループ(8316東証プライム)の連結子会社である三井住友銀行、楽天グループ(4755東証プライム)の連結子会社である楽天証券、イオンフィナンシャルサービス(8570東証プライム)の連結子会社であるイオン銀行、SBIホールディングス(8473東証プライム)の連結子会社であるSBI証券、千葉銀行(8331東証プライム)等が挙げられる。
特に、三井住友銀行と楽天証券への依存度が高く、売上高に占める三井住友銀行と楽天証券向けの比率は、23/12期において、各々11.7%と10.4%に達している(図表3)。