裏側強化その1:EC事業者がおさえておきたい決済のこと
強化したいECの裏側、第一弾は「決済」。大手ECサイトがLINE Payを続々導入、Apple Payの上陸も待たれています。そして5月11日からは、「Amazonログイン&ペイメント」の提供も始まりました。
新しい決済が、ECに何か変化を起こしてくれるのでは。そういった期待を込めて、このテーマを設定しました。ご講演いただいたのは、カード情報のポータルサイト「ペイメントナビ」を運営し、決済の最新動向を発信しているTIプランニングの池谷貴さんです。
ざっくりまとめると……
- 日本の決済利用は、海外と比較すると、「コンビニ決済」の利用度が高く「PayPal」が低め
- EC事業者がおさえておきたい主要な決済は7つ
- 「Amazon ログイン&ペイメント」のメリットは送客と利便性
- ECなど非対面決済の不正には、認証強化で対策
EC事業者がおさえておきたい、主要な決済手段として以下7つをピックアップ。それぞれの現状、メリット、課題などを解説した。
- クレジットカード
- 携帯キャリア決済
- コンビニ決済
- ウォレット決済
- プリペイド決済
- IC決済
- 外貨決済
日本の決済、特徴は「コンビニ決済」が強いこと
「1.クレジットカード」については、諸外国と同様によく利用されている。日本の特徴としては、「3.コンビニ決済」の割合が高い。また、「PayPal」は他のアジア諸国同様、利用頻度が低めであるが、近年では中小規模のネットショップでの利用が伸びている。
「2.携帯キャリア決済」は、年間10%程度の成長を見せている。増加するスマホでのEC利用と相性がいいのに加え、4ケタのパスワードを入力するだけで決済できる利便性が後押ししているようだ。また、若年層を含めた、クレジットカードを利用しないユーザーを取り込めることもメリットの1つである(「5.プリペイド決済」も同様)。「オンラインコンテンツだけではなく、物販のECにも徐々に浸透してきている」と、池谷さん。
Amazonログイン&ペイメントのメリット・デメリット
注目は「4.ウォレット決済」で、楽天ID決済、Yahoo!ウォレット、Amazonログイン&ペイメントなど、ID決済もこれに含まれる。ECサイトにとってのメリットは、以下のとおり。
- 大規模なコマースサイトの会員を送客できる
- IDとパスワードのみで簡単に支払いが行える
- 大手ショッピングモール等で利用できる汎用性の高いポイントが貯まる(Amazonは非対応)
セミナー開催時、発表されたばかりの「Amazonログイン&ペイメント」への注目が集まったが、現状の導入手段は次の3つに限られる。
- 自社開発
- ECシステム「FRACTA NODE」を利用する
- ASPカート「FutureShop2」の利用する
池谷さんは、「さらに導入への門戸が広く開放されること、日本の通販企業のニーズが高い継続課金への対応、ポイントが付与され広く使えるようになることで、さらに浸透していくのではないか」と評価した。
実店舗でのウォレット決済はまだ不便 「チャージ」は進むか
LINE Pay、Apple Payも「4.ウォレット決済」に含まれ、ECはもちろん、実店舗も含めたオムニチャネルでの利用が期待されるサービス。しかしながら、PayPalの「顔パス」のように、事前予約して店舗にチェック・インすると迅速に商品が受け取れるサービスは、注目されてはいるものの、結局は待ち時間があり、通常店舗で購入するのとそれほど変わらないため、運用面での工夫が必要だ。
「とはいえ、海外ではスターバックスのモバイルウォレットが売り上げの10%を超えるなど、成功をおさめている事例があります。それは、バーコードを利用したシステムで、インターネットでもチャージできるというもの。飲食店では、『4.ウォレット決済』『5.プリペイド決済』『6.IC決済』を組み合わせたような、その店舗のカードにチャージして支払う、といった仕組みが広がっていくのではないでしょうか」
非対面決済の不正利用が深刻 認証強化など対策を
「7.外貨決済」は、海外の利用者が為替変動や手数料を気にすることなく自国発行カードを利用できるサービスである。越境ECに取り組むなら、早めに検討したいサービスだ。導入するだけなら、決済代行会社に依頼すればよいが、「アメリカを中心に、海外発行カードは不正が多いため、販売する商品によってはセキュリティ対策も必要となります」(池谷さん)
クレジットカードの不正利用に関しては、国内外問わず、深刻な問題だ。とくにECなど、実際にはカードを提示しない「非対面型決済」での不正が顕在化しており、犯罪手段も巧妙になってきていると言う。加えて、ユーザー側のID&パスワードの使い回しが多いため、ID盗用の被害が増えてきた。
対策として池谷さんは、以下5つの認証強化策をあげるほか、16ケタのカード番号をトークン(意味のない乱数)に置き換える「トークナイゼーション」、不正検知のクラウドサービスなど新技術を紹介した。
- カード情報非保持サービス(カード番号を自社で保存することなく決済可能)
- PCI DSS(カード決済を安全に処理するための国際基準)に準拠したサービスを利用
- 3-Dセキュア(第三者の不正利用を防ぐための本人認証)の導入
- セキュリティコード(カード裏面等に印字されている末尾3桁または4桁の数字)をユーザーに入力してもらう
- チャージバック保証サービスへの加入
今後、EC事業者が「決済」を強化するために
最後に池谷さんは、EC事業者の「決済」強化策を述べ、講演を締めくくった。
「ただ単に多くの決済手段を導入するよりも、自社の顧客に合った決済手段をきちんと選定して、導入すること。また、決済画面までいかに簡単に遷移させ、コンバージョンを高められるかも重要です。
そして何より、リピーターになってもらうための施策。たとえばポイントの付与なら、大手ショッピングモールのように大量に付与して新規ユーザーを送客するのではなく、囲い込むためにどのように付与するか。実店舗があるなら、ネットとリアルのポイントを一元化するなどの施策も考えていくべきではないでしょうか」
裏側強化その2:EC事業者がおさえておきたいSSLのこと
強化したいECの裏側、第二弾は「SSLサーバ証明書(以下、証明書)」がテーマです。サイト運営者の身元の証明と、情報を暗号化しECサイトの安全性を高める、というのがよく知られた役割ですが、実は最近、それだけではなくなってきています。
導入しないと検索結果で上位に表示されない、コンテンツの表示速度が導入企業と比べて遅くなるなど、ECサイトのマーケティングやユーザービリティにも影響してくるようです。
引いてはECサイトの売上にも影響するとなると、制作会社に丸投げというわけにはいきません。そこで、証明書の発行などを行うサイバートラストの坂本勝さんに、EC事業者、経営者にもわかりやすい解説をお願いしました。
ざっくりまとめると……
- 証明書を導入しないと、表示速度やSEOに不利な影響が出そう
- 証明書にもいくつか種類があり、最も安全性が高い「EV証明書」にニーズと評価が
- 有効期限の切れた証明書には、ブラウザ側が「見せしめ」を行う場合も
- 将来的には、すべてのサイトが証明書を導入するだろう
現在、日本に存在するドメインはおよそ140万。そのうち、証明書を導入しているのは40万程度だと言う。まだ、100万のドメインが未導入なわけだが、「将来的には、すべてのサイトが導入するだろう」と坂本さん。
証明書を導入する・しないでは劇的な表示速度の違い
その理由の1つが、「HTTP/2」という新しい通信プロトコルの登場である。ちなみに、今私たちが利用しているのは「HTTP/1.1」で、「2」は次の新しいバージョンだ。
バージョンアップにより、ブラウザでのコンテンツ表示速度に劇的な変化がもたらされるとのこと。以下はサイバートラスト社が作成したデモページだが、同社のロゴ360個の表示速度を比較している。通信環境によって差があるそうだが、当日のデモでは「2」のほうが5~6倍は速かった。
「この表示速度は、証明書が導入されていないと実現できない仕様になっています。EC事業者様にとって、アクセスしてくださったお客様に負担をかけず、サイトをじっくり見ていただく、そしてコンバージョンしていただくために、コンテンツの表示速度は非常に重要な要素の1つですよね。このデモをご覧になるだけで、皆さん、証明書の導入を検討されるのではないでしょうか」(坂本さん)
証明書、導入しないと検索順位が下がりそう
もう1つ、SSLサーバ証明書が影響を与えるのは「検索順位」である。ECサイト運営者にとってSEOは永遠の課題だが、検索順位のアルゴリズムを決めているGoogleが、「HTTPS をランキング シグナルに使用します」と、2014年8月のブログで明記している。
「発表当時は、アルゴリズムの1%未満のウェイトしか占めていないようでしたが、徐々に割合を上げていくというのは、オフィシャルなコメントとして出ています」
しかしながら、単に証明書を導入すれば検索アルゴリズムに評価されるわけではない。証明書にもいくつか種類があり、安全性が異なるのだ。そして、「より安全性の高い証明書を導入しているサイトを優遇するというオフィシャルなコメントも出ています」
証明書にも種類が より安全性が高いものほどアピールもしやすい
目の前の売上を追いかけていると、セキュリティ関連はコストとして見られがちだが、EC事業者の意識も変わってきている。
「4~5年前は、多くのお客様が『暗号化さえできればいいから、とにかく安い証明書を』とおっしゃいました。しかし最近は、より安全性の高いものをお求めになります。その理由は、自社のECサイトの安全性を、もっとアピールしたいというものです」
その背景には、フィッシング詐欺の報告件数の劇的な増加がある。「報告件数」は、消費者からの報告を意味する。多くのインターネットユーザーにとって、フィッシングが身近な問題であり、脅威と感じられているわけだ。
そうした不安に対して安全性をアピールするには、数ある証明書のうち、「企業認証(OV)SSL」「EV SSL」どちらかがオススメだと坂本さんは言う。
企業認証(OV)SSLには審査が
「まず、『企業認証(OV)SSL』に関しては、導入したいとおっしゃるお客様を審査させていただき、それにパスされた企業様のみにお出しします。
安全性のランクが下がる『ドメイン認証型SSL』を提供しているところもありますが、これは審査がないので、極端に言えばフィッシングサイトであっても導入することができます」
EV SSLは見た目にもわかりやすい
「企業認証(OV)SSL」よりもさらに安全性の高い「EV SSL」は、見た目にもわかりやすい。
「アドレスバーが緑、道路標識で言うところの青信号の色になりますし、錠前マークをクリックしていただくと、サイト運営者の名前が出ます。弊社のサイトですと、このように表示されます」
証明書の有効期限が近づく、超えるとブラウザ側が「見せしめ」を
証明書導入サイトが評価されやすくなる一方で、非対応、もしくは安全性の低い証明書を導入しているサイトには、ブラウザベンダー側が「見せしめ」のような行動に出ている。
「たとえば『SHA-1(シャーワン)』と呼ばれる古いアルゴリズムを使った証明書は、有効期間が長くなるにつれ、わかりやすい警告が出されます。道路標識で言うところの『警戒』に相当するような黄色の『△』や、赤い二重線が引かれて『×』がつくといった具合です。脅すようで本当に恐縮ですが、実際にブラウザベンダーが行っている注意喚起です」
最後に坂本さんは、「サイトの表示速度」、「SEO」、「フィッシングサイト報告件数の増加」、そして「安全でないSSLへのブラウザ側からの警告」といったトピックスを振り返り、「ここまでご覧いただくと、冒頭に自信たっぷりに申し上げた、『将来的には証明書を導入したサイトしか存在しなくなる』という発言が現実になりそうだと、ご理解いただけると思います」と述べて、講演を締めくくった。
裏側強化その3:これからはじめる人のためのSSLの選びかた
ECサイトの裏側強化策として「決済」「セキュリティ(SSLサーバ証明書)」の2つについて講演いただいたところ、来場者の方は、とくに証明書の導入についてシステム周りがわかりにくい様子。
そこで、「さくらのSSL」ラインナップのひとつで、さくらインターネットとサイバートラストが共同で提供する「SureServer for SAKURA」を例に、これから導入する人のためのSSLの選びかたを、パネルディスカッション形式で解説いただきました。
ざっくりまとめると……
- EV認証、企業認証の「審査」は証明書発行会社がやってくれる
- 「SureServer for SAKURA」は月額制があるのが画期的
- 導入、更新の作業はひと手間 セキュリティを考えるとプロに任せたい
- 選ぶ基準は「安全性」「価格とプラン」「ユビキティ」「設定代行」か
――まず、証明書の種類について。坂本さんのお話では、「EV認証」「企業(OV)認証」と、「ドメイン認証」の3種類が出てきました。最初の2つは、審査が必要だということでしたが、どんな審査があるか教えていただけますか?
坂本 「EV認証」「企業(OV)認証」に関しては、お申込みいただくと、登記簿や企業信用調査会社のデータなどから、どういった企業さんなのかを審査させていただきます。証明書発行企業が独自に進めるため、「こういった書類を出してください」というお願いをすることは基本的にはありません。
審査について、「企業(OV)認証」は、法的に実在しているか、物理的に実在つまりどこで商売をされているかの、いずれかがわかれば発行します。一方で「EV認証」は両方を見ますし、いつ設立されたのかも調べて、年数が浅い企業さんであれば、どこの銀行とお取引されているかといったところまで踏み込ませていただきます。
――「ドメイン認証」との違いを教えていただけますか?
坂本 「ドメイン認証」を発行されている企業さんは、自社のことをわかりやすく、「証明書の自動販売機です」なんておっしゃいます。審査がないので、お申込みいただくとすぐ発行されるからですね。その分、「EV認証」「企業(OV)認証」より安いです。問題なのは、ドメインさえ持っていればフィッシングサイトにも証明書が発行されるということ。「ドメイン認証」は、情報の暗号化以外の用途には意味がないと言っていいと思います。
――「SureServer for SAKURA」では、「EV認証」「企業(OV)認証」がラインナップされています。
増田 ドメイン認証を扱わないわけではありませんが、さくらインターネットとしては、インターネットをより安全に、楽しくお使いいただきたいという思いがあります。坂本さんがお話しされたような、サイバートラストさんのお考えに共感するところがあり、お取引をさせていただくことになりました。そういった理由から、「EV認証」「企業(OV)認証」の2つを積極的に押しているというところですね。
| プラン名称 | 認証レベル | 月額(税込) | 年額(税込) | 有効期間 |
|---|---|---|---|---|
| SureServer EV for SAKURA | EV SSL | 4,860円 | 53,460円 | 2年間 |
| SureServer for SAKURA | 企業認証SSL | 3,780円 | 41,580円 | 3年間 |
――お値段だけ見ると、やっぱり「EV認証」のほうが1万円ほどお高めですが。
坂本 そうですね。ただ、他の証明書提供会社のEV証明書と比べると、このお値段は非常に魅力的ですし、月額制という料金プランで提供もされるのは画期的ですよね。
増田 最近は、期間限定のキャンペーンサイトで個人情報を取得するといった取り組みもあるかと思います。証明書のさまざまな利用用途に、月額制で柔軟に対応できるようにしました。
――ではいろいろと比較していただいて、導入すると決めた場合、どのような作業工程があるのでしょうか。
坂本 実はけっこう、面倒くさいんです。証明書の元になる「CSR」というデータを作っていただいて、そこに証明書提供会社が審査した結果を埋め込んで、納品させていただくという形です。それをサーバにインストールしていただくと、サイトに反映されます。
増田 有料にはなりますが、さくらインターネットのほうでCSRの発行からインストールまでの作業を一貫してお受けするサービスもあります。作業の手間を考えると、当社のような会社にお任せいただくのも1つの選択肢ではないでしょうか。
坂本 当社のカスタマーサポートにお寄せいただく内容を見ていると、プロにお任せするのがいいかなと感じています。また、2014年からSSLがハッカーに狙われていて、脆弱性が次々と明らかになっているという背景もあり、それも踏まえた対応は、専門家でないと難しいですから。
さらに、免許証やパスポートのように、証明書には有効期限があります。その期限ごとに、更新、設定作業をしていただかなくてはなりません。
増田 この更新を、ギリギリまでお忘れになる企業さんも多いです。そういったピンチの際にも、当社を頼っていただければと思います。
坂本 業界の決まりで、「EV認証」なら最長2年、「企業(OV)認証」なら最長3年と期限が決まっています。「SureServer for SAKURA」は、どちらもいちばん長い有効期限になっていますので、手間も軽減されるのではないでしょうか。
加えて、最近スマホやタブレットなどさまざまな端末が出てきていますが、証明書によっては対応できない端末もあるんですね。そのカバー力の広さを「ユビキティ」と言いますが、「SureServer for SAKURA」はユビキティが業界トップレベルなんです。
増田 証明書の安全性、月額制プランがあること、年額のお値段、有効期限、ユビキティ、 そして設定作業や更新を代行させていただけること。証明書を選ぶ際はぜひ、そういった基準で比較していただければと思います。
――ありがとうございました。
