オンライン トランザクション リスク管理ガイド

重要

クラウド ソリューション プロバイダー (CSP) プログラムの Microsoft パートナーは、お客様の顧客による Microsoft サービスの購入と使用に対して責任を負います。 パートナーは、顧客からの異常なアクティビティを監視して対処することが重要です。 不審なアクティビティが検出された場合、Microsoft はパートナーに通知を送信する場合がありますが、パートナーは、異常な顧客の行動を検出するために追加の監視方法を使用することが重要です。

Microsoft はオンライン トランザクション リスク管理を真剣に受け止め、パートナーはビジネス リスクを軽減するために同じ操作を行う必要があります。 パートナーをサポートするために、Microsoft は、オンラインで顧客と連携するときにリスクを管理するための一連の推奨事項を共有しています。 Microsoft はパートナーのサポートに取り組んでいますが、パートナーは、購入したサービスに対する顧客や顧客の未払いによる不正な購入に対して財務上の責任を負い続けます。

オンライン リスク管理のベスト プラクティス

このセクションでは、注意する必要があるリスク管理の基本的な側面と、ベスト プラクティスに関する提案について説明します。

リスクにさらされるリスクを軽減するには、次の表を参照してください。

リスクにさらされる	Definition	例
サービスの不正使用	Microsoft の許容される使用ポリシーに違反してクラウド サービスを使用する顧客または不適切なアクター	-スパム -ハッキング - DDOS 攻撃 - 暗号化マイニング - マルウェアの配布 - 海賊版サブスクリプションの再販
サービスの盗難*	消費されたサービスの支払い、盗まれた支払い方法の使用、誤った請求情報の提供、未払い残高の既定値の支払いを行う意図がないことを示すお客様	- 実際に発生しないトランザクション - 誤って表現された ID - 支払いを意図せずプロビジョニングおよび使用されるサービス - 不適切なアクターによるアカウントの作成と購入の自動化

*新興市場やリスクの高い地域では、サービスの盗難が高くなる可能性があります。

ベスト プラクティス

Microsoft では、パートナーが顧客関係のライフサイクル全体を通じて次のプロトコルを実装することをお勧めします。

• 新しい顧客のオンボード
  • 可能であれば、顧客との個人的な関係を確立します (電話による連絡など)。
  • 顧客の資格情報と背景を確認するより良い方法を探します (クレジットビューロー/ビジネスコマーシャルレポートエージェンシー)。
  • サインアップ時に多要素認証 (MFA) を使用して、ロボットアカウントの作成と購入への露出を最小限に抑えます。
  • セキュリティのベスト プラクティスに従って、お客様にテナントの監視とセキュリティ保護を要求する** 。
  • デジタル ID サービスなどのサービスを使用して ID を管理および追跡します。
  • クレジット カード詐欺を厳密に検出するシステムを使用して、顧客の財務体質を評価します。
  • 明確な回収ポリシーを確立します。 詳細コレクションプロセス、およびサブスクリプションへのアクセスが未払いによって影響を受ける場合。
• 顧客アカウントを管理する
  • Microsoft の通知を迅速に受信、確認、対応、応答するプロセスを実装します。
  • お客様と協力して、クラウド使用状況のビジネス ニーズを理解し、適切な監視しきい値を設定します。 (たとえば、パートナー は、パートナー センター月単位の Azure 支出予算を設定できます。
  • 顧客のアクティビティ ログを定期的に監視することにより、詐欺を早い段階で検出します。
  • 疑わしい活動が検出されたら、迅速にアクションを実行します。
  • リスク軽減コントロールを実装する前に、サブスクリプションへの完全な管理アクセス権を顧客に設定しないでください。
• 顧客の課金を管理する
  • 最初のトランザクションと課金の前に前払いを要求します。
  • リスクの高い支払い方法 (プリペイド カードや保存されたバリュー カードなど) を受け入れないでください。
  • 顧客の支払いと売掛金の年数を監視します。 支払いの遅延または未払いに対して、標準化した督促プロセスを積極的に実施します。

顧客オンボーディングのベスト プラクティスに関する提案

このセクションでは、お客様のオンボーディングのベスト プラクティスについて説明します。 セクションには、ショート メッセージ サービス (SMS) の検証、エンドユーザー ID 管理、オンボード時の顧客の把握に関する情報が含まれます。

SMS (テキスト) の検証

サインアップ プロセス中に、エンド カスタマーには、SMS (テキスト) を使用して顧客の検証を開始する [Proof that you't a robot]\(ロボットではない証明\) ページが表示されます。

• SMS 検証ソリューションを使用すると、パートナーはロボット方式を使用して顧客のサインアップが発生するリスクを軽減できます。 SMS 検証は、不適切なアクターが複数のアカウント (偽のサインアップなど) を簡単に作成するのを防ぐのにも役立ちます。
• サインアップ プロセス中に、パートナーは、ユーザーがトランザクションのもう一方の側にあるかどうかを確認することを選択できます。 検証を行うには、SMS 経由でワンタイム パスコードを送信する携帯電話番号を顧客に提供するよう要求します。
• さらに、SMS 検証は、確立された顧客の多要素認証 (MFA) サインイン プロセスの一部として使用することもできます。

エンドユーザー ID 管理

不正行為を特定するリスクを軽減するためのベスト プラクティスは次のとおりです。

• 顧客の ID を管理および追跡する 1 つの方法は、デジタル ID サービスを使用することです。
• デジタル ID は、オンライン トランザクションのもう一方の端にある個々のユーザーやデバイスの一意の署名です。
• Digital Identity Services を使用すると、パートナーは、電子メール アドレス、物理アドレスなどの単純な識別子を超えて顧客をより適切に識別できます。
• パートナーは、サード パーティのツールを使用して、顧客の ID を検証し、潜在的な悪いアクターを特定できます。

オンボード時に顧客を把握する

パートナーは、オンライン サービスを購入する個人や企業の ID と財務力を可能な限り検証するための追加の手順を実行することが重要です。 ベスト プラクティスは次のとおりです。

• 顧客との個人的な関係を築くたとえば、電話で連絡したり、対面したりします。
• サインアップ時にクレジット カードが必要です;お支払い方法として、保存されている金額のカードやプリペイド クレジット カードは受け付けません。
• 厳格なクレジット カード詐欺検出システムを実装し 支払い方法を提示する顧客が承認されたユーザーであることを確認し、クレジット局からの財務レポートを確認します。
• ビジネスコマーシャルレポートエージェンシーなどの信頼できる場所で 顧客の資格情報と背景を検証します。

顧客の購入後のベスト プラクティスに関する提案

顧客を把握する

サービスの使用量の監視を実装するのがベスト プラクティスです。これらのサービスが使用量によって課金されない場合でもです。 ただし、この方法は、使用後に課金が発生する Azure などの課金対象サービスの場合に特に当てはまります。

• "顧客を知る" 戦略に基づいて、パートナーは顧客と密接に協力して、クラウド サービスの使用に関する基本的なビジネス ニーズを理解する必要があります。
• このガイドの ベスト プラクティスなどのリスク軽減制御を最初に実装せずに、顧客にサブスクリプションへの完全な管理者アクセス権を付与しないように 。
• 顧客のさまざまなビジネス ニーズに対する顧客レベルの使用状況を監視するには、Microsoft Azure 管理ポータルと使用可能な 使用状況レポート 機能を使用します。
• 新しい セキュリティ アラートをサブスクライブします。これは マイクロソフトが顧客のテナントをセキュリティで保護するパートナーをサポートする多くの方法の 1 つです。 アラートは、必要に応じて迅速に調査および修復する必要があります。パートナーは、影響を受ける Azure リソース または Azure サブスクリプションを中断して 問題を軽減できます。

請求

クラウド ソリューション プロバイダー プログラムでは、Microsoft はエンド カスタマーに請求しません。 パートナーは、課金を設定して処理する必要があります。

パートナーは、課金プロセスで次のプロトコルを実装する必要があります。

• 顧客が前払いを送信してアカウント アクティビティに資金を提供するように要求することで、課金の前に 支払いを事前に保護します。
• カードの金額を確認できないため プリペイドカードや保存されたバリューカードなどのリスクの高い支払い方法を受け入れるのは避けてください。顧客の購入コストをカバーするのに十分ではない可能性があります。
• 顧客の支払い および売掛金の老朽化を注意深く監視し、未払い残高の支払いが受け取られるまでサブスクリプションやサービスの停止を含め、遅延または未払いに対して標準化された督促プロセスを積極的に適用します。

Microsoft の通知

Microsoft は通知サービスを実装しており、パートナーがサブスクリプション管理者に関連付けられている電子メール アドレスを定期的に更新しておくことが重要です。

• パートナーは、必要に応じて Microsoft の通知を迅速に受信、確認、対応し、対応するためのプロセスを開発して実装する必要があります。
• Microsoft が異常なアクティビティを検出した場合、Microsoft は次のシナリオでパートナーに通知を送信します。
  • サブスクリプションがオンライン サービスの許容される使用ポリシーに違反していると疑われる場合、または違反していると判断された場合
  • サブスクリプションが疑わしいアクティビティ (詐欺や著作権侵害など) に関連付けられ、Microsoft、パートナー、または顧客に直ちにリスクをもたらす場合。
• 顧客の通知は、Azure portal Azure Service Health ブレード経由で送信されます。 Azure portal を使用してサービス通知のアクティビティ ログ アラートを作成する 記事でアラートを設定する方法について説明。
• 一般的な不正使用の電子メール通知: 電子メールは、 azsafety@microsoft.com からサブスクリプション管理者と所有者に送信されます。 重要なメールがスパム フォルダーに入らないようにセーフな送信者リストにazsafety@microsoft.comメール アドレスを追加することをお勧めします。

Note

パートナーは、Microsoft の通知のみに依存せず、異常な使用状況や疑わしいアクティビティを検出するために追加の方法を使用する必要があります。

許容される使用ポリシーの適用

• Microsoft との契約の一環として、パートナーとその顧客は、「 オンライン サービス使用条件で説明されているように、受け入れ可能な使用ポリシーに準拠することが求められます。
• Microsoft が、許容可能な使用ポリシーに違反していることを確認または疑うパートナーまたは顧客のアクティビティを検出した場合、またはその他の方法で認識されると、Microsoft は強制手順を実行します。
• 受け入れ可能な使用ポリシーに違反すると、オンライン サービスが中断される可能性があります。中断は、必要に応じて直ちに中断される可能性があります。 それ以外の場合、Microsoft は、アクションの実行または Microsoft によって既に実行されている強制アクションの要求をパートナーに通知します。

通知と予期されるアクション

Note

Microsoft は、顧客に関連付けられているサブスクリプションが危険または疑わしいアクティビティを表示している場合にパートナーに通知するよう合理的な努力を行います。ただし、パートナーは Microsoft の通知のみに依存しないでください。 異常な顧客の動作を検出するには、他の監視方法を使用します。

パートナーは、許容可能な使用ポリシーに違反していることが判明した顧客を評価して、ビジネスに追加のリスクがあるかどうかを判断する必要があります。

リスク イベント	通知や予期されるアクション*
Microsoft、パートナー、または顧客に 直ちにリスクをもたらすアクティビティ	Microsoft は、リスクの高いサブスクリプションの Azure portal またはパートナー センター ポータル経由でNOTIFY パートナーをします パートナー SUSPEND顧客アカウントの他のすべての顧客サブスクリプションがパートナーによってされたと判断された場合は、その顧客アカウントのすべての顧客サブスクリプションをする必要があります。 Microsoft DISABLE high-risk サブスクリプションが直ちに発生する可能性があります**
継続的な疑わしいセキュリティ アクティビティ	不正行為の防止と検出のリスクコントロールを実装および維持するのはパートナーの責任ですが、Microsoft は疑わしいアクティビティを電子メールでパートナーに通知する場合があります Microsoft は、パートナーがアクションを実行しない場合DISABLE の高リスク サブスクリプションをする可能性があります 今後、Microsoft はパートナー向けに他のツールや検出機能を提供する可能性があります
許容される使用ポリシーの違反	Microsoft は、違反の電子メール経由でNOTIFY パートナーをします パートナーは、問題のある資産 SUSPEND し 48 時間以内または翌営業日に Microsoft の通知に応答します Microsoft は、パートナーがアクションを実行しない場合、高リスクサブスクリプションを可能性があります。

*電子メール通知は、サブスクリプションの一覧に記載されている管理者に送信されます。 パートナーは、電子メールの連絡先情報が定期的に更新されるようにする必要があります。
**特定の違反により、問題のあるサブスクリプションが直ちに中断または無効化される可能性があります。

パートナーが疑わしい使用状況を検出した場合

パートナーは、顧客の 購入 購入したサービスの未払い に対して財務上の責任を負います。 パートナーは、このガイドに記載されている提案など、不正行為の防止と検出のリスク軽減コントロールを実装する必要があります。

• パートナーが疑わしいアクティビティを事前に検出した場合は、直ちに調査し、リスクを軽減するための適切なアクションを実行する必要があります。
  • 調査 には、お客様のアカウント サインイン アクティビティの確認、請求書の支払い履歴、支払い方法の頻繁な変更、以前のサブスクリプションの使用パターンの確認が含まれる場合があります。前述のベスト プラクティスとして提案されています。
  • 軽減策 には、侵害された ID の修復、侵害されたリソースのクリーンアップ、セキュリティ体制の強化が含まれる場合があります。 詳細については、「 Azure サブスクリプションが侵害された場合の対処方法」を 参照してください。
• パートナーは、疑わしいアクティビティに関するその他の質問や懸念がある場合は パートナー センターでサービス 要求を送信することもできます。

関連するコンテンツ

• 顧客のセキュリティに関するベスト プラクティス
• 侵害を確認、封じ込め、セキュリティで保護するための重要な手順
• 未払い、詐欺、不正使用
• Azure 不正行為の通知