Amazon Fraud Detector は、2025 年 11 月 7 日をもって新規顧客に公開されなくなりました。Amazon Fraud Detector と同様の機能については、Amazon SageMaker、AutoGluon、および を参照してください AWS WAF。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# モデルタイプの選択
<a name="choosing-model-type"></a>

Amazon Fraud Detector では、次のモデルタイプを使用できます。ユースケースに適したモデルタイプを選択します。
+ **オンライン不正インサイト**

  *オンライン不正インサイト*モデルタイプは、評価対象のエンティティに関する履歴データがほとんどない場合に、不正を検出するように最適化されています。例えば、新規顧客がオンラインで新しいアカウントの登録を行う場合などです。
+ **トランザクション不正インサイト**

  *トランザクション不正インサイト*モデルタイプは、評価されるエンティティが予測精度を改善するために分析できるインタラクションの履歴を持っている可能性のある不正ユースケース (例えば、過去の購入履歴を持つ既存の顧客) を検出するのに最適です。
+ **アカウント乗っ取りインサイト**

  *Account Takeover Insights* モデルタイプは、アカウントがフィッシングや他のタイプの攻撃によって侵害されたかどうかを検出します。ログイン時に使用されたブラウザやデバイスなど、侵害されたアカウントのログインデータは、アカウントに関連付けられているログインデータの履歴とは異なります。

# オンライン不正インサイト
<a name="online-fraud-insights"></a>

オンライン不正インサイトは、教師付き機械学習モデルです。つまり、不正および正当なトランザクションのサンプル履歴を使用してモデルをトレーニングします。オンライン不正インサイトモデルは、わずかな履歴データに基づいて不正を検出できます。モデルの入力は柔軟性があるため、フェイクレビュー、プロモーションの不正使用、ゲストのチェックアウト不正など、さまざまな不正リスクを検出するように適応できます。

オンライン不正インサイトモデルは、データのエンリッチメント、変換、不正分類に機械学習アルゴリズムのアンサンブルを使用します。モデルトレーニングプロセスの一環として、オンライン不正インサイトは、IP アドレスや銀行識別番号などの raw データ要素を、IP アドレスのジオロケーションやクレジットカードの発行銀行などのサードパーティーデータで強化します。オンライン不正インサイトでは、サードパーティーデータに加えて、Amazon と AWSで見られた不正パターンを考慮した深層学習アルゴリズムを使用します。これらの不正パターンは、勾配ツリーブースティングアルゴリズムを使用して、モデルへの入力特徴になります。

パフォーマンスを向上させるために、オンライン不正インサイトは、ベイズ最適化プロセスを介して、勾配ツリーブースティングアルゴリズムのハイパーパラメータを最適化します。さまざまなモデルパラメータ (ツリーの数、ツリーの深さ、枝葉あたりのサンプル数など) を使用して、数十種類のモデルを順番にトレーニングします。また、マイノリティ不正集団の重み付けなど、さまざまな最適化戦略を使用して、非常に低い不正率を処理します。

## データソースの選択
<a name="selecting-training-data-source-OFI"></a>

オンライン不正インサイトモデルをトレーニングする場合、外部 (Amazon Fraud Detector の外) に格納されているイベントデータまたは Amazon Fraud Detector 内に格納されているイベントデータに基づいてモデルをトレーニングできます。Amazon Fraud Detector が現在サポートしている外部ストレージは、Amazon Simple Storage Service (Amazon S3) です。外部ストレージを使用している場合は、イベントデータセットをカンマ区切り値 (CSV) 形式として Amazon S3 バケットにアップロードする必要があります。これらのデータストレージオプションは、モデルトレーニング設定内で EXTERNAL\$1EVENTS (外部ストレージの場合) および INGESTED\$1EVENTS (内部ストレージの場合) と呼ばれます。使用可能なデータソースとそのデータソースにデータを保存する方法の詳細については、「」を参照してください[イベントデータストレージ](event-data-storage.md)。

## データの準備
<a name="preparing-training-data-OFI"></a>

イベントデータの保存場所 (Amazon S3 または Amazon Fraud Detector) に関係なく、オンライン不正インサイトモデルタイプの要件は同じです。

データセットには、列ヘッダー EVENT\$1LABEL が含まれている必要があります。この変数は、イベントを不正または正当として分類します。CSV ファイル (外部ストレージ) を使用する場合は、ファイル内のイベントごとに EVENT\$1LABEL を含める必要があります。内部ストレージの場合、EVENT\$1LABEL フィールドは任意ですが、トレーニングデータセットに含めるには、すべてのイベントにラベルを付ける必要があります。モデルトレーニングを設定するときに、ラベルなしイベントを無視するか、ラベルなしイベントは正当なラベルであると仮定するか、すべてのラベルなしイベントは不正なラベルであると仮定するかを選択できます。

## データの選択
<a name="selecting-training-data-OFI"></a>

オンライン不正インサイトモデルをトレーニングするためのデータの選択については、[イベントデータの収集](https://docs.aws.amazon.com//frauddetector/latest/ug/create-event-dataset.html#gather-event-data)を参照してください。

オンライン不正インサイトトレーニングプロセスは、EVENT\$1TIMESTAMP に基づいて履歴データをサンプリングして分割します。データを手動でサンプリングする必要はありません。そうすると、モデルの結果に悪影響を与える可能性があります。

## イベント変数
<a name="input-variables-OFI"></a>

オンライン不正インサイトモデルには、必要なイベントメタデータとは別に、モデルトレーニングの[データ検証](https://docs.aws.amazon.com//frauddetector/latest/ug/create-event-dataset.html#dataset-validation)に合格した少なくとも 2 つの変数が必要で、モデルごとに最大 100 個の変数を持つことができます。一般に、指定する変数が多いほど、モデルは不正イベントと正当なイベントを区別しやすくなります。オンライン不正インサイトモデルは、カスタム変数を含む多数の変数をサポートできますが、IP アドレスと E メールアドレスを含めることをお勧めします。これらの変数は通常、評価対象のエンティティを識別するのに最も効果的だからです。

## データの検証
<a name="training-data-validations-OFI"></a>

トレーニングプロセスの一環として、オンライン不正インサイトは、モデルトレーニングに影響を与える可能性のあるデータ品質の問題についてデータセットを検証します。データを検証した後、Amazon Fraud Detector は最適なモデルを構築するために適切なアクションを実行します。これには、潜在的なデータ品質の問題に対する警告の発行、データ品質の問題がある変数の自動削除、エラーの発行、モデルトレーニングプロセスの停止などがあります。詳細については、「[データセットの検証](https://docs.aws.amazon.com//frauddetector/latest/ug/create-event-dataset.html#dataset-validation)」を参照してください。

# トランザクション不正インサイト
<a name="transaction-fraud-insights"></a>

トランザクション不正インサイトのモデルタイプは、オンラインまたはカードを提示しないトランザクションの不正を検出するように設計されています。トランザクション不正インサイトは、教師付き機械学習モデルです。つまり、不正および正当なトランザクションのサンプル履歴を使用してモデルをトレーニングします。

トランザクション不正インサイトモデルは、データのエンリッチメント、変換、不正分類に機械学習アルゴリズムのアンサンブルを使用します。特徴エンジニアリングエンジンを活用して、エンティティレベルおよびイベントレベルの集計を作成します。モデルトレーニングプロセスの一環として、トランザクション不正インサイトは、IP アドレスや BIN 番号などの生データ要素を、IP アドレスのジオロケーションやクレジットカードの発行銀行などのサードパーティーデータで強化します。サードパーティーのデータに加えて、トランザクション不正インサイトは、Amazon および AWS で見られた不正パターンを考慮に入れた深層学習アルゴリズムを使用しています。このような不正パターンは、勾配ツリーブースティングアルゴリズムを使用してモデルへの入力特徴になります。

パフォーマンスを向上させるために、トランザクション不正インサイトは、ベイズ最適化プロセスを介して勾配ツリーブースティングアルゴリズムのハイパーパラメータを最適化し、さまざまなモデルパラメータ (ツリーの数、ツリーの深さ、枝葉あたりのサンプル数など) で数十の異なるモデルを順次トレーニングします。また、マイノリティ不正集団を重み付けして、非常に低い不正率に対処するなど、さまざまな最適化戦略もあります。

モデルトレーニングプロセスの一環として、トランザクション不正モデルの特徴エンジニアリングエンジンは、トレーニングデータセット内の各一意のエンティティの値を計算し、不正予測を改善します。例えば、トレーニングプロセス中に、Amazon Fraud Detector は、エンティティが最後に購入を行った時間を計算して保存し、`GetEventPrediction` または `SendEvent` API を呼び出すたびにこの値を動的に更新します。不正予測では、イベント変数が他のエンティティおよびイベントメタデータと組み合わされ、トランザクションが不正であるかどうかを予測します。

## データソースの選択
<a name="selecting-training-data-source-TFI"></a>

トランザクション不正インサイトモデルは、Amazon Fraud Detector (INGESTED\$1EVENTS) を使用して内部に格納されたデータセットでのみトレーニングされます。これにより、Amazon Fraud Detector は、評価しているエンティティに関する計算値を継続的に更新できます。使用可能なデータソースの詳細については、「[イベントデータストレージ](event-data-storage.md)」を参照してください。

## データの準備
<a name="preparing-training-data-TFI"></a>

トランザクション不正インサイトモデルをトレーニングする前に、[イベントデータセットの準備](https://docs.aws.amazon.com//frauddetector/latest/ug/create-event-dataset.html#prepare-event-dataset)で説明したように、データファイルにすべてのヘッダーが含まれていることを確認してください。トランザクション不正インサイトモデルは、受け取った新しいエンティティと、データセット内の不正エンティティと正当なエンティティの例を比較するため、エンティティごとに多くの例を提供することが有用です。

Amazon Fraud Detector は、保存されたイベントデータセットをトレーニング用の正しい形式に自動的に変換します。モデルのトレーニングが完了したら、パフォーマンスメトリクスを確認して、トレーニングデータセットにエンティティを追加する必要があるかどうかを判断できます。

## データの選択
<a name="selecting-training-data-TFI"></a>

デフォルトでは、トランザクション不正インサイトは、選択したイベントタイプについて、保存されたデータセット全体をトレーニングします。オプションで、時間範囲を設定して、モデルのトレーニングに使用されるイベントを減らすことができます。時間範囲を設定するときは、モデルのトレーニングに使用されるレコードが成熟するのに十分な時間をかけるようにします。つまり、正当なレコードと不正なレコードを正しく特定するのに十分な時間が経過していることです。例えば、チャージバック不正の場合、不正イベントを正しく特定するのに 60 日以上かかることがよくあります。最適なモデルのパフォーマンスを得るには、トレーニングデータセット内のすべてのレコードが成熟していることを確認します。

理想的な不正率を表す時間範囲を選択する必要はありません。Amazon Fraud Detector は、不正率、時間範囲、エンティティ数のバランスをとるためにデータを自動的にサンプリングします。

モデルのトレーニングに十分なイベントがない時間範囲を選択すると、Amazon Fraud Detector はモデルトレーニング中に検証エラーを返します。保存されたデータセットの場合、EVENT\$1LABEL フィールドは任意ですが、トレーニングデータセットに含めるには、イベントにラベルを付ける必要があります。モデルトレーニングを設定するときに、ラベルなしイベントを無視するか、ラベルなしイベントは正当なラベルであると仮定するか、ラベルなしイベントは不正なラベルであると仮定するかを選択できます。

## イベント変数
<a name="input-variables-TFI"></a>

モデルのトレーニングに使用されるイベントタイプには、必要なイベントメタデータの他に、[データ検証](https://docs.aws.amazon.com//frauddetector/latest/ug/create-event-dataset.html#dataset-validation)に合格した変数が少なくとも 2 つ含まれている必要があり、また最大 100 個の変数を含めることができます。一般に、指定する変数が多いほど、モデルは不正イベントと正当なイベントを区別しやすくなります。トランザクション不正インサイトモデルは、カスタム変数を含む多数の変数をサポートできますが、IP アドレス、E メールアドレス、支払い手段の種類、注文価格、クレジットカードの銀行識別番号を含めることをお勧めします。

## データの検証
<a name="training-data-validations-TFI"></a>

トレーニングプロセスの一環として、トランザクション不正インサイトは、モデルトレーニングに影響を与える可能性のあるデータ品質の問題についてトレーニングデータセットを検証します。データを検証した後、Amazon Fraud Detector は最適なモデルを構築するために適切なアクションを実行します。これには、潜在的なデータ品質の問題に対する警告の発行、データ品質の問題がある変数の自動削除、エラーの発行、モデルトレーニングプロセスの停止などがあります。詳細については、「[データセットの検証](https://docs.aws.amazon.com//frauddetector/latest/ug/create-event-dataset.html#dataset-validation)」を参照してください。

Amazon Fraud Detector は警告を発行しますが、一意のエンティティの数が 1,500 未満の場合は、トレーニングデータの品質に影響を与える可能性があるため、モデルのトレーニングを続行します。警告が表示された場合は、[パフォーマンスメトリクス](training-performance-metrics.md)を確認してください。

# アカウント乗っ取りに関するインサイト
<a name="account-takeover-insights"></a>

Account Takeover Insights (ATI) モデルタイプは、悪意のある乗っ取り、フィッシング、または盗まれた認証情報によってアカウントが侵害されたかどうかを検出することで、不正なオンラインアクティビティを識別します。Account Takeover Insights は、オンラインビジネスからのログインイベントを使用してモデルをトレーニングする機械学習モデルです。

トレーニング済みの Account Takeover Insights モデルをリアルタイムログインフローに埋め込んで、アカウントが侵害されているかどうかを検出できます。このモデルは、さまざまな認証タイプとログインタイプを評価します。これには、ウェブアプリケーションログイン、API ベースの認証、single-sign-on (SSO) が含まれます。Account Takeover Insights モデルを使用するには、有効なログイン認証情報が表示されたら、[GetEventPrediction](https://docs.aws.amazon.com/frauddetector/latest/api/API_GetEventPrediction.html) API を呼び出します。API は、アカウントが侵害されるリスクを定量化するスコアを生成します。Amazon Fraud Detector は、スコアと定義したルールを使用して、ログインイベントの 1 つ以上の結果を返します。結果は、設定した結果です。受け取った結果に基づいて、ログインごとに適切なアクションを実行できます。つまり、ログインに提示された認証情報を承認またはチャレンジできます。たとえば、追加の検証としてアカウント PIN をリクエストすることで、認証情報にチャレンジできます。

Account Takeover Insights モデルを使用して、アカウントログインを非同期的に評価し、高リスクアカウントに対してアクションを実行することもできます。たとえば、高リスクのアカウントを人間のレビューワーの調査キューに追加して、アカウントを停止するなど、さらにアクションを実行する必要があるかどうかを判断できます。

Account Takeover Insights モデルは、ビジネスの過去のログインイベントを含むデータセットを使用してトレーニングされます。このデータを提供します。オプションで、アカウントを正当または不正としてラベル付けできます。ただし、モデルのトレーニングには必要ありません。Account Takeover Insights モデルは、アカウントの正常なログイン履歴に基づいて異常を検出します。また、悪意のあるアカウント乗っ取りのイベントのリスクの増加を示唆するユーザーの行動の異常を検出する方法についても説明します。たとえば、通常、同じデバイスと IP アドレスのセットからログインするユーザーです。不正行為者は、通常、別のデバイスや位置情報からログインします。この手法では、アクティビティが異常であるリスクスコアが生成されます。これは通常、悪意のあるアカウント乗っ取りの主な特徴です。

Account Takeover Insights モデルをトレーニングする前に、Amazon Fraud Detector は機械学習手法を組み合わせてデータエンリッチメント、データ集約、データ変換を実行します。次に、トレーニングプロセス中に、Amazon Fraud Detector は指定した raw データ要素を強化します。raw データ要素の例には、IP アドレスとユーザーエージェントが含まれます。Amazon Fraud Detector は、これらの要素を使用して、ログインデータを記述する追加の入力を作成します。これらの入力には、デバイス、ブラウザ、位置情報の入力が含まれます。Amazon Fraud Detector は、指定したログインデータを使用して、過去のユーザー動作を記述する集計変数を継続的に計算します。ユーザー動作の例には、ユーザーが特定の IP アドレスからサインインした回数が含まれます。これらの追加のエンリッチメントと集計を使用すると、Amazon Fraud Detector はログインイベントからの小さな入力セットから強力なモデルパフォーマンスを生成できます。

Account Takeover Insights モデルは、不正なアクターが人間かロボットかに関係なく、正当なアカウントが不正なアクターによってアクセスされるインスタンスを検出します。このモデルは、アカウントの侵害の相対リスクを示す単一のスコアを生成します。侵害された可能性のあるアカウントには、高リスクアカウントとしてフラグが付けられます。高リスクアカウントは、2 つの方法のいずれかで処理できます。どちらの場合も、追加の ID 検証を適用できます。または、手動調査のためにアカウントをキューに送信することもできます。

## データソースの選択
<a name="selection-training-data-source-ATI"></a>

Account Takeover Insights モデルは、Amazon Fraud Detector に内部的に保存されたデータセットでトレーニングされます。Amazon Fraud Detector でログインイベントデータを保存するには、ユーザーのログインイベントを含む CSV ファイルを作成します。イベントごとに、イベントタイムスタンプ、ユーザー ID、IP アドレス、ユーザーエージェント、ログインデータが有効かどうかなどのログインデータを含めます。CSV ファイルを作成したら、まずファイルを Amazon Fraud Detector にアップロードしてから、インポート機能を使用してデータを保存します。その後、保存されたデータを使用してモデルをトレーニングできます。Amazon Fraud Detector でイベントデータセットを保存する方法の詳細については、「」を参照してください。 [Amazon Fraud Detector を使用してイベントデータを内部に保存する](storing-event-data-afd.md)

## データの準備
<a name="preparing-training-data-ATI"></a>

Amazon Fraud Detector では、UTF-8 形式でエンコードされたカンマ区切り値 (CSV) ファイルでユーザーアカウントのログインデータを指定する必要があります。CSV ファイルの最初の行には、ファイルヘッダーが含まれている必要があります。ファイルヘッダーは、各データ要素を記述するイベントメタデータとイベント変数で構成されます。イベントデータは ヘッダーに従います。イベントデータの各行は、単一のログインイベントからのデータで構成されます。

Accounts Takeover Insights モデルでは、CSV ファイルのヘッダー行に次のイベントメタデータとイベント変数を指定する必要があります。

** イベントメタデータ**

CSV ファイルヘッダーには、次のメタデータを指定することをお勧めします。イベントメタデータは大文字にする必要があります。
+ EVENT\$1ID - ログインイベントの一意の識別子。
+ ENTITY\$1TYPE - マーチャントや顧客など、ログインイベントを実行するエンティティ。
+ ENTITY\$1ID - ログインイベントを実行するエンティティの識別子。
+ EVENT\$1TIMESTAMP - ログインイベントが発生したときのタイムスタンプ。タイムスタンプは UTC の ISO 8601 標準である必要があります。
+ EVENT\$1LABEL (推奨) - イベントを不正または正当として分類するラベル。「fraud」、「legit」、「1」、「0」など、任意のラベルを使用できます。

**注記**  
イベントメタデータは大文字である必要があります。大文字と小文字が区別されます。
ログインイベントにはラベルは必要ありません。ただし、EVENT\$1LABEL メタデータを含め、ログインイベントのラベルを指定することをお勧めします。ラベルが不完全または散発的であれば問題ありません。ラベルを指定すると、Amazon Fraud Detector はそれらを使用してアカウント乗っ取り検出率を自動的に計算し、モデルパフォーマンスチャートとテーブルに表示します。

** イベント変数**

Accounts Takeover Insights モデルでは、必須 (必須) 変数とオプション変数の両方を指定する必要があります。変数を作成するときは、必ず変数を適切な変数タイプに割り当ててください。モデルトレーニングプロセスの一環として、Amazon Fraud Detector は変数に関連付けられた変数タイプを使用して変数エンリッチメントと特徴量エンジニアリングを実行します。

**注記**  
イベント変数名は小文字にする必要があります。大文字と小文字が区別されます。

**必須変数**

Accounts Takeover Insights モデルのトレーニングには、次の変数が必要です。


| Category | 変数タイプ | 説明 | 
| --- | --- | --- | 
| IP アドレス | IP\$1ADDRESS | ログインイベントで使用される IP アドレス | 
| ブラウザとデバイス | USERAGENT | ログインイベントで使用されるブラウザ、デバイス、OS | 
| 有効な認証情報 | VALIDCRED | ログインに使用された認証情報が有効かどうかを示します | 

**オプションの変数**

以下の変数は、Accounts Takeover Insights モデルのトレーニングではオプションです。


| Category | 型 | 説明 | 
| --- | --- | --- | 
| ブラウザとデバイス | FINGERPRINT | ブラウザまたはデバイスのフィンガープリントの一意の識別子 | 
| セッション ID | SESSION\$1ID | 認証セッションの識別子 | 
| ラベル | EVENT\$1LABEL | イベントを不正または正当として分類するラベル。「fraud」、「legit」、「1」、「0」など、任意のラベルを使用できます。 | 
| タイムスタンプ | LABEL\$1TIMESTAMP | ラベルが最後に更新されたタイムスタンプ。これは、EVENT\$1LABEL が指定されている場合に必要です。 | 

**注記**  
両方の必須変数オプション変数に任意の変数名を指定できます。必須変数とオプション変数をそれぞれ適切な変数タイプに割り当てることが重要です。
追加の変数を指定できます。ただし、Amazon Fraud Detector には、Accounts Takeover Insights モデルをトレーニングするためのこれらの変数は含まれません。

## データの選択
<a name="selecting-training-data-ATI"></a>

データ収集は、Account Takeover Insights モデルを作成するための重要なステップです。ログインデータの収集を開始するときは、次の要件と推奨事項を考慮してください。

**必須**
+ 少なくとも 1,500 個のユーザーアカウントの例を示し、それぞれに少なくとも 2 つのログインイベントが関連付けられています。
+ データセットは、少なくとも 30 日間のログインイベントをカバーする必要があります。後で、モデルのトレーニングに使用するイベントの特定の時間範囲を指定できます。

**推奨**
+ データセットには、失敗したログインイベントの例が含まれています。オプションで、失敗したログインに「不正」または「正当」というラベルを付けることができます。
+ 6 か月を超えるログインイベントを含む履歴データを準備し、100Kのエンティティを含めます。

最小要件を満たしているデータセットがない場合は、[SendEvent](https://docs.aws.amazon.com/frauddetector/latest/api/API_SendEvent.html) API オペレーションを呼び出して Amazon Fraud Detector にイベントデータをストリーミングすることを検討してください。

## データの検証
<a name="training-data-validations-ATI"></a>

Account Takeover Insights モデルを作成する前に、Amazon Fraud Detector は、モデルをトレーニングするためにデータセットに含めたメタデータと変数がサイズと形式の要件を満たしているかどうかを確認します。詳細については、「[データセットの検証](create-event-dataset.md#dataset-validation)」を参照してください。また、他の要件もチェックします。データセットが検証に合格しない場合、モデルは作成されません。モデルを正常に作成するには、再度トレーニングする前に、検証に合格しなかったデータを修正してください。

**一般的なデータセットエラー**

Account Takeover Insights モデルをトレーニングするためのデータセットを検証すると、Amazon Fraud Detector はこれらの問題やその他の問題をスキャンし、1 つ以上の問題が発生した場合にエラーをスローします。
+ CSV ファイルは UTF-8 形式ではない。
+ CSV ファイルヘッダーには、、`EVENT_ID`、`ENTITY_ID`または のメタデータが少なくとも 1 つ含まれていません`EVENT_TIMESTAMP`。
+ CSV ファイルヘッダーには、、`IP_ADDRESS`、`USERAGENT`または の変数タイプの変数が少なくとも 1 つ含まれていません`VALIDCRED`。
+ 同じ変数タイプに関連付けられている変数が複数あります。
+ の 0.1% を超える値には、サポートされている日付とタイムスタンプ形式以外の null または値`EVENT_TIMESTAMP`が含まれています。
+ 最初から最後のイベントまでの日数が 30 日未満です。
+ 変数タイプの`IP_ADDRESS`変数の 10% 以上が無効なか null です。
+ `USERAGENT` 変数タイプの変数の 50% 以上が null を含んでいます。
+ 変数タイプのすべての`VALIDCRED`変数は に設定されます`false`。