セブン&アイグループも導入!Bot被害からブランドと売り上げを守る対策とは
被害を防ぐために、どのように対策すればいいのか。マクニカでは、米Thales-Imperva社のソリューションをクライアントに提供している。同社の製品は、EC事業者や大手銀行、生命保険会社などへの導入実績がある。たとえば、セブン&アイグループのシステム会社、セブン&アイ・ネットメディアでは、人気商品の買い占め対策などに活用しているという。
Bot対策のベースとなるのが「Imperva CloudWAF」というソリューションだ。トラフィックをImperva CloudWAF経由にすることで、不正なBotによるアクセスをブロックし、正規のアクセスのみを保護対象サーバへ届ける。
「専門チームが監視することで、最新の脆弱性にも対応し、高い精度で防御できます。また、運用負荷が低いことも特長です。過去3年間の実績では、誤検知率が低く、チューニング作業なども発生していません」(浅見氏)
代表的な攻撃手法をカバーしているほか、あらゆるプラットフォームに対応。浅見氏は「ボタン一つで制御できるため、非常に手離れがいいです。セキュリティの知見がなくても、安心して利用できます」と話す。
加えて、CAPTCHA認証を突破するような高度なBotに対処する機能「Advanced Bot Protection」も備わっている。IPアドレスやCookieなどの情報を組み合わせて、独自のデータベースと照合することで、高度化するBotを正確に識別するという。
この機能を利用することで、Botアクセスの可視化が可能になる。どのWebページに対してBotアクセスが集中しているのか、またカスタマージャーニーのどの段階でBotに狙われていたのかを把握できる。その情報に合わせてポリシーを設定することで、悪性Botからの保護が可能になる。
アカウント乗っ取り攻撃に特化したソリューション「Account Takeover Protection」もある。ダークウェブなどで取引されたIDやパスワードによるログイン試行を検知してブロックする。ログイン試行回数を制限するルールをかいくぐるスローレート攻撃や、アクセスのたびにIPアドレスの組み合わせを変えるIP分散型攻撃への対応が可能になる。
APIへのBot対策にも対応
浅見氏は、APIに特化した対策についても紹介した。API対策のソリューション「API Security + CloudWAF」では、APIのエンドポイントを自動的に学習して、データを分類し、その結果からエンドポイントのリストを作成。どのAPIに脆弱性があるのか、どういった情報を扱っているのかを一元的に把握し、その情報をもとにリスク評価をしたり、不正なAPIリクエストを遮断したりできる。
まとめとして浅見氏は、ECサイトのブランドと売り上げを守るためのポイントを2つ挙げた。「Bot対策」と「API対策」だ。
「Botアクセスは増加、高度化しているため、その対策に特化したソリューションが求められています。また、Botの標的としてAPIが狙われる傾向が強くなっており、APIのビジネスロジックを狙った攻撃が大きな脅威です。したがって、標的となるAPIを可視化し、適切なBot対策を実行することが不可欠です。このような対策によって、EC利用者が安心して買い物をできるようにすることが重要です」(浅見氏)
.jpg)
