HBO Max が reCAPTCHA Enterprise を活用してスムーズなカスタマー エクスペリエンスを実現した方法

※この投稿は米国時間 2021 年 6 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: このブログは、HBO Max のシニア スタッフ セキュリティ エンジニアである Randy Gingeleski 氏と HBO Max の CISO である Brian Lozada 氏の共同執筆であり、reCAPTCHA Enterprise を使用した経験を共有し、他の企業がカスタマー エクスペリエンスにおいて同じレベルのセキュリティを実現できるよう支援するものです。

COVID-19（新型コロナウイルス感染症）のパンデミックにより、視聴者は HBO Max でホストされているすべてのコンテンツを探索する時間がこれまで以上に増え、迅速で信頼性の高いストリーミングへの需要が劇的に高まりました。この需要に応えるために、私たちはカスタマー エクスペリエンス ツールとデジタル エクスペリエンスに巨額の投資を行い、お客様に最新のコンテンツをお届けするとともに、最高水準のエクスペリエンスをご提供しています。しかし、私たちのサービスに対する需要が高まるにつれ、攻撃対象領域も増えていきました。

私たちは、昨年オンライン攻撃の増加に気づいた 65% の企業のうちの一社です。攻撃者は、漏洩した認証情報を使ってアカウントにログインする、偽のプロモーション コードを入力する、支払いページで盗んだクレジット カード情報を使用するといった、あらゆる手段を駆使してきました。

ウェブベースの攻撃を防ぐためのアプローチを評価する中で、私たちは、お客様のエクスペリエンスをすべての中心に据えたセキュリティ戦略を構築することを目指しました。HBO Max では、セキュリティは、セキュリティ チームにとっては使いやすく、エンドユーザーにとっては見えないものであるべきだと考えています。この目標を達成するための戦術の一つが、スムーズな bot 管理ソリューションである reCAPTCHA Enterprise です。このソリューションにより、お客様には当社のサービスをご利用いただきながら、不正利用者による使用を阻止することが可能です。本投稿では、reCAPTCHA Enterprise を使用して、お客様にスムーズなエクスペリエンスを提供し、セキュリティ チームを強化して、ビジネスをさらに成長させる方法を共有いたします。

ウェブサイトやモバイルアプリを使用する多くの企業と同様に、当社も人間や自動アクターの標的となる複数のウェブページを所有しています。最大かつ最も頻繁に攻撃を受けているのは、お客様が HBO Max のメンバーシップを購入する際に関連するウェブページです。攻撃者が盗んだクレジット カード情報を使おうとしたり、決済ページで同じクレジット カード情報を何度も再入力したりしていることに気づきました。また、支払いページで現在有効なクーポンコードや期限切れのクーポンコードを何度も使おうとする攻撃者もいました。

reCAPTCHA Enterprise を選んだ理由は、スムーズなカスタマー エクスペリエンスを提供しながら、クレデンシャル スタッフィング、クーポン詐欺、その他の不正な攻撃から保護できる、実績のある製品を求めていたからです。Google は、500 万を超えるサイトのネットワークでインターネットとデータを防御してきた 10 年以上の経験があり、この経験に基づいて reCAPTCHA Enterprise が構築されています。この事実により、私たちにとって有用であるという確信を得ました。

当社の大部分のユーザーは、Hulu、AT&T、または他のパートナー企業のお客様であるため、HBO Max に登録する必要がありません。新規のお客様は、HBO Max に直接登録してアカウントを作成し、ログインする必要があります。これらのお客様のために登録システムのセキュリティを確保する際には、社内の複数の関係者のニーズとのバランスを取る必要がありました。当社のカスタマー エクスペリエンス チームは、HBO Max への登録をできるだけ簡単にするために構築および最適化した円滑なカスタマー ジャーニーの邪魔にならないようなセキュリティ製品を必要としていました。また、マーケティング チームは、見込み顧客との直接対話を妨げないセキュリティ製品を必要としていました。さらに、プロダクト チームは、お客様が安全にコンテンツを閲覧およびストリーミングできることを望んでいました。登録フローはすべての関係者のニーズを満たしつつ、ウェブサイトには高度なセキュリティを提供する必要がありました。

チェックボックスをオンにする、画像をクリックする、お客様になんらかの課題に取り組んでもらう、といったような従来のアプローチは、時代遅れで安っぽいもののように感じられました。reCAPTCHA Enterprise では、人が何の取り組みもせずに登録フローを確保できるため、視聴者の負担が軽減されました。これは、すべての人にとってメリットとなります。社内の関係者はお客様中心のエクスペリエンスを創出でき、お客様は当社のサービスを簡単に利用できます。さらに、その結果として、手間のかかるセキュリティ製品を使用している競合他社よりも、当社のサービスがお客様に支持されるようになりました。

reCAPTCHA Enterprise には、モバイルアプリ SDK のサポートや、モデル チューニング用のアノテーション API などの多くの機能が搭載されており、当社のウェブサイトとのインタラクションが人間によるものか bot によるものかをセキュリティ チームが判断するのに役立ちます。

reCAPTCHA Enterprise では、あるインタラクションが正当なお客様や当社のビジネスに影響を与えるかどうかを判断するために、リスクスコアを使用しています。reCAPTCHA Enterprise には 0～1 の 11 種類のスコアが用意されており、0.1 や 0.3 のように 0 に近いスコアは高リスクまたは高度な不正行為であり、0.7 や 0.9 のようなスコアは低リスクで人間である可能性が高いとされています。当社では、ウェブやネットワークのトラフィック、お客様のユーザー名やアカウント ID を分析して、リスクスコアを審査しています。これらすべての情報を総合して、ウェブサイトのリスクしきい値を設定し、低いスコアのインタラクションにはサイトを利用させないようにしています。また、reCAPTCHA Enterprise のアノテーション API を使用して、低いスコアのインタラクションをウェブページ上で処理させないなど、ウェブリスク分析を当社のウェブサイトの設定に合わせて調整しています。これまでのところ、しきい値に問題はなく、正当なお客様に当社のウェブサイトをご利用いただけています。

reCAPTCHA Enterprise のリスクスコアを使用するだけでなく、その理由コードを活用することで、当社のウェブサイトとのインタラクションを解釈できます。理由コードは、reCAPTCHA Enterprise がインタラクションにリスクスコアを割り当てる方法です。この情報により、インタラクションが自動化されているか、通常のパターンに従っていないかなどがわかります。理由コードを使用することで、信頼と精度が得られ、インタラクションで何がうまくいかなかったかを判断するための起点にもなります。そこからさらに、ログを確認し、ユーザーがさまざまなアクションをどれだけ早く進めたかを調べます。

reCAPTCHA Enterprise は、お客様とセキュリティ チームだけでなく、当社のビジネスにも変化をもたらしました。アカウント作成、ログイン、プロモーション コード ページ、支払いページなど、最も脆弱なページを保護することで、ブルート フォース攻撃やクレデンシャル スタッフィング攻撃が劇的に減少しました。また、ギフトカードを保護するために使用していたレガシー ソフトウェアを reCAPTCHA Enterprise に置き換えたところ、トークン クラッキングによる不正行為が大幅に減少していることがわかりました。スマートテレビ、スマートフォン、パソコンなど、HBO Max のアカウントを作成できる場所が数多くあるため、当社のウェブサイトには 1 日に何十億ものリクエストを受け取ります。reCAPTCHA Enterprise のおかげで、どのリクエストがお客様からのもので、どのリクエストが不正なものなのかを簡単に判断できるようになり、その結果、お客様の数と収益を増やすことができました。

お客様にとってのスムーズなエクスペリエンスとセキュリティ チームにとっての使いやすさから、お客様のエクスペリエンスを確保したいと考えている他の企業には、今すぐ reCAPTCHA Enterprise を導入することをおすすめします。当社は、ウェブ アプリケーションやモバイルアプリを提供する企業に対し、オンライン詐欺や不正行為を防止してカスタマー エクスペリエンスを維持するため、reCAPTCHA Enterprise の使用を強く推奨します。

-HBO Max シニア スタッフ セキュリティ エンジニア、Randy Gingeleski