ビジネスの未来を守る bot 攻撃対策
Google Cloud Japan Team
※この投稿は米国時間 2021 年 2 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。
以前にも増してビジネスのオンライン化が進んでいることで、bot 攻撃は増加傾向にあり、ビジネスにとってのリスクもますます上昇しています。2019 年には、自動生成されたすべてのウェブ トラフィックの半分以上、すべてのインターネット トラフィックの約 4 分の 1 が bot によるものでした。各企業や団体は、bot 攻撃が増加しており、その対策の必要性が高まっていることを認識しています。ただし大部分の企業や団体は、bot 攻撃や自動プログラムを用いた悪意のある攻撃の対策準備が整っていないとも考えています。Google は、お客様がオンライン詐欺と不正行為からビジネスを保護できるよう、Forrester Consulting に bot 管理手法の評価を委託しました。今回、Google は企業、団体を標的として最も頻繁に行われる攻撃とその対策方法を含め、調査結果を共有します。
各企業や団体は、bot 攻撃の脅威が高まっていることを理解していても、まだその対策が準備できていないと認識しています。
調査から、84% の企業が 2020 年の 1 年間で bot 攻撃の増大を認識していることがわかっています。COVID-19(新型コロナウイルス感染症)により多くの企業がデジタル ビジネスに移行したことで、攻撃件数が増大しており、71% の企業で攻撃の被害件数が増え、56% の企業が複数の種類の攻撃を受けたと報告しています。
大部分の企業や団体は、bot 攻撃の増加を認識しているにもかかわらず、その対策の準備が整っていません。また、bot 対策のためのセキュリティ製品を正しく併用できていません。78% の企業や団体が bot 対策のために DDoS 対策製品、WAF、CDN を使用していますが、完全装備の bot 対策システムを現在使用している企業は 19% にすぎません。DDoS 対策製品、WAF、CDN はすべて、ウェブ アプリケーションを保護するうえで重要なツールですが、bot 対策としては十分な役割を果たせません。bot は、アプリケーションのビジネス ロジックを攻撃します。bot 対策ソリューションを使用しなければ、この種の脅威からビジネスを守れません。ウェブ アプリケーションを bot 攻撃から効果的に保護するには、DDoS 対策製品、WAF、CDN などのツールとともに、bot 対策ソリューションを使用する必要があります。
企業や団体は、最も重大かつよく行われる攻撃への対応ができていないことから、bot 攻撃の対策も十分に取れていません。たとえば、現時点でウェブ スクレイピング攻撃の対策を取っている企業は 15% にすぎず、73% の企業が毎週のようにこのような攻撃を受けています。63% の企業がウェブ スクレイピング攻撃だけで、1~10% の収益を失っていると報告しています。平均すると、企業が対策を取っている攻撃は 3 種類のみで、最も一般的なのはクレジット カードの不正使用、広告詐欺、インフルエンサー詐欺の 3 つです。各企業は、適切な保護対策を導入できるよう、自らを標的として最もよく行われる攻撃を特定することに時間をかける必要があります。
現在、大部分の企業では、サイロ化が進みすぎて協力して bot 攻撃を防ぐことができなくなっています。
効果的な bot 対策を取れるかどうかは、セキュリティ部門、カスタマー エクスペリエンス部門、e コマース部門、マーケティング部門など、組織内の多くのチームが協力できるかにかかっています。しかし、平均すると bot 対策には通常、アプリケーション セキュリティ チームとセキュリティ運用チームの 2 チームしか参加していません。その一方、bot 対策ツールのデータを最もよく使用するのは、e コマース、詐欺対策、ネットワーク セキュリティの専門家です。この点が一致しないために、コマースチームまたは詐欺対策チームが bot 対策に関する重要な意思決定に関われないケースも見られます。
bot 対策に携わる関係者が非常に多いため、企業は bot の取り扱いのための手法を統一するのに苦労しています。一貫した対策を取れていないことで、企業は攻撃後の原状復旧に平均してロール全体で 424 時間(53 営業日)を費やしています。その結果、多くの場合、従業員が不満を募らせることが bot 攻撃によりもたらされる最大の影響の一つとなり、収益と顧客の信用の損失以上に大きな問題となっています。約 2 営業月をかけて攻撃によりもたらされる問題を解決するとなると、事前対策よりも攻撃後の対応に従業員の時間が多く取られ、戦略的な作業に十分時間を取れなくなります。
戦略的に投資し、組織を挙げて bot 攻撃に対応しましょう。
bot 対策ソリューションを導入し、対策プロセスを明確に定義することで、ビジネスをより効果的に攻撃から守ることができます。調査結果に基づいた重要な推奨事項をご紹介します。
まず、セキュリティ、詐欺対策、マーケティング、e コマース、経営幹部クラスの各関係者を集め、組織における bot 攻撃のリスクを把握し、bot 対策ソリューションの要件を判断することをおすすめします。従業員の不満を軽減するため、bot 攻撃の傾向と特定の bot 攻撃事案に関する週次レポートと臨時レポートの両方を全関係者に送付し、進捗状況を通知します。
次に、特に高度な bot も検出可能な bot 対策ソリューションに投資します。bot の進化に合わせて進化し、攻撃をかわすための幅広い対策を取ることができるソリューションをおすすめします。カスタマー エクスペリエンスを優先し、お客様との正当なやり取りを阻害しないことも重要です。このための 1 つの方法として、誤検出とお客様の使用量指標を追跡し、これらを週次で見直して、bot 対策の取り組みによりお客様のサービス利用が減っていないか確認する方法が挙げられます。この方法により、従業員とお客様の時間を無駄にせず、両者の信頼を確保できます。
社内チームが bot トラフィックを確認しやすく、bot 攻撃に迅速に対応できるソリューションを探すこともおすすめです。bot をリスク評価の対象に含め、攻撃に対するアプリケーションの脆弱性を高める恐れのあるコンテンツ、製品、サービスを四半期に 1 回見直してください。脅威を認識しやすくなる以外に、bot 攻撃事案件数と社内対応の費用を追跡し、bot 対策の導入により攻撃事案件数とチームが復旧に費やした時間が削減されているかを確認しやすくなります。
この調査とベスト プラクティスの適用方法の詳細については、こちらの調査内容をお読みいただき、オンデマンド ウェブセミナーをご覧ください。
-プロダクト マーケティング マネージャー Kelly Anderson