悪質なボットがバランス シートに与える悪影響について役員会の理解を得るには
悪質なボットは単なるセキュリティの問題ではない
悪質なボットはビジネスに重大な経済的損失をもたらす:ボットは、クレデンシャル スタッフィングによって顧客のアカウントを乗っ取り、スクレイピングによってWebやアプリケーションのパフォーマンスを低下させます。また、スクレイピングや在庫の買い占めによりロイヤル カスタマーの不満を煽り、購入を妨げ、列挙攻撃によってギフト カードやロイヤルティ ポイントを盗み、さらには盗んだクレジット カード データが正当化されることで販売元にはチャージバックや罰金が生じます。効果的でないボット緩和戦略にはCAPTCHAや多要素認証への過度の依存などがありますが、これらはセキュリティ上の摩擦を生み出し、コンバージョン率の低下やショッピング カートの放棄による収益の損失につながります。
犯罪者がボットで引き起こす損失は多様であるため、セキュリティ担当者が組織のビジネス リーダーに、悪質なボット トラフィックの経済面・運用面での広範な影響を説明するのは難しいかもしれません。このホワイト ペーパーでは、自動ボット攻撃の定量的および定性的な影響と、ボット管理の成功がもたらすビジネス上のメリットについて概要を説明します。ボット攻撃が売上と収益にもたらす影響と、効果的なボット対策技術がもたらす財務面での大きなメリットについて、情報セキュリティ チーム、不正対策チームと、経営幹部が話し合う際の出発点として、このドキュメントをお役立てください。
「ボット攻撃は、単なるセキュリティ インフラストラクチャに対する脅威ではなく、組織の事業運営と財務の健全性を維持するために取り組むべきビジネス課題です。」
経営幹部にボット攻撃の経済的脅威を明確に説明する
最近の一連の調査レポートでは、ボットの自動攻撃が財務面およびビジネス上にもたらす影響が報告されています。これにより、セキュリティ担当者は、サイバー犯罪の財務面への影響を提示しやすくなり、専用のボット対策ソリューションの投資収益率(ROI)についてビジネス リーダーとの話し合いを進めやすくなっています。こうした情報は、ボット攻撃が組織の財務の健全性に及ぼす経済的影響について、セキュリティ チームが重要な議論を行う際に役立ちます。
Aite-Novarica Groupのレポートによると、ボットは世界のオンライン トラフィックの最大40%を占め、サイバー攻撃の主な手段となっています。データ保護とプライバシーに関する130以上の規制・執行機関が参加しているGlobal Privacy Assemblyが引用した調査によると、2020年に世界で発生したボットによるクレデンシャル スタッフィング攻撃は1,930億件に及び、これは、毎月160億件以上、1日あたり5億件以上に相当します。これらの攻撃は深刻な経済的影響をもたらす可能性があります。Juniper Researchのレポートによると、世界中のオンライン詐欺による損失は2023年までに年間480億ドルを超えると予測されています。
ボット管理のビジネス経済
ボット管理戦略の成功は、コスト管理の改善、運用効率の向上、ビジネスと財務面のリスクの軽減、IT支出の抑制につながり、これらすべてが組織の財務的成功に直接的なプラスの影響を与えます。さらに、ユーザーの不満を生じさせる制御対策に依存しない、正確なボット検知は、収益と顧客維持率の向上につながります。
ボット攻撃の経済的影響
悪質なボットは、組織の売上と事業コストの両方に直接的かつ経済的な悪影響を及ぼすさまざまな自動攻撃に使用されています。こうした攻撃の例を以下に示します。
- クレデンシャル スタッフィング:攻撃者は、漏洩した大量の資格情報を別のアプリケーションのログイン フォームでテストし、金銭的利益や不正行為を目的としてそれらのアカウントにアクセスして乗っ取ります。世界的な送金サービス会社が、F5 Distributed Cloud Bot Defense導入後の最初の1か月間で、クレデンシャル スタッフィングとアカウント乗っ取り詐欺による786,000ドルの被害をどのように阻止したかをご覧ください。
- 偽のアカウントの作成:サイバー犯罪者は、ボットを使用してアカウント作成プロセスを自動化し、偽のアカウントを使用してインセンティブ プログラムや割引プログラムを悪用するなどの不正行為を行います。ボットが作成した偽のアカウントは、アプリケーションの使用状況データを大幅に歪める可能性があり、企業の評価が疑問視されることになります。Twitterの偽のアカウントがもたらす問題の大きさと、Twitterの評価に与える影響をお読みください。
- スカルパー/在庫の買い占め:攻撃者は、自動ボットを使用して、オンラインの商品やサービスが販売された瞬間に大量に購入します。チェックアウト プロセスを瞬時に完了することで貴重な在庫を大量に制御下に置き、その多くは二次市場でかなりの高値で転売され、人為的な希少性、在庫拒否、消費者の不満を生じます。また、悪質なボットは、ホスピタリティ業界でも在庫の買い占めに使用されており、大量の客室を予約することで空室をなくし、実際の宿泊客が予約できなくなります。北米の大手小売業者が、30日間で限定モデルのスニーカーに対するスクレイピングやその他の不正行為による500,000ドル以上の被害をどのように阻止したかをご覧ください。
- コンテンツ スクレイピング:分析、再利用、価格操作などを目的として、ボットを使用してターゲットのWebサイトから大量のコンテンツを収集します。スクレイピングは、サイトのパフォーマンスに影響を与え、正当なユーザーによるサイトへのアクセスを妨げます。損害保険会社が、スクレイパー ボットを使用した偽の見積経過調査依頼による100万ドル以上の被害をどのように防いだかをご覧ください。
- ギフト カードのクラッキングとロイヤルティ ポイント詐欺:攻撃者は、何百万通りものギフト カード番号やロイヤルティ アカウント番号を試して、残高のあるアカウントを特定します。残高のあるカード番号を特定すると、正当な顧客が使用する前に、そのカードやアカウントを換金または収益化します。Fortune 500の小売業者が数千万ドルもの不正取引とチャージバック料金をどのように排除したかをご覧ください。
業界別の一般的なボット攻撃とコスト
ボットによる定量的・定性的コストの影響
ボット管理は役員会で話し合うべき議題となっています。以下に示す定量的指標と定性的指標はどちらも、適切なボット戦略を備えることが今や重要な経済的課題であることを示すのに役立ちます。
自動ボット攻撃の主な影響は、財務面と運用面のコスト、および評判の悪化として現れます。
財務収益と評判に及ぼす定量的なコスト
自動ボット攻撃が引き起こす以下のような被害は、経済的損失やビジネス チャンスの損失に直接的につながる可能性もあります。
- アカウント乗っ取りにより顧客の信頼を失う。組織のボット対策が不十分なためにアカウント乗っ取り(ATO)や高額な不正行為が発生すれば、顧客は当然不満を抱きます。これは、顧客満足度の低下、評判の悪化、関係の終了につながります。調査に回答した米国の消費者の4分の1以上が、不正行為に対する銀行の対応に不満があれば銀行を替えると答えています。
- 不正行為やチャージバックにより損失が増大する。ボットによるATO攻撃や不正なアカウント作成は、犯罪者が盗んだ資格情報を使用して購入したり偽のアカウントを設定したりすることで収益に影響を及ぼします。チャージバックが生じると、クレジット カード会社での業者の評判が落ち、チャージバックのペナルティも科されます。
- 人件費が増大する。ATOにつながるクレデンシャル スタッフィングのようなボット攻撃が発生すると、不正対策アナリストによる調査が必要となり、彼らがより重要な調査を詳細に行うための時間が奪われることになります。クレデンシャル スタッフィング ボットは、アカウントの乗っ取りに失敗しても、多数のパスワードを次々に試してアカウントをロックアウトすることが多く、顧客がサポートに問い合わせることになり、そのたびにサポート コストがかさみます。
- 投資家の評価を歪める。上場企業の評価がフォロワー数、ユーザー数、エンゲージメント数に基づいている場合、人間ではないボット アカウントが存在すると、正確な評価を大幅に歪めかねません。その例として、人間が運用するアカウントとボットが運用するアカウントの数に基づいて正確な評価を行おうとするTwitterの最近の試みが2022年に大きく報じられました。
- ボット軽減対策の信頼性が低いため、ボットと人間を取り違える。ボット軽減対策が不十分であるとこうした取り違えが発生しますが、これを抑制し、防止する必要があります。誤検知(ボット管理ツールが人間をボットと見なして検知する場合)と検知漏れ(ツールがボットを人間と見なす場合)はどちらも、売上と収益の両方に影響を与えます。一方は顧客を失う原因となり、もう一方は不正行為による経済的損失を引き起こします。実際には、重要な顧客の送金を妨げる誤検知は、不正行為やチャージバックにつながる検知漏れよりも、銀行に与える損失が大きくなる可能性があります。どちらの状況でも、不正対策アナリストが調査するための時間と労力が必要になります。
- 顧客データが保護されない。EU一般データ保護規則(GDPR)、カリフォルニア州消費者保護法(CCPA)、Payment Card Industry Data Security Standard(PCI-DSS)などの法律や基準は、消費者データのプライバシーを確保し、データ侵害が発生した場合には多額の罰金を科すように設計されています。このようなデータ侵害には、個人データをボットに漏洩するATOやコンテンツ スクレイピング攻撃などがあります。こうした規制の不履行により生じたデータ侵害は非常に大きな損失になります。EUのデータ保護監督当局は、GDPRに則り、最大2,000万ユーロまたは前会計年度の世界年間売上高の4%の罰金を科すことができます。
運用面の定量的なコスト
ボット攻撃は収益に影響するだけではありません。以下のような被害により、ビジネスの運用コストも増大させます。
- アプリケーションのパフォーマンスとアップタイムが阻害され、インフラストラクチャ コストが増大する可能性がある。ボットのスクレイピング攻撃は、その量の多さによって、アプリケーションとプラットフォームのパフォーマンスを低下させる可能性があります。さらに放置すると、インフラストラクチャ容量への多額の投資が必要になり、必要なパフォーマンス レベルを維持するためにクラウド使用料が追加で発生する可能性があります。
- アプリケーションの可用性とビジネスのレジリエンスが低下する。ボットの活動により過負荷状態に陥ったWebアプリケーションは、リアルタイムの顧客からの問い合わせやeコマース活動に利用できなくなるため、収益の損失、評判の悪化、顧客離れ、ユーザー エクスペリエンスの低下を引き起こします。
- サードパーティのエコシステム パートナーとの関係を損なう。プラットフォームやアプリケーションが不要なボット トラフィックで過負荷状態になっていると、APIエコノミー内のパートナーがSLAを順守できなくなり、契約義務違反を生じる可能性があります。
- ビジネス上の意思決定を歪める。価格設定や有料およびオーガニックのSEOの最適化など、企業がビジネス上の意思決定に利用している重要なWebサイト統計情報、ログ データ、顧客とのやり取りの指標を、ボットの活動が歪めてしまう可能性があります。
- 在庫管理を操作される。自動ボットはオンラインの商品やサービスが発売された瞬間に大量に購入できるため、犯罪者は大量の貴重な在庫を制御下に置くことができます。その多くは二次市場でかなりの高値で転売され、人為的な希少性、在庫拒否、消費者の不満を生じます。
- 顧客のサポート コストが増大する。自動ボットが攻撃に成功すると、カスタマー サポート チームへの負荷が高まり、アカウントの乗っ取り、ギフト カードやロイヤルティ ポイントの詐欺、その他、侵害されたアカウントに関する顧客の苦情の問い合わせや、これらに対処するためのやり取りも増えます。不正行為対策としてCAPTCHAツールや多要素認証(MFA)を使用している場合、これらのプロセスを正常に完了させることが難しく、正当な顧客のアカウント ロックアウトにつながる可能性があるため、ユーザーの不満やカスタマー サポートへの問い合わせが増大するという意図せぬ結果を招く恐れもあります。これは、カスタマー サポート センタの運用コストの増加、顧客離れ、ネット プロモーター スコア(NPS)やソーシャル メディア プラットフォームでの否定的なレビューや低評価によるブランド イメージの悪化につながります。
- ボット攻撃の軽減に費やす作業時間が増える。Web Application Firewall(WAF)を介してボット攻撃に対抗し、手動でIPアドレスをブロックする作業は、時間がかかり、訓練を受けたスタッフを増やす必要があります。基本的なWAFはリアルタイムで学習しないため、悪質なボットを検知するには事前に設定されたルールを必要とします。また、WAFを最新の状態に保つには、通常、段階的にパッチを適用し、ルールを設定する必要があります。こうした手動のプロセスを使用して防御を拡張するには、専任のITスタッフやセキュリティ スタッフを増やすしかありません。
定性的な影響
定性的な影響は、定量的な指標に比べて測定が難しいかもしれませんが、組織にとって重要性が低いわけではありません。自動ボット攻撃が、次のような形でこうした主観的な価値ドライバーに直接的に影響することもあります。
- 従業員の体験に影響を与える。情報セキュリティの専門知識を持つ人材は不足していて、多くの組織がサイバーセキュリティ人材の確保に取り組んでいますが、その一方で自動ボット攻撃の数と巧妙さは増しています。多くのSOCチームや不正対策チームが最善を尽くしても、ボット攻撃の方向や手口を週に何度も、即座に変えるサイバー犯罪者に先手を打たれています。よりスマートで技術的精度の高いボット対策ソリューションを導入しなければ、優秀なセキュリティ専門家を確保することは難しく、彼らが疲弊して手に負えないと感じている場合はなおさらでしょう。
ボット管理の事例
重要なポイントは、ボット管理が重要なビジネス トピックであるということです。アプリケーションとインフラストラクチャをボット攻撃から保護することで、以下の具体的な経済的メリットが得られます。
- インフラストラクチャ コストと人件費の減少によるコストの削減。
- サイトの可用性の改善と顧客減少率の低下による収益損失の防止。
- スムーズなユーザー エクスペリエンスとコンバージョン率の向上による収益の増加。
- 従業員満足度と組織間の協力体制の改善。
成功したボット管理の経済的価値と影響を説明するため、次のような事例を考えてみましょう。ユーザー アカウント数3,100万、ユーザー アカウントあたりの毎月の平均収益54ドルの大手オンライン小売業者が悪質なボットに攻撃されました。この攻撃により、クレデンシャル スタッフィングおよびATOインシデントの解決、問題収拾およびコール センタ サポートにかかった費用、さらにはボット スクレイピング インシデントや、Webインフラストラクチャとホスティング リソースを悪用するボット トラフィックの発生によりサイトを停止した期間の収益の損失を含め、年間推定100万ドルの損失が発生しました。
F5とオンライン小売業者は協力して、F5 Distributed Cloud Bot Defenseをボット管理ソリューションとして導入した場合の影響を、コスト削減、収益向上、収益損失防止などのビジネス ケース指標を使用して定量化しました。インタラクティブなビジネス ケース モデリング ツールを使用した結果、F5とオンライン小売業者は、F5 Distributed Cloud Bot Defenseを導入すれば、初年度に約930,000ドル、5年間で約490万ドルの累積コスト削減が見込まれると判断しました。
さらに、ボット トラフィックによるサイト停止が減少すれば、年間50,000ドル近くの収益損失を防止でき、加えて、ユーザー エクスペリエンスの低下に起因するユーザー アカウントの喪失と顧客離れによる、200,000ドルから100万ドルの年間収益損失を防止できることがモデリング ツールで予測できました。また、スムーズなユーザー エクスペリエンスと顧客のサイト滞在時間の増加によりコンバージョン率が向上すれば、さらに160万ドルの収益増加を見込めることもわかりました。
このオンライン小売業者がDistributed Cloud Bot Defenseから得る総経済利益は、次年度以降に合計360万ドル近くに達し、5年後の累積総経済利益は約1,950万ドルに達します。
これらの予測は、F5がForrester Consultingに委託した調査結果で述べられている経済的利益に沿ったものです(詳細は後述)。F5 Distributed Cloud Bot DefenseのTotal Economic Impact™調査によると、Forresterが聞き取り調査を行った5人の意思決定者を代表する複合組織がDistributed Cloud Bot Defenseを導入した場合、3年間で総利益は972万ドル、ROIは195%に達することがわかりました。
主要なステークホルダーとの話し合いをうまく進めるには
ボット管理の成功がもたらす価値を伝えるには、組織内の特定の役割や職務に関係する運用や指標に、ボット攻撃がどのような影響を及ぼすかを説明することが重要です。
CISO
CISOは、情報セキュリティとコスト管理、そしてITが会社の使命を実現できているかどうかに関心がありますが、ボットはこうした問題のそれぞれに影響を与えます。
ボットは情報セキュリティの3要素である機密性、完全性、可用性を侵害します。アカウントを乗っ取るクレデンシャル スタッフィング ボットは機密保持されるべきデータを暴露します。さらに、攻撃者はこれらのボットを使用してデータを改ざんし、トランザクションを実行し、整合性を侵害します。スクレイピング ボットは、偽のアカウントを作成するボットと同様にデータを歪めるため、これらはすべて主要なビジネス指標の整合性を侵害します。最後に、スクレイピング ボットとスキャルピング ボットはサイトのインフラストラクチャの負荷も増大させるため、サイトは利用できなくなります。
ボットはさまざまな形でコストに影響を与えます。
- クレデンシャル スタッフィング ボットは、アカウントのロックアウトによってサポート コストを増加させ、犯罪者が口座残高を持ち去れば経済的不利益も増大します。
- カーディング ボットはチャージバック料金を増加させ、さらに罰金が科せられることもあります。
- スクレイピング ボットとスキャルピング ボットは、トラフィックの負荷とインフラストラクチャのコストを増加させます。
- WAFのような効果のないツールでボットに対抗しようとすると、SecOpsコストが増加します。
また、ITがビジネスを実現する上でボットが障壁となることも、CISOにとっての懸念材料になります。CAPTCHAや、多要素認証への過度の依存といった、効果のないボット管理は、カスタマー エクスペリエンスの低下と収益の減少を招く摩擦を生み出します。ボットは、ビジネス戦略の評価が難しくなるほどビジネス指標を歪ませます。誰を相手にしているのかすらわからない状態で、どうやってビジネス戦略を導入するのでしょうか?
セキュリティ運用(SecOps)
SecOpsチームは、ビジネスに対するサイバーセキュリティ リスクの効率的な管理を担当していますが、ボットはその任務の妨げになります。CISOと同様に、SecOpsチームは機密性、整合性、可用性に関心があり、これらすべてがボットの影響を受けます。こうした共通の問題に加え、セキュリティ リスクに効率的に対処する上で、ボットは多くのノイズを生じて信号をかき消し、悪意のある膨大なトラフィックに脅威を隠すという難題を突き付けます。
ボットがサイトへのトラフィックの大部分を占めている場合は、ログを分析して脆弱性スキャンやインジェクション攻撃の兆候を見つけることがさらに難しくなります。また、SIEMや侵入検知・防止システムのようなセキュリティ ツールが過負荷状態になり、コストが増加し、さらには調査しきれないほど多くの誤検知が発生します。正検知が極めて少数であれば、異常の追跡はほぼ不可能です。
ボット管理に成功すると、ノイズが除去され、SecOpsチームは残された脅威に効果的に取り組むことができるようになります。
不正対策
SecOpsチームと同様に、ボットはノイズを劇的に増加させるため不正対策チームに影響を与えます。大量のボットがアカウントを乗っ取り、ロックアウトし、偽のアカウントを作成し、異常アラートをトリガーするため、作業量は非現実的なものになります。
不正対策チームとセキュリティ チームが協力してボットを管理すれば、双方がメリットを得られます。セキュリティ チームは、より小規模なセキュリティ インシデントに集中でき、不正行為の量が減ることで、不正対策チームは解決に専門家の判断が必要となる複雑な不正案件に集中できるため、取り扱い件数が減り、成功指標が向上します。不正行為を行う側から見ると、ボットは入口、つまり攻撃者がアクセスするための手段です。そのため、上流でボットをブロックすれば下流の作業量が軽減します。
ネットワーク運用(NetOps)
NetOpsチームの役割は、ビジネスを支えるインフラストラクチャを運用し、コストを抑制しながらアップタイムとパフォーマンスを維持することです。
場合によっては、eコマース アプリケーションでスクレイピング ボットがトラフィックの90%以上を占めることがあり、これはインフラストラクチャの大部分をボットが使っていることを意味し、インフラストラクチャの予算の大半を無駄にしていることになります。この指標はクラウド サービスの請求書にはっきりと現れます。
このようなボットは、サイトのパフォーマンスやアップタイムに関係なく、前触れなしにいつでもトラフィックを急増させることができるため、予測できず、必要なスケーラビリティを確保するためのコストが増加します。
DevSecOps
DevOps文化の中で、DevSecOpsチームは継続的統合/継続的開発(CI/CD)パイプラインにセキュリティを組み込み、セキュリティ バグについて開発者に迅速なフィードバックを提供し、テクノロジのバリュー ストリームへのセキュリティの統合を継続的に改善する責任を負っています。
DevSecOpsチームは、セキュリティのシフト レフトを行い、ワークストリームの早期にギャップへの対応が計画されるようにしています。ボットはここに関係があり、ボットが新しい機能をどのように悪用するか、どのような被害が発生するか、その被害を防ぐには導入時にどのような措置を講ずるべきかについて、機能を評価する必要があります。
DevSecOpsチームは、特にテレメトリに関心があります。The DevOpsハンドブック1によると、テレメトリは複雑なシステムで問題を予測、診断、解決するために不可欠です。DevOpsが成功するには、テレメトリは、1つのレイヤの問題をスタック全体で追跡し、根本原因を迅速に特定できるように、ビジネス指標、機能使用率、ネットワーク パフォーマンス、インフラストラクチャ ロードを含む複数のレイヤに対応している必要があります。
ボットはテレメトリを大きく歪めます。F5 Distributed Cloud Bot Defenseをご利用の多くのお客様は、ユーザー アカウントのほとんどが偽のアカウントであり、ボットがログイン トラフィックの95%以上を占めていたことを検出しました。組織のインフラストラクチャの大部分を、スクレイピング ボットだけが使用している場合もありました。DevSecOpsチームがセキュリティ ミッションを遂行するには、テレメトリからこの歪みを排除する必要があります。
事業部門の責任者
これは結局のところ、その数字の責任を持つ人です。不正行為、インフラストラクチャ、チャージバックのコストについて責任を負うのは、eコマース担当の副社長ですか?これらのコストが、オンライン ビジネスの利益に深刻な打撃を与えていますか?コンバージョン率と収益が、CAPTCHAなどのセキュリティの摩擦の影響を受けていますか?もしそうなら、この副社長は、ボット管理によって売上高と最終利益の両方がどのように改善されるかに高い関心を持つでしょう。
Webアプリケーションやモバイル アプリケーションを通じてオンラインで販売する製品やサービスを担当するリーダーにも同じことが言えます。利益の最大化を図るには、アプリケーションへのトラフィックの最大の発生源に対処する必要があります。
マーケティング
マーケティング担当者には、ボットに関心を持つ独自の理由があります。ボットによるサイトの速度低下、サイトのダウン、顧客アカウントの乗っ取りなど、すべてがブランドの失墜を招きます。さらにボットは、マーケティング担当者が意思決定に使用するWebサイト分析結果を歪めます。また、ボットによるクリック詐欺が発生すると、収益が生み出されず広告費が枯渇してしまいます。
取締役会と経営幹部の理解を得る
悪質なボットがビジネスのあらゆる側面にどのように影響するかを経営幹部や取締役会に理解してもらうには、こうした話し合いの内容をすべて1つにまとめる必要があります。コストと収益損失の累積合計は、収益に重大な影響を与えるものとして彼らの注意を引くでしょう。
「当社でサイバー攻撃やその他のプライバシーまたはデータ セキュリティ インシデントが発生し、セキュリティ侵害により業務が中断された場合や、保護対象の個人情報、専有情報、機密情報が意図せず拡散された場合、当社は収益の損失やコストの増加、重大な法的責任、風評被害、その他の深刻な悪影響を被る可能性があります。」
ボット軽減の成功がもたらすビジネス上のメリット
ボット攻撃は、収益に直接的な影響を与え、自動攻撃を阻止するセキュリティ チームの時間とリソースを浪費させ、カスタマー エクスペリエンスを低下させます。F5 Distributed Cloud Bot Defenseは、このような影響を軽減するために、リアルタイムの監視とインテリジェンスを提供し、ユーザーの不満を生じることなく組織をボット攻撃から守ります。
F5がForrester Consultingに委託して行われた調査では、Distributed Cloud Bot Defenseを導入することで企業が達成できるROIの可能性を調べました。Forresterの調査で数値化された主な調査結果とメリットは以下のとおりです。
ボット攻撃による不正行為に起因するコストを30%削減。下流の不正対策担当者が行っていた不正対策プロセスを、自動ボット攻撃が発生しているフロント エンドに移行することで、複合組織はボット関連の不正対策のコストを30%削減できました。回答によると、不正なアカウント作成が92%減少し、ボット ブロック率は、以前はソリューションがなかった場合は80%、既にボット対策ツールを導入していた場合は30%向上しています。
クレデンシャル スタッフィング攻撃によるコストを96%削減。Distributed Cloud Bot Defenseの導入により、クレデンシャル スタッフィングに関連する不正行為以外のコストも削減されています。年間50件以上受けていた攻撃を96%削減して約2件にまで抑えることで、この複合組織は毎年120万ドル以上を節約できることになります。回答者は、クレデンシャル スタッフィング攻撃1回あたりのコストは500,000ドルにも及び、これは年間約2,500万ドルに相当すると答えています。
アカウントのロックアウトとそのサポート コストを88%削減。回答者は、アカウントのロックアウトを防ぐことで、カスタマー エクスペリエンスを向上させ、顧客が新しいアカウントの作成、パスワードのリセット、カスタマー サポートへの問い合わせに要する時間と労力を削減できたと答えています。また、カスタマー サポートへの問い合わせが減ったことで、カスタマー サポートの人件費や技術費用などのコストを削減できました。
手動のボット対策プロセスをなくし、ルール設定作業を40%削減。F5製品による自動化をボット対策に実装することで、回答企業のセキュリティ チームは年間10,000時間を節約できました。これは、以前はIPアドレスのブロックとセキュリティ インシデントの調査に費やしていた時間であり、フルタイムの従業員5人分に相当します。さらに、これらのセキュリティ チームは以前はルール設定に費やしていた時間を40%削減しています。
この調査で数値化されていないメリットには以下があります。
セキュリティ チームと不正対策チームの協力体制の改善。製品の導入後に、セキュリティ チームと不正対策チームの協力体制が改善されたという声をお客様から頂きましたが、これを数値化できませんでした。
サードパーティのボット対策ツールを廃止したことによるコストの削減。以前にボット対策ツールを使用していた組織の回答者は、F5 Distributed Cloud Bot Defenseに投資したことでそのツールを廃止してコストを削減できました。
オンライン アクティビティが増加したときのレジリエンスの向上。回答者は、F5が提供する自動攻撃対策により、COVID-19のパンデミックでオンライン アクティビティが大幅に増加する中、高いレジリエンスでオンライン プレゼンスを拡大できたと答えています。
新しいユース ケースや市場に対応できる高い柔軟性。回答者は、Distributed Cloud Bot Defenseの使用を、スクリーン スクレイピング対策などの新しいユース ケースや、将来的には新しい地域の市場にも拡大する計画があるとも答えています。
「敵についてわかっていることを考えると、「Distributed Cloud Bot Defense」のようなツールがなければ、どれくらいの人数を配置したら効果が得られるのか見当も付きません。」
「当社はF5 Distributed Cloud Bot Defenseを使用して、悪質なインバウンド トラフィックの97%をアプリケーション層に到達する前にブロックし、お客様のリスクを大幅に軽減しています。」
まとめ
今や、ボット管理と言えばコスト管理を意味しています。これを適切に行えば、運用効率の向上、ビジネスと財務面のリスクの軽減、IT支出の抑制、セキュリティ チームと不正対策アナリストの時間の創出、そして正確な検知と回避によるパートナー ボットの戦略的管理が可能になり、これらすべてと同時に、カスタマー エクスペリエンスも向上します。
自動攻撃は、企業や組織が収益と事業運営の安全のために対処しなければならない経済的課題となっています。企業は、収益目標を達成するために、顧客とクライアントを不正行為やアカウントの乗っ取りから保護し、セキュリティ チームを非効率的な手動のボット対策ワークフローから解放しなければなりません。
F5 Distributed Cloud Bot Defenseは、ユーザーを苛立たせたり、カスタマー エクスペリエンスを損なったりすることなく、既存のボット管理ソリューションを回避できる不正行為や悪用を防止し、リアルタイムの監視とインテリジェンスを提供して、組織を自動攻撃から保護します。このような保護対策を導入することで、不正行為によるコストと悪質なボット トラフィックによる経済的影響を軽減し、カスタマー サポートの費用を削減できます。
ボット トラフィックが御社のビジネスに与える影響の詳細については、当社のボット被害計算ツールを使用して、不正行為、在庫操作、インフラストラクチャ費用、従業員の疲弊、顧客離れなどにより悪質なボットがもたらすコストを確認してください。
出典:
1. Gene Kim、Patrick Debois、John Willis、Jez Humble、John Allspaw著『The DevOpsハンドブック:理論・原則・実践のすべて』、オレゴン州ポートランド、IT Revolution Press, LLC、2021年。
Connect with F5
