リソースソリューション ガイド

Salesforce Commerce Cloud セキュリティのための F5 分散クラウド ボット防御

電子商取引 Web サイトの作成と展開は、これまでになく簡単になりました。 残念なことに、電子商取引サイトは、そのほとんどがボット攻撃である、絶えず変化するさまざまな脅威を仕掛けるサイバー犯罪者にとって、これまで以上に魅力的な標的となっています。 朗報としては、大規模、中規模、小規模を問わず世界有数の小売業者が使用している業界をリードするソリューションである F5 Distributed Cloud Bot Defense が、Salesforce Commerce Cloud LINK Marketplaceで利用できるようになりました。

米連邦取引委員会(FTC)のデータによると、同委員会は2020年に消費者から210万件を超える詐欺報告を受けた。 これらの報告書全体を通じて、なりすまし詐欺が最も多く挙げられた詐欺のカテゴリーであり、次いでオンラインショッピングが続いた。 全体として、消費者は2019年の18億ドルから33億ドル以上を失ったと報告した。 2020年の損失のうち約12億ドルは詐欺によるもので、オンラインショッピングによる損失は約2億4,600万ドルでした。 これらは FTC に報告されたものにすぎません。

顧客を保護することに加えて、eコマース事業者は、アカウント乗っ取り (ATO)、知的財産の盗難、機密データの漏洩、チェックアウトの不正使用など、脅威のリストが日々増える中、自らも保護する必要があります。

Salesforce コマース クラウド (SFCC)

あらゆる規模の企業で B2C および B2B コマースを実現することに関しては、 Salesforce Commerce Cloud (SFCC)が、クラウドベースのプラットフォームを介して何千もの企業が顧客と取引するのを支援しています。このプラットフォームは、「ブランドがモバイル、ソーシャル、Web、店舗など、すべてのチャネルでインテリジェントで統合された購入エクスペリエンスを作成できるようにします」。

SFCC は、同社のプラットフォームが年間 210 億ドルの商品総価値を処理し、毎月 5 億人を超える個々の買い物客のサイト訪問をサポートしていると報告しています。 こうした活動は、大企業でも小企業でも同様に行われています。小売業者の規模に関係なく、Salesforce Commerce Cloud の Distributed Cloud Bot Defense は、世界最大の小売業者、銀行、航空会社を保護するボット保護ソリューションを提供します。

Salesforce Commerce Cloud での悪意のあるボットからの保護のための分散クラウド ボット防御

企業の電子商取引チャネルが展開されているプラットフォームに関係なく、毎日のログイン試行の 90% 以上が人間以外の訪問者、つまりボットベースのトラフィックによるものであることは珍しくありません。 ボット攻撃トラフィックの場合、これらのボットは、すでに出回っている何百万もの盗難または漏洩した認証情報を次から次へと繰り返し、ユーザー名とパスワードの組み合わせをeコマースプラットフォームに投げ込み、ほんの一部でも通過することを期待します。

これはクレデンシャルスタッフィングと呼ばれるプロセスであり、コストがかかる可能性があります。 これらすべての自動ログイン試行は、帯域幅とアプリケーション リソースを継続的に消耗させます。 ボットの 1 つが盗まれた認証情報を使用してログインし、アカウント乗っ取り (ATO) につながると、状況はさらに悪化する可能性があります。

F5 は、あらゆる種類の有害なボット駆動型ネットワーク トラフィックを識別し、リソースの浪費 (またはそれ以上) になる前にブロックする革新的なサービスを提供しています。 Distributed Cloud Bot Defense は、SFCC 専用の F5認定カートリッジを介して Salesforce Commerce Cloud (SFCC) に迅速かつ簡単に統合できるため、電子商取引プラットフォームの保護に最適です。

分散クラウドボット防御は、大規模な詐欺につながる高度な攻撃から Web、モバイル アプリケーション、API エンドポイントを保護します。 アプリケーション要求が不正なソースからのものであるかどうかをリアルタイムで判断し、要求のブロック、リダイレクト、フラグ付けなどの企業指定のアクションを実行します。

Distributed Cloud Bot Defense は、機械学習と世界最大手の企業を防御してきた長年の経験を組み合わせて活用しているため、業界で際立っています。つまり、数え切れないほどの攻撃の試みから膨大な量の非常に詳細なデータを収集しているということです。 こうした豊富な経験により、Distributed Cloud Bot Defense は、特定のリクエストがボットによって行われたのか人間によって行われたのかを識別するだけでなく、そのリクエストが悪意を持って行われたのか、それとも無害な意図を持って行われたのかを識別する比類のない専門知識を備えています。

展開

分散クラウド ボット防御の展開には、観察と緩和の 2 つの段階があります。 観察段階では、Distributed Cloud Bot Defense は高度なテレメトリを収集し、防御エンジンに通知して攻撃を検出するためのトレーニングを行います。 これらのシグナルは、Web アプリケーションでは JavaScript、ネイティブ モバイル アプリケーションでは SDK を介して収集されます。

分散クラウド ボット防御エンジンは、分散クラウド ボット防御の展開における意思決定コンポーネントであり、軽減段階全体の鍵となります。 電子商取引プラットフォームを対象とした自動トランザクションを検出し、軽減します。 不正なリクエストを阻止するために、何百もの信号を処理して、アプリケーション、ネットワーク、ブラウザ、およびユーザー レベルで自動化を検出します。

Salesforce ダイアグラム

図1: Distributed Cloud Bot Defense は、Salesforce Commerce Cloud プラットフォーム上の小売サイトを保護するために、API ベースの電子商取引セキュリティを提供します。

AI と ML を搭載した Distributed Cloud Bot Defense は、すべてのトランザクションを分析し、あらゆる攻撃キャンペーンを精査して、将来の攻撃を積極的に認識します。 攻撃キャンペーンが何らかの方法でツールを変更して(通常はソフトウェアを更新するか、新しいプロキシを活用することによって)F5 を回避しようとした場合でも、Distributed Cloud Bot Defense は他の何百ものシグナルに基づいてキャンペーンを識別できます。 最も重要なのは、ある顧客に対して新たな攻撃手法が観測されるとすぐに、新たな対策が自動的に展開され、詳細が共有されるため、他のすべての F5 顧客もすぐに対策を講じられることです。

 

分散クラウド ボット防御は、瞬時に、邪魔にならずに動作します。 プラットフォームがリアルタイムでアプリケーション リクエストが不正なソースからのものであると判断すると、そのソースは直ちにブロックされます。これにより、正当な人間のユーザーに対して非効率的な摩擦 (多要素認証や CAPTCHA などの必要性など) が生じることはありません。 Distributed Cloud Bot Defense は、SFCC 上の F5認定カートリッジを通じてマネージド サービスとして提供され、大規模、中規模、小規模を問わずすべての小売業者に業界をリードするボット管理と保護を提供します。 

まとめ: F5 Distributed Cloud Bot Defense は、Salesforce Commerce Cloud アプリケーションに必要なソリューションです。

電子商取引詐欺は、B2C および B2B 事業者が顧客を保護する必要がある現実的かつ増大する脅威ですが、その保護によってユーザー エクスペリエンスが悪影響を受け、同じ顧客を失うリスクがあってはなりません。 Salesforce Commerce Cloud (SFCC) は、エンドツーエンドの e コマース エクスペリエンスの導入と運用に役立ちますが、F5 Distributed Cloud Bot Defense は、バックグラウンドで動作して、自動化された不正なボット攻撃トラフィックへの露出を大幅に削減し、ユーザー エクスペリエンスの摩擦を排除することで e コマース関連サービスのセキュリティを確保するのに役立ちます。

Distributed Cloud Bot Defense の詳細については、 f5.comにアクセスし、SFCC Marketplace からカートリッジをダウンロードしてください

もっと詳しく知る

テクノロジーアライアンス: Salesforce Commerce Cloud 向け F5 分散クラウド ボット防御
https://www.f5.com/partners/technology-alliances/salesforce-commerce-cloud

ライトボードレッスン: Salesforce Commerce Cloud 向け F5 分散クラウド ボット防御
https://youtu.be/YZPdUSuUvko

DevCentral の記事:

  1. https://community.f5.com/t5/technical-articles/f5-bot-defense-for-salesforce-commerce-cloud-protect-your-e/ta-p/287269
  2. https://community.f5.com/t5/technical-articles/f5-bot-defense-for-salesforce-commerce-cloud-protect-your-e/ta-p/287284

ケーススタディ: 小売業者がシューボットの急増を解決し、詐欺、摩擦、偽造を修正:
https://www.f5.com/customer-stories/retailer-solves-shoe-bot-spikes-fixes-fraud-friction-and-fake

摩擦なく詐欺を阻止: 最新のサイバー攻撃を検出して阻止する方法:
https://www.f5.com/resources/library/security/ecommerce

F5 分散クラウドボット防御ソリューションの概要:
https://www.f5.com/pdf/solution-overview/f5-distributed-cloud-bot-defense-overview.pdf

著作権 © 2022 F5, Inc. 無断転載を禁じます。 このウェブサイトに掲載されている資料(グラフィック、テキスト、画像、写真、レイアウトなどを含みますが、これらに限定されません)(以下「コンテンツ」)は、米国著作権法によって保護されています。 F5 Networks, Inc. の事前の書面による同意なしに、この Web サイトのコンテンツをコピー、複製、交換、送信、譲渡、変更、アップロード、ダウンロード、公開、販売、配布することは絶対に許可されません。

課題
  • 電子商取引サイトはサイバー攻撃に常にさらされている
  • 詐欺には、アカウント乗っ取り(ATO)、クレデンシャルスタッフィング攻撃、チェックアウトの不正使用、ウェブスクレイピング、在庫の拒否など、あらゆる形態があります。
  • サイバー犯罪者にとって、電子商取引は利益の大きい標的となる可能性があり、決済詐欺による損失だけでも年間200億ドルを超えると予測されている。
  • 攻撃者は一般的にすべてのチャネル(Webとモバイル)を移動します。信頼性の高いセキュリティソリューションも同様に機能する必要があります。
利点
  • 詐欺や不正行為を撲滅
  • 評判の失墜を防ぐ
  • ユーザーエクスペリエンスから摩擦を取り除く
  • アプリケーションのパフォーマンスと稼働時間の向上
  • セキュリティを強化する
電子商取引サイト: 保護すべき 3 つの重要な領域

Salesforce Commerce Cloud (SFCC) 用の F5 カートリッジは、SFCC プラットフォームと Distributed Cloud Bot Defense を接続する統合モジュールです。 選択されたテレメトリを Distributed Cloud Bot Defense に送信し、推論応答を受信して、軽減策を実行します。 このソリューションとその利点は、次のようなさまざまな攻撃から電子商取引 Web サイトを保護するように設計されています。

  • アカウント乗っ取り: 詐欺師が盗んだ何百万もの認証情報をログイン アプリケーションに対して次々とテストするのを阻止し、顧客のアカウントを乗っ取る前に不正なトラフィックを排除します。
  • チェックアウトの不正使用: 在庫拒否とも呼ばれます。 ボット攻撃はオンラインチェックアウトをターゲットにすることができ、そこではボットが複数の商品をカートに追加し、他の小売業者に有利になるように利用可能な商品を使い果たすと同時に、正当な顧客を苛立たせます。
  • Webスクレイピング: 製品情報と価格設定は、多くの場合、競争上の優位性の源となります。 機密データを保護するために、自動スクレーパーとアグリゲータが Web サイトからデータを収集する方法を制御します。

Distributed Cloud Bot Defense は、ソフトウェアのセキュリティ向上に取り組む非営利団体Open Web Application Security Project® (OWASP)によって特定されたこれらの不正な戦術やその他の不正な戦術から保護します。