F5 分散クラウド サービスによる SAP 顧客データ クラウドの保護

オンラインには、小売サイトや電子商取引サイトから、金融サービス、旅行・ホスピタリティ、デジタル サービス業界にわたるさまざまなオンライン プロバイダーまで、あらゆる規模や形態の B2C (企業対消費者) 販売者が存在します。 ほぼすべてのオンライン B2C 企業に共通していることは、「顧客を知りたい」という願望です。 消費者ベースのサービスや製品を提供するオンライン ビジネスでは、価値やメリットを売るだけでなく、消費者との感情的なつながりを生み出す必要があることがよくあります。 顧客はそれぞれ異なるため、感情的なつながりを築くには、パーソナライズされた体験を提供することから始まります。

B2C ビジネスの場合、顧客を知るにはまず個々の訪問者を識別する必要があり、そのためには強力な ID およびアクセス管理 (IAM) ソリューションが必要です。 SAP は、Customer IAM ( CIAM ) および B2C ビジネス向けの一般的な商取引製品とサービスでよく知られたリーダーです。 このユースケースでは、これらの企業が F5 分散クラウド サービスを防御に導入して SAP への投資を最適化し、安全でスムーズな顧客エクスペリエンスを提供する方法を探ります。

B2Cビジネス向けSAP

SAP Customer Data Cloud (CDC) は、消費者プロファイルを保存および管理する機能を提供するマルチテナント SaaS ソリューションです。 SAP は、約 700 社の顧客 (増加中) 向けに、14 億を超える消費者 ID をホストし、毎月 16 億件の同意トランザクションを保存し (GDPR、CCPA、LGPD などの地域のデータ保護法の要件に対応)、40 億台の消費者向けデバイスを統合し、毎月約 180 億件の API 呼び出しを処理しています。 多くのオンライン B2C 企業にとって、SAP CDC ソリューションは、SAP Commerce Cloudも含まれる全体的な SAP Customer Experience ソリューションの一部です。 SAP CDC は、その他の機能の中でも、次のような機能を提供します。

  • 顧客アイデンティティ(CIAM): サービスとしての登録、ソーシャル ログイン、アイデンティティ フェデレーション/SSO (シングル サインオン) を含む
  • 顧客の同意: 消費者プロファイルデータへのアクセス、エクスポート、削除を制御する機能など、GDPRのあらゆる側面に対する同意管理
  • 顧客プロファイル: 同意やその他の設定の記録、オーケストレーションとガバナンス、データ分析、レポートなど

ボットと詐欺行為の防止のための分散型クラウドボット防御

B2C Web サイトの毎日のログイン試行の 90 パーセント以上が人間以外の訪問者によるものであることは珍しくありません。 残念ながら、この場合の非人間とは、通常、ボットベースの攻撃トラフィックを意味します。 これらの安価で基本的なボットは、すでに出回っている何百万もの盗難または漏洩した認証情報を次から次へと繰り返し処理し、ほんの一部でも通過することを期待して、ユーザー名とパスワードの組み合わせを商取引サイトに投入します。

 

これはクレデンシャルスタッフィングと呼ばれるプロセスであり、コストがかかる可能性があります。 こうした自動ログイン試行は、帯域幅とサーバー リソースを継続的に消耗させます。また、ボットの 1 つが盗んだ資格情報を使用してログインできる場合、状況はさらに悪化する可能性があります。

F5 Distributed Cloud Bot Defense は、あらゆる種類の有害なボット駆動型ネットワーク トラフィックを識別し、リソースの浪費 (またはそれ以上の悪影響) になる前にブロックします。

分散クラウドボット防御の展開には、観察モードと緩和モードの 2 つの段階があります。 観察モードでは、Distributed Cloud Bot Defense は、脅威を特定し、防御解決策をカスタマイズするために、アプリケーションへのすべての受信リクエストのログを分析します。

図1: 監視を通じて、Distributed Cloud Bot Defense はログイン トラフィックの 90% がボット攻撃によるものであることを発見しました。
図1: 監視を通じて、Distributed Cloud Bot Defense はログイン トラフィックの 90% がボット攻撃によるものであることを発見しました。
図2: 導入後、Distributed Cloud Bot Defense により、ボット攻撃によるログイン トラフィックの量が 90% 削減されました。
図2: 導入後、Distributed Cloud Bot Defense により、ボット攻撃によるログイン トラフィックの量が 90% 削減されました。

ログを分析して悪意のあるログイン トラフィックと正当なログイン トラフィックを区別すると同時に、Distributed Cloud Bot Defense はリクエストを攻撃キャンペーンに分類して分析する機能も備えています。 攻撃キャンペーンが何らかの方法でツールを変更して(通常はソフトウェアを更新するか、新しいプロキシを活用することによって)F5 を回避しようとした場合でも、Distributed Cloud Bot Defense は他の何百ものシグナルに基づいてキャンペーンを識別できます。

F5 と顧客が正当な人間のトラフィックが影響を受けないことを確信したら、緩和モードをアクティブ化できます。 その時点から、アプリケーション リクエストが不正なソースからのものであることがリアルタイムで判断されると、そのソースは直ちにブロックされます。正当な人間のユーザーに対して、一切の摩擦 (多要素認証や CAPTCHA の必要性など) が生じることはありません。

まとめ

オンライン詐欺は、B2C 企業が顧客を保護する必要のある現実的かつ増大する脅威ですが、こうした保護によってユーザー エクスペリエンスに摩擦が生じて、同じ顧客を失うリスクが生じてはなりません。 SAP は未知のユーザーを既知の忠実な顧客に変換するお手伝いをしますが、F5 Distributed Cloud Bot Defense はバックグラウンドで動作し、自動化された不正なボット攻撃トラフィックへの露出を大幅に削減し、SAP サービスのセキュリティを確保し、ユーザー エクスペリエンスの摩擦を取り除きます。

F5 Distributed Cloud Bot Defense の詳細については、 f5.com/cloud/products/bot -defense をご覧ください。

ボットやその他の自動攻撃からの保護

分散クラウド ボット防御は、最も高度なクレデンシャル スタッフィング攻撃やアカウント乗っ取り攻撃、カーディング、およびOWASP が Web アプリケーションに対して自動化した脅威のその他の脅威から保護します。これには以下が含まれます。

  • アカウント乗っ取り: 詐欺師が盗んだ認証情報をログイン アプリケーションですぐにテストするのを阻止し、そもそもアカウントを乗っ取ることができないようにします。
  • スクレイピング: スクレーパーとアグリゲータがウェブサイトからデータを収集する方法を制御し、機密データを保護し、インフラストラクチャ コストを管理できるようにします。 
  • カード処理: 犯罪者がチェックアウト ページを使用して盗まれたクレジットカードを検証するのを防ぎます。
  • ギフトカード攻撃: ギフト カードの価値、ロイヤルティ ポイント、その他の蓄積された価値が顧客の手元に残るようにします。
  • 在庫の買いだめ: キャンペーンや最も需要の高い商品が転売業者ではなく顧客に直接販売されるようにしてください。
  • マーケティング詐欺: ビジネス分析とマーケティング費用がボットのないデータに基づいていることを確認します。

 

課題
  • デジタルトランスフォーメーションにより、組織はビジネス不正や電子商取引詐欺などの新たな脅威や新たなタイプの攻撃にさらされる。
  • サイバー犯罪者にとって、アプリは最も利益の高いターゲットであり、オンライン詐欺による損失は2023年までに480億ドルを超えると予測されています。
  • ウェブ攻撃がブロックされると、攻撃者はすぐにモバイルアプリケーションなどの他のチャネルに移動します。セキュリティソリューションはすべてのプラットフォームに対応する必要があります。

利点
  • 詐欺や不正行為を撲滅
  • 評判の失墜を防ぐ
  • ユーザーエクスペリエンスから摩擦を取り除く
  • アプリケーションのパフォーマンスと稼働時間の向上
  • セキュリティを強化する