F5 Bot DefenseでSalesforce Commerce Cloudのセキュリティを確保
あらゆる規模のB2BおよびB2C販売者向けのSalesforce Commerce Cloud(SFCC)は、オンライン販売やデジタル店舗に関連するあらゆるものの頼れるプラットフォームとして急速に普及しています。SFCCは拡張性の高いクラウドベースのSaaS型eコマース ソリューションであり、Adidas、Herman Miller、New Balance、PetSmart、Pumaなどをはじめとした世界の大手ブランドを魅了しています。家族経営の小さな店から世界的な小売業者まで、あらゆるユーザーがこのプラットフォームを採用していることに不思議はあるでしょうか(例えば、Salesforceの2021年会計年度の収益は、昨年比で24%増加しています)。
残念ながら、オンライン小売のような成長分野は、毎日eコマース サイトを絶えず執拗に攻撃する犯罪者や攻撃者にとっても魅力的なターゲットです。さらに、オンライン詐欺には、アカウント乗っ取り(ATO)、クレデンシャル スタッフィング攻撃、チェックアウト不正使用、Webスクレイピング、在庫拒否など、さまざまな形態があります。しかも、その被害は甚大です。決済詐欺による損失だけでも、年間200億ドルを超えると予測されています。
F5では、小売業のお客様のために、アプリケーション セキュリティの革新に常に取り組んでいます。Salesforce Commerce Cloudとの提携は、お客様のオンライン商取引を保護するための非常に強力なツールの導入と運用を、いかに簡単かつコスト効率よく行うかを示す好例です。
eコマース アプリケーションやWebサイトに流れるトラフィックのうち、最大で90%以上が自動化された攻撃によるものです。悪意のあるボット攻撃の場合、このような安価で初歩的な「プログラム」は、すでに世の中に出回っている何百万もの盗まれたり流出したりした認証情報を循環させることができます。アカウント乗っ取り(ATO)につながる可能性があるクレデンシャル スタッフィングと呼ばれるプロセスやその他の形態のサイバー攻撃を用いて、悪意のあるボットがユーザー名とパスワードの組み合わせをeコマース プラットフォームで大量に試し、そのごく一部でアクセスできることを期待します。しかし、そのごく一部がブランドにダメージを与え、顧客の信頼を失うことになるのです。ときには、その結果はもっと深刻なものになることもあります。
Figure 1: Credential stuffing attacks are distressingly easy—and inexpensive—to orchestrate
たとえ攻撃が成功しなかったとしても、自動ログイン試行は帯域幅とリソースを継続的かつ着実に消費するため、すべて小売業者に負担をかけることになります。ボット対策ソリューションを導入していない場合、これらのボット攻撃によってサイトやアプリケーションの処理速度が低下してビジネスのパフォーマンスが低下するため、顧客にすぐに気付かれてしまいます。カスタマ エクスペリエンスへの悪影響を迅速に解決しなければ、顧客は他の小売業者に移ってしまうでしょう。最近の調査では、自動化されたボットによって、平均的な企業の収益の3.6%が損なわれていると指摘しています。最も影響を受けている上位4分の1の企業では、その額は少なくとも年間2億5,000万米ドルに相当します。
F5は、あらゆる種類のボット駆動の有害なネットワーク トラフィックを識別する最先端のソリューションを提供しています。F5のソリューションは、アプリケーションのリクエストが不正なソースからのものであるかどうかをリアルタイムで判断し、リクエストのブロック、リダイレクト、フラグ付けなどの企業が指定したアクションを実行します。悪意のあるボットへの対応に加えて、悪意のある攻撃者に対しても防御する機能を備えています。ビジネスにおける不正行為のスタンスを、事後対応からプロアクティブな対応に変えることができます。お客様がこのような立場を実現するために、F5はどのようなお手伝いができるのでしょうか?
Figure 2: Distributed Cloud Bot Defense offers API-based security to protect e-commerce on Salesforce Commerce Cloud platform
F5は、新しい統合ソリューションのF5 Bot Defenseを発表しました。これは、Shape Enterprise Defenseテクノロジを活用した、Salesforce Commerce Cloudを利用するお客様のためのソリューションです。この統合ソリューションは、新しいF5 SFCC認定コネクタ(F5カートリッジ)を通じて提供され、こちらからダウンロードできます。F5 Bot Defenseは、高レベルのセキュリティを提供することで、SFCCのeコマース導入における全体的な複雑さを軽減します。これがなければ、複数の製品やソリューションが必要となり、これらは複数のベンダーから提供される場合がほとんどで、同じ結果を得ることはできないでしょう。
「F5がSalesforce Commerce Cloudと連携することで、お客様とデジタル コマース業界に大きなメリットがもたらされます」と、F5のセキュリティ担当エグゼクティブ バイスプレジデント兼ゼネラル マネージャーのHaiyan Songは述べています。「業界をリードする2社の提携により、F5 Bot DefenseはSalesforce Commerce Cloudと緊密に統合され、満足度やパフォーマンスを低下させることなく、攻撃者とボット攻撃からの革新的なアプリケーション セキュリティ保護を提供します。F5 Bot Defense for SFCCを共同の顧客に提供することで、セキュリティをコスト要因からビジネスに収益をもたらすものに変えて、カスタマ エクスペリエンスの向上とビジネスへの影響を明確に示して評価することができます。」
最小限の運用負担(フル マネージド サービス)と顧客の集団的防御によって、F5 Bot Defenseを導入し、巧妙化した高度なリツール攻撃からの防御や、あらゆるチャネル(Web、モバイル、API)での保護など、さまざまな機能を実現できます。その上、SFCCの導入に対してF5 Bot Defenseを導入するプロセスはこれ以上ないほど簡単です。パートナーの使用事例をご覧になり、eコマース プラットフォームが完全に保護されていない場合に何が問題になるのか、また、F5 Bot DefenseによってSalesforce Commerce Cloudアプリケーションのセキュリティをいかに簡単に確保できるのかをご確認ください。