ボットはビジネスに潜み、ビジネスは正常

2022年末には世界のGDPの65％がデジタル化されると予測されています。ボットは文字通り、お金を追いかけているのです。

組織がデジタル ビジネスへの変革の道を歩み続ける中、攻撃や脅威もまた巧妙化しています。その多くは標的を「スタックの上」に移し、CVEよりもビジネスをいかに悪用するかに重点を置くようになっています。そのため、「ボット」という言葉が標準的なビジネス用語の1つとなっているのも不思議ではありません。

私たちはこの言葉から、さまざまな攻撃を仕掛けるソフトウェアやスクリプトを連想することが多いのですが、それらの攻撃は一般的に技術的なものに分類されます。つまりボットとは、DDoS攻撃や、既知の脆弱性を悪用して不正アクセスを行ったり、マルウェアやバックドアを仕掛けたり、消費者へのサービスを拒否しようとする試みを指すのです。

しかし、デジタル プレゼンスを運用するビジネスと内在する脆弱性を標的とする攻撃の一部としてボットが使われることはますます増えています。

用語に馴染みのない場合は、「一歩離れて見てみることでセキュリティを簡素化する」を参照してください。以下に簡単に説明します。

今日、ビジネスに対する攻撃のかなりの割合が、本質的な脆弱性を標的としています。これにはよく知られている、アクセスを取得するためのクレデンシャル スタッフィング攻撃がありますが、APIや顧客に提供するデジタル インターフェイスを悪用するビジネス攻撃も増加しています。

例えば、グリンチ ボットは、需要のある商品を大量に購入し、より高い値段で転売することを目的としています。イベント チケットのダフ屋行為と同様に、グリンチ ボットは在庫を枯渇させ、消費者が望む商品を奪うことが可能で、特にホリデー シーズン（その名の由来）には大きな影響を与えます。

この問題は非常に深刻で、クリスマスに最新で最高のおもちゃをもらうという子どもたちの夢を壊すデジタルのダフ屋を罰するための法案としてStopping Grinch Bots Actが米国の議員により提出されました。

この法案は、イベント チケットのダフ屋のボットを禁止する2016年のBetter Online Ticket Sales Act（BOTS法）を発展させたものです。彼らが最初ではなく、世界中のいくつかの政府がボットによるビジネス攻撃の問題の深刻化に対処するための法律や規制を導入していますが、法制化されたものはほとんどありません。

残念ながらこのような対策では、攻撃者によるボットの使用を阻止するために企業が直面する最大の課題である「まず第一にボットを特定すること」に対応できません。

今日、ボットを特定するには、行動と環境の両方のシグナルをより高度に分析する必要があります。現在、「ボット」を決定的に識別する単一のシグナルは存在せず、有効な認証情報であっても取引の背後にいる正当なユーザーを保証することはできません。さらにボットがビジネス上の問題になる前にボットを特定して無力化するために、リアルタイムでその分析を実行する必要があります。

したがって、今日、AIや機械学習の活用に関して、セキュリティが全般的に話題をリードしているのは当然のことです。デジタル信号は大量かつ高速に生成されており、攻撃を認識できなかった場合の影響が大きいため、スピードと規模が関係する問題の解決を得意とするAIと機械学習の活用が求められているのです。

必然的に、１つの結論にたどり着きます。すなわち、サイバーセキュリティの再定義が必要なのです。

デジタル ビジネスをサポートするために必要なテクノロジ スタックとともに、セキュリティ対策も進化させなければなりません。デジタル ビジネスの健全性を示すシグナル、あるいはその欠如を示すシグナルは、定義上、デジタルでもあるのです。このため、IT/OTコンバージェンス、すなわち顧客データと運用データの統合と、ITとビジネスにおけるデータ関連の役割（データ サイエンティスト、データ オペレーション、最高データ責任者など）の増加が注目されているのです。

デジタル ビジネスを安全に大規模に運営するためには、データの役割がますます重要になっています。これは、データに依存するテクノロジ内のすべての原則に対する私たちの理解を進化させることを意味します。