2020年2月19日、F5ネットワークスジャパンは記者懇親会を開催し、直近のビジネス動向のほか、買収したShape Securityについて説明した。同社のChief Revenue Officeであるハサン・イマム氏は、直近のオンライン詐欺やクレデンシャルを狙った攻撃、Shape Securityのソリューションについて説明した。
Shape Security Chief Revenue Office ハサン・イマム氏
増え続けるクレデンシャルを狙う攻撃
ADC(Application Delivery Controller)市場をリードするF5ネットワークス。ハードウェアアプライアンスから、仮想化、クラウドへとフォーカスを変えており、昨年はWebサーバーベンダーのNGINXを買収したばかり。今回の説明会も、同社が買収したShape Securitiesのトピックが中心となった。
F5が買収したShape Securityはマルチクラウド環境で詐欺対応サービスを提供する。Chief Revenue Officeであるハサン・イマム氏は、デジタルエキスペリエンスにおいては、先進的な認証やセキュリティ対策が非常に重要になるとアピール。一方で、コンシューマーは「煩わしいこと」や「これまでと違う操作」を嫌うため、安全でありながらスムーズなエキスペリエンスを求めていると説明した。
ユーザーIDやパスワードなど顧客のクレデンシャルを狙った攻撃は深刻化している。IDとパスワードをのっとり、本人になりすましてWebサービスにログインするいわゆるアカウントテイクオーバー(ATO)は発生率より、損害金額の方が上回りつつある。また、新規アカウント詐欺(NAF)によってダークウェブに流出した個人情報も多く、「メカニカルターク」と呼ばれるクラウドソーシング的な人力攻撃も増えている。その他、多要素認証を破るサーバーサイドマルウェアの「MageCert」やデジタルIDを詐取する「Genesis」などさまざまな脅威が安全なWeb利用を脅かしている。
増え続けるクレデンシャル詐欺
自動化された攻撃、マニュアルの攻撃にも対応
これに対してShape Securityはアプリケーションへの攻撃を防ぐ詐欺対応/セキュリティプラットフォームを提供する。現在、他社がカバーするアマチュアな自動化攻撃はもちろん、高いモチベーションとスキルが必要になる自動化された攻撃、さらにはスケール化されたマニュアル攻撃にも対応する。
さまざまな攻撃に対応するShape Security
構成としては、フロントのWebページにはShape JS、モバイルアプリにはSDKのコードを実装し、個人情報をのぞいたシグナル情報を分析側に収集。シグナルはネットワーク上の「ShapeShifters」やクラウド上の「Shape Cloud AI」などに送られ、データ解析されることで悪用や詐欺が検出される。また、システム運用のために「Shape Threat Mitigation Service」が用意されている。
Shape Securityはこれらの包括的なプラットフォームにより、Webやモバイルアプリに対する攻撃を防ぐことができ、数百万ものエンドユーザートランザクションを保護。正規ユーザーによる正しいアプリケーションのアクセスのみに制限できるという。検知サービスはBIG-IPやNGINXのようなプロキシサーバーのみならず、AWSやAzureなどのパブリッククラウドやオンプレミスにも実装できるという。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
