このページの本文へ

F5が買収したShape Securityは高度なクレデンシャル詐欺を防御

2020年02月20日 07時00分更新

文● 大谷イビサ 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

 2020年2月19日、F5ネットワークスジャパンは記者懇親会を開催し、直近のビジネス動向のほか、買収したShape Securityについて説明した。同社のChief Revenue Officeであるハサン・イマム氏は、直近のオンライン詐欺やクレデンシャルを狙った攻撃、Shape Securityのソリューションについて説明した。

Shape Security Chief Revenue Office ハサン・イマム氏

増え続けるクレデンシャルを狙う攻撃

 ADC(Application Delivery Controller)市場をリードするF5ネットワークス。ハードウェアアプライアンスから、仮想化、クラウドへとフォーカスを変えており、昨年はWebサーバーベンダーのNGINXを買収したばかり。今回の説明会も、同社が買収したShape Securitiesのトピックが中心となった。

 F5が買収したShape Securityはマルチクラウド環境で詐欺対応サービスを提供する。Chief Revenue Officeであるハサン・イマム氏は、デジタルエキスペリエンスにおいては、先進的な認証やセキュリティ対策が非常に重要になるとアピール。一方で、コンシューマーは「煩わしいこと」や「これまでと違う操作」を嫌うため、安全でありながらスムーズなエキスペリエンスを求めていると説明した。

 ユーザーIDやパスワードなど顧客のクレデンシャルを狙った攻撃は深刻化している。IDとパスワードをのっとり、本人になりすましてWebサービスにログインするいわゆるアカウントテイクオーバー(ATO)は発生率より、損害金額の方が上回りつつある。また、新規アカウント詐欺(NAF)によってダークウェブに流出した個人情報も多く、「メカニカルターク」と呼ばれるクラウドソーシング的な人力攻撃も増えている。その他、多要素認証を破るサーバーサイドマルウェアの「MageCert」やデジタルIDを詐取する「Genesis」などさまざまな脅威が安全なWeb利用を脅かしている。

増え続けるクレデンシャル詐欺

自動化された攻撃、マニュアルの攻撃にも対応

 これに対してShape Securityはアプリケーションへの攻撃を防ぐ詐欺対応/セキュリティプラットフォームを提供する。現在、他社がカバーするアマチュアな自動化攻撃はもちろん、高いモチベーションとスキルが必要になる自動化された攻撃、さらにはスケール化されたマニュアル攻撃にも対応する。

さまざまな攻撃に対応するShape Security

 構成としては、フロントのWebページにはShape JS、モバイルアプリにはSDKのコードを実装し、個人情報をのぞいたシグナル情報を分析側に収集。シグナルはネットワーク上の「ShapeShifters」やクラウド上の「Shape Cloud AI」などに送られ、データ解析されることで悪用や詐欺が検出される。また、システム運用のために「Shape Threat Mitigation Service」が用意されている。

 Shape Securityはこれらの包括的なプラットフォームにより、Webやモバイルアプリに対する攻撃を防ぐことができ、数百万ものエンドユーザートランザクションを保護。正規ユーザーによる正しいアプリケーションのアクセスのみに制限できるという。検知サービスはBIG-IPやNGINXのようなプロキシサーバーのみならず、AWSやAzureなどのパブリッククラウドやオンプレミスにも実装できるという。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード