fbpx

オンラインビジネスのための継続的なID保護ガイド

悪用や詐欺からユーザーアカウントを保護することは、価値の高いアプリケーションを提供する組織にとって根本的かつ終わりのない課題です。アカウントは、ボットやアカウント乗っ取り(ATO)を試みる攻撃者による継続的な攻撃、カーディング攻撃、偽のアカウント作成、盗難、詐欺などに直面しています。

残念ながら、従来の厳格なセキュリティ管理は、通常、ユーザーにとってより悪い体験を生み出し、セキュリティとITのためにより多くの仕事をもたらします。攻撃的なセキュリティポリシーは誤検知とアカウントのロックアウトにつながり、寛大なセキュリティポリシーはアカウントの侵害と詐欺につながります。どちらの場合も、顧客は不満です。

しかし、アプリケーションプロバイダーとユーザーの両方にとって、この勝利のない状況を解決するシフトが進行中です。変更は、新しいテクノロジーに関するのと同じくらい、アカウントセキュリティの新しい哲学に関するものです。この新しいアプローチでは、脅威のみに焦点を当てるのではなく、顧客IDとユーザーエクスペリエンスをセキュリティモデルの中心に置きます。

コンテキストなしで単にアカウントからロックアウトされる代わりに、ユーザーは低摩擦の方法で積極的にセキュリティに参加し、積極的にアカウントを安全に保つことができます。セキュリティチームは、決定的なデータに基づいてブロックもしくは許可の決定を行う代わりに、ユーザー自身から信頼できる回答を得ることができます。また、開発者とセキュリティチームは、矛盾する目標を設定する代わりに、顧客満足という共通の目標を設定して設計できます。

この記事では、顧客中心のセキュリティアプローチの主要な概念を紹介し、それが実際の環境でどのように機能するかを詳しく説明します。

セキュリティモデルの中心に顧客IDを配置することで、組織は良いことを実現し、悪いことを止めることができます。

  • 従来のセキュリティ対策では見逃されていた脅威をリアルタイムで阻止しながら、顧客満足度を同時に向上させます。
  • 脅威の防止とアカウントの復旧を完全に自動化し、スタッフの作業とユーザーのダウンタイムを削減します。
  • 構成可能で柔軟なセキュリティであり、既存のインフラストラクチャに固定されており、ボルトオンではありません。

顧客アカウントの保護の課題

顧客のセキュリティに対する新しいアプローチを構築する前に、既存のアプローチが失敗する方法と理由を正確に理解することが重要です。また、ボット、アカウント乗っ取り、詐欺などの脅威にはさまざまな方法で対処できますが、ほとんどのソリューションはいくつかの高レベルのカテゴリに分類されます。

  • アプリケーションセキュリティ-WAF、自動化対策およびボット対策ツール
  • 不正検出-商用またはカスタムビルドの分析と不正検出
  • アクセス管理-適応型MFAおよびアクセス制御

これらのテクノロジーは組織にとって非常に貴重な場合がありますが、一般的にいくつかの一般的で基本的な課題に悩まされています。

WAF

Webアプリケーションファイアウォールは、長年にわたってアプリケーションセキュリティスタックの標準コンポーネントであり、残念ながら、多くの組織もその制限に非常に精通しています。WAFは、誤検知が発生しやすいことで有名であり、保護と有効なユーザーのブロックとの間の適切なバランスを見つけるために、絶え間ない調整が必要です。その結果、WAFは多くの場合「検出のみ」モードで展開され、ユーザーが不注意に影響を受けないようにします。

次に、WAFは、SQL インジェクション(SQLi )やクロスサイトスクリプティング(XSS)などの脆弱性に対する従来の攻撃を見つけるのに最適です。アカウントの乗っ取りやその他の最近の種類の不正行為は、多くの場合、アプリケーション層で機能し、意図しない方法で有効なアプリケーション機能を乱用します。たとえば、資格情報の詰め込みまたはカーディング攻撃は、悪意のある目的のためにアプリケーションの公開された有効な機能を使用するだけです。これらの場合、多くの場合、WAFがIPまたはユーザーエージェントの明らかなスパイクを超えて検出またはブロックすることは、明らかに悪意のあることは何もありません。

アンチボットツール

自動化された攻撃の台頭により、多くの組織がさまざまなボット対策ツールや自動化対策ツールを採用しています。しかし、これらの製品は万能薬であることも証明されていません。WAFと同様に、ボット対策ツールは脅威の特定のサブセットに否定的な焦点を当てたままであり、ボットの存在をさまざまな方法で検出しようとします。ただし、エクスプロイトや既知のマルウェアを検出するのとは異なり、ボットの検出は不確実で、異常に基づいていることがよくあります。決定的な答えがなければ、チームは再び行き詰まり、セキュリティと顧客の幸せとの間の不快なトレードオフを作ります。

さらに、ボットと自動化された攻撃は、高度に適応可能であることが証明されています。目標がATO、カーディング、または任意の数の自動化された脅威であるかどうかに関係なく、ほとんどの攻撃者は、新しい検出やセキュリティ対策に遭遇すると、ツールと手法を適応させます。1週間でうまく機能する自動化対策は、攻撃者が適応するにつれて次の段階で効果がなくなる可能性があります。つまり、セキュリティチームは、信頼性の低いセキュリティの有効性を実現するために、新しい攻撃者の手法と作業の終わりのないサイクルに常に適応する必要があります。

不正防止ツール

WAFとボット対策ツールは、限られた情報で迅速かつ頻繁に決定を下す必要がありますが、不正防止ツールは、よりデータが豊富なアプローチを取る傾向があります。これらのシステムは通常、固有のアプリケーションまたは組織に合わせて高度にカスタマイズされており、ローカルアプリケーションから収集されたデータや外部ソースからのデータフィードを含めることができます。多くの場合、専門のデータサイエンスチームは、組織の不正検出を促進するためのモデルとツールの開発に焦点を当てています。

これらのツールは、組織が環境の広範な変化に適応し、侵害されたアカウントや進行中の詐欺を検出するのに役立ちます。また、この洞察は組織にとって非常に貴重ですが、アカウントが侵害された後に結論が出されることがよくあります。

アクセス管理

アクセス管理ツールは、ユーザーアカウントを保護するための別のアプローチを提供します。これらのテクノロジーは、基本的なユーザー名やパスワードの制御から多要素認証ツール(MFA)などに及ぶ可能性があります。多くのMFAツールも、比較的限定的な意味ではありますが、ますます「アダプティブ」になっています。たとえば、適応認証は、新しい国から接続するユーザーなどの高レベルの特性に応じて、多要素認証チャレンジをトリガーする場合があります。

これらのツールは正しい方向への重要なステップを提供しますが、いくつかの制限があります。まず、検出ロジックはかなり基本的なものであり、通常はIPアドレスに基づいており、実際の悪意のある自動化された動作を脅威ベースで検出することができません。これは、ユーザーが新しい国からログインする簡単な例を見ても、真の攻撃を示す実際の資格情報の詰め込み動作を見落とすことを意味します。

次に、適応認証ツールは通常、アプリケーションの初期ログインフェーズで展開されます。多くの自動化された不正な攻撃は、最初のログイン後に実行されます。ログイン後にTEP-UPチャレンジが設定されている場合でも、ポリシーで事前設定されている特定のイベントでのみトリガーでき、コンテキストやリスクを確認できません。たとえば、攻撃者がアプリケーションのセキュリティ制御の偵察を行ったとすると、攻撃者は制御を試みるために先に進んでアカウントに変更を加えたり、ステップアップの課題を引き起こさない危険なトランザクションを作成したりする可能性があります。適応型認証ツールは、組織のリスク許容度内にある脅威を見つけるためのインテリジェンスを欠いているだけでなく、単にログイン以外に必要な継続的な認証を提供していません。

持続的なギャップと遅い応答

これらのアプローチはすべて、顧客のセキュリティへのアプローチにおいて組織に深刻なギャップを残しています。チームは、WAF、アンチボットツール、または適応認証を介して十分な情報なしに早期の決定を行うか、または損傷が行われた後の攻撃の後半でより信頼性の高い決定を行うことを強いられます。どちらの方法も理想的ではなく、どちらの場合も顧客は不満を抱きます。

残念ながら、課題はユーザーエクスペリエンスに限定されません。GDPRおよび一連の規制により、より迅速な応答とユーザー通知が常に求められています。執行の努力を制限する同様の確実性の欠如は、同様に、費用がかかり、最終的には効果のない手動のプロセスを遅らせるための対応と回復の努力を制限します。このギャップを埋めるために、組織は、エンドツーエンドのアカウント回復と、自動的に実行できるプロセスを推進する機能が必要です。

IDリスクエンジンの概要

セキュリティチームと組織のエンドユーザーの両方、またはその両方により良い結果をもたらす顧客IDセキュリティへの新しいアプローチを導入します。この目標を達成するために、顧客IDとユーザーエクスペリエンスを直接セキュリティモデルに組み込んでいます。この単純な変化により、何年にもわたってセキュリティへの取り組みを一貫して阻害してきたいくつかの基本的な仮定と特性を再考することができます。以下も含みます:

脅威中心から顧客中心のセキュリティへ

従来のセキュリティモデルは、何が悪いのか(脅威のシグネチャ、特性、および動作)によって排他的に定義されています。このアプローチは否定的で反応的であり、状況の半分のみを考慮に入れます。優れたIDリスクエンジンを使用すると、組織は脅威を確認できるだけでなく、アプリケーションとユーザーIDの観点からセキュリティを明確に定義できます。ポリシーは、特定のアプリケーション機能、ユーザーグループ、および全体的なリスクに合わせることができます。不審なことが起こった場合、ポリシーはリアルタイムで適切な決定を行うために、ユーザーからより多くの情報を積極的に求めることができます。

ログインからifecycle Securityへ

従来、セキュリティとMFAの制御は、ユーザーが認証されるときのログインイベントに重点を置いてきました。セキュリティを1回限りのイベントではなく継続的なプロセスにします。これには、ユーザーのアカウントが作成される前、ログイン中にリスクを分析し、ログイン後の動作を継続的に監視することが含まれます。つまり、セキュリティは継続的で、あらゆるアプリケーション機能に適用できます。

手動から自動応答および回復へ

自動化されたパスワードのリセット、アカウントの回復、およびその他の修復イベントを通じて顧客が自己修復できるようにすることで、IT作業とユーザーのダウンタイムを削減します。フィードバックループの一部にユーザーを引き込むことで、動的な脅威の状況の要求に応えるために、よりスマートに、より速くなります。

欲求不満のユーザーから権限のあるユーザーへ

典型的なエンドユーザーにとって、従来のアカウントセキュリティは、多くの場合、エンドユーザーに発生する完全に不透明なプロセスです。アカウントのロックアウトまたはブロックされたアクセスは、多くの場合不便であり、ほとんどコンテキストがありません。ユーザーをアカウントのセキュリティに組み込む低摩擦の方法を使用することで、バックグラウンドで発生している貴重なセキュリティについて洞察を得るだけでなく、アカウントから不必要にロックアウトされることなく、意思決定を行うことができます。また、自動応答を使用することで、組織はサポートスタッフの介入を必要とせずにアカウント回復のプロセスを合理化できます。

論争の的から協調的なDevSecOps 関係へ

動的APIとWebhook により、開発プロセスとの統合が容易になり、あらゆる組織に簡単に拡張できます。開発者は引き続き同じツールを使用し、アプリケーションのファブリックにセキュリティを組み込んでいます。最も重要なのは、開発チームとセキュリティチームが、ユーザー情報の全体的な安全性とアカウントの整合性を確保しながら、最適なユーザーエクスペリエンスに焦点を当てた共通の目標に協力できることです。

優れたリスクエンジンの仕組み

優れたリスクエンジンは、アカウントの乗っ取り、偽のアカウント作成、および有効なユーザーになりすましている人間またはボットに依存する事実上すべての攻撃を阻止するための継続的なアプローチを提供します。このエンジンは、有効なユーザーを脅威から自動的に区別する独自の機械学習アプローチを活用しています。当社の自動検出モデルは、ユーザー中心の行動分析、脅威中心の行動分析、およびユーザーからのリアルタイムのフィードバックから学習します。

ユーザーからのこのフィードバックは、ログインなどの特定のイベントに対する明確な回答を提供するだけでなく、その個々のアカウントに固有の継続的な学習も促進します。これにより、エンジン内の機械学習モデルが時間の経過とともに個々のユーザーIDに合わせて高度に調整され、摩擦が少なくなり、セキュリティが強化されます。

構成可能なポリシーにより、組織は認証をどのように、いつ、誰のために強化するかを細かく制御できます。ユーザーがチャレンジを受けて検証されると、結果は検出モデルにフィードバックされ、イベントから学習します。脅威が検出された場合、ポリシーはエンドツーエンドの復旧アカウントプロセスを文書化および自動化して、サポートに連絡する必要なくユーザーを有効にしておくことができます。

ユーザー行動分析

優れたリスクエンジンは、セッション全体を通じて、さまざまな特性にわたって個々のユーザーIDを継続的に分析します。これには、デバイス、場所、アクセスパターン、Cookieなどの詳細が含まれます。システムは、デバイスタイプ、オペレーティングシステム、ブラウザ、ユーザーエージェントなどに基づいて、各デバイスのリスクスコアをフィンガープリントして割り当てます。

優れたリスクエンジンはユーザーの行動も学習します。これには、アクセス時間、ログイン後のアプリケーションの動作、アクセスの地域と地域などの特性が含まれます。これは、アカウントに変更を加える、トランザクションを開始するなどのアプリケーション内の動作、またはアプリケーションの他の実質的にすべての動作にも拡張されます。

疑わしいまたは危険な行動は、組織の独自のポリシーに基づいて異議を申し立てることができます。これにより、ユーザーからの承認された動作または「適切な」動作についてエンジンを特別にトレーニングできます。これにより、検出モデルをユーザーに合わせて厳密にカスタマイズし、将来の摩擦や検証の必要性を減らすことができます。

リスクベースの認証

IDリスクエンジンは、潜在的な問題の兆候がないかビジターを分析し、許可、拒否、ステップアップチャレンジなどのリスクのレベルに適したものにします。これには、Tor出口ノードから接続するユーザー、プロキシの背後に隠れるユーザー、データセンターから接続するユーザーなど、ログイン前のリスク要因が含まれる可能性があります。一方、送金の開始、プロファイルの変更、パスワードのリセットなど、ユーザーがログインした後のリスクも追跡します。

その他のリスク要因には、ユーザーが地理的に離れた場所から短時間でログインするなど、アカウントが侵害された、または悪用されている兆候が含まれる場合があります。することで、ユーザー向けのリスクに面した検出モデルを組み合わせて、素早く特定し、得点することができ、各顧客のアイデンティティのための全体的なリスクをし、SMS経由での認証にステップアップトリガ、音声通話、検証、ピンコード、またはプッシュ通知を電子メールで送信します。リスクスコアを使用して、自動化されたセキュリティレスポンスを実行し、影響を受けるアカウントを手動で操作することなく保護および復旧することもできます。

アイデンティティ対応のボット検出

人間以外のマウスの動きやヘッドレスブラウザーなどの自動化ツールの使用など、ボットの他の兆候や悪意のある自動化を探します。行動とリスクベースの分析を組み合わせたアイデンティティリスクエンジンは、上記のボットや悪質な自動化のための信じられないほど正確で低摩擦の防御を提供します。さまざまな自動化された攻撃やビジネスロジックの悪用に適用されます。以下を含みます:

  • 偽のアカウント作成
  • カウントの乗っ取り
  • カーディング攻撃
  • コンテンツのスクレイピング
  • スパムと宇宙飛行のレビュー
  • 在庫の拒否
  • APIの悪用
  • アナリティクスの悪用
  • その他…

優れたリスクエンジンが独自の価値を提供する方法

優れたリスクエンジンは顧客に焦点を当てることで、組織がビジネスの固有のニーズに基づいてセキュリティを定義できるようにします。これには、特定のID、ユーザーグループ、アプリケーション、または特定のアプリケーション機能に関連付けられた詳細なポリシーの構築が含まれます。組織はまた、より良い全体的な管理と意思決定を推進するために、各アカウントで何が起こっているかを正確に完全な可視性で保持します。

シームレスな管理と制御

優れたリスクエンジンを使用すると、高価値のイベント、トランザクション、ユーザーなど、最も必要とされるときに具体的にセキュリティを強化できます。一部のユーザーは他のユーザーよりも重要であり、一部の機能またはトランザクションは他のユーザーよりもリスクが高い場合があります。優れたリスクエンジンはこの現実を認識し、あなたの環境におけるリスクをどのように定義し、それに挑戦するかをあなたにコントロールさせます。IDとデバイスの特性、アプリケーションイベントに基づいてポリシーを簡単に構築し、それぞれのリスクプロファイルと応答を微調整します。細かいポリシーでは、Cookieカッターのセキュリティルールの代わりに、ビジネスとユーザーの固有の要件に基づいてセキュリティを定義し、それに応じてリスク許容度と応答を調整できます。

実用的な洞察と分析

アカウントのセキュリティに高度に自動化されたアプローチを提供することに加えて、プロセス全体を通して可視性を保証します。スタッフは常に、あらゆるアカウントの洞察を得たり、全体的なリスクを追跡したり、アプリケーションの特定のタイプの動作を調査したりできます。このシステムにより、アカウントの操作を完全にハンズフリーで実行できるようになりますが、スタッフが必要なときにユーザーの行動の主要な指標を確認できるようになります。このソリューションは、API、ダッシュボード、ユーザーインターフェイスのいずれを介しても、ユーザーのアカウント内のデバイスごとに追跡されるすべての脅威信号、リスクスコア、イベントに対する透過的な洞察を提供します。

そして多くの機械学習ベースのシステムとは異なり、システムによって収集されたあらゆる信号へのアクセスを提供します。アナリストや詐欺対策チームは、ユーザーがスコアを上げた理由を正確に確認したり、興味のある特定の特性に飛び込んだりできます。

顧客ライフサイクル全体のセキュリティ

セキュリティはすべて、ユーザーアカウントが作成される前に開始され、ログインの前後のユーザーエクスペリエンス全体に及びます。これは、認証を攻撃者がクリアする1回限りのゲートではなく、継続的なプロセスとして扱う大きな変化です。たとえば、アプリケーション内のユーザーの行動に関する洞察を保持し、リスク、異常、脅威の兆候を特定し続けます。

これは、詐欺、アカウント乗っ取り(ATO)攻撃、およびその他のさまざまな自動化された攻撃を阻止するために特に重要です。たとえば、攻撃者はユーザーのパスワードを変更したり、盗まれた資金を受け取るためにアカウントを追加したりする可能性があります。さらに、自動化された攻撃の多くは、ログイン後に小さなトランザクションを実行して支払いカードをテストしたり、購入を完了せずにショッピングカートの在庫をロックしたり、偽のレビューを生成したりするなど、悪意のある動作に依存しています。これらの動作を検出して軽減するには、従来の適応認証ソリューションにはない継続的な分析手法が必要です。

優れたリスクエンジンがスタックに収まる方法

優れたリスクエンジンは非常に使いやすく、既存のアプリケーション、セキュリティプロセス、および開発パイプラインと連携するように設計されています。

シンプルな導入

Web、モバイル、またはAPIベースのアプリケーションを保護する必要があるかどうかに関係なく、簡単に立ち上げて実行できます。モジュラーAPIを使用すると、アプリの独自のUXに合わせることができ、その逆はできません。単にAPIとしてアクセスされることを意味します。つまり、オンプレミスにインストールするものはなく、単一障害点はありません。

単にデプロイすることがほんの数クリックであるということを意味し、Cloudflareのようなコンテンツ配信ネットワークとのコードレス統合を最初に実装したと信じています。さらに、優れたリスクエンジンのプラットフォームは、あなたのペースで成長することを保証します。スタッフは、監視モードで可視性を取得し始め、パッシブ通知を受信して​​1日目から価値を得て、最終的には開発リソースが利用可能になったときにアクティブブロッキングと自動化にステップアップできます。

開発者中心

優れたリスクエンジンは、開発プロセスにおけるAPIのように機能します。これにより、開発チームはユーザーエクスペリエンスの一部としてセキュリティを組み込むことができます。開発者は、Ruby、Java、PHP、Python、Node、.NETなど、選択した言語で作業し、優れたリスクエンジンのAPIが残りを処理します。これにより、セキュリティへの早期対応が容易になるだけでなく、セキュリティチームと開発チームの間の古くからある摩擦点を減らすことができます。

開発者はまた、アプリ内ウィジェット、デバイスリストAPI、セキュリティイベントWebhookを使用して優れたリスクエンジンを基本ブロックに分解し、チームが夢見ているUXに確実に対応できるようにします。

既存のツールと統合

既存のツールとプロセスで動作します。優れたリスクエンジンを使用して、静的MFAまたは認証サービスを、変化するコンテキストに対応する真に適応的な認証に変えます。セキュリティイベントのWebhookを使用すると、優れたリスクエンジンからの洞察に基づいて、チームがさまざまな自動応答を推進できます。

非常に柔軟な優れたリスクエンジンのAPIを使用すると、組織は顧客アカウントのセキュリティを真に自動化できます。組織は、ユーザーへの連絡方法、使用する認証メカニズム、およびアプリケーションまたはアカウントの自動化されたアクションを完全に制御できます。

概要

何十年もの間、セキュリティは攻撃者vs防御者-黒の帽子vs白の帽子-として組み立てられてきました。そして、この見方は有効ですが、顧客は常に終わりのない戦いの真っ只中に巻き込まれています。攻撃者がアカウントを乗っ取るか、アプリケーション自体を悪用するために有効なユーザーIDを偽装する手法に技術をシフトしたため、ユーザーへの悪影響はさらに悪化しています。

顧客中心のセキュリティに対するアイデンティティ中心のアプローチは、セキュリティチームに脅威に対する信頼できる優位性を与えるだけでなく、ユーザー満足度をセキュリティモデルの最前線に置きます。開発業務やセキュリティに、ユーザーエクスペリエンスは中央のまま、とのメリットそのような整列は、組織全体で拡張することができます。

 

SNSでもご購読できます。