ニュース

F5、不正送金などを防ぐ「Shape Security」をセキュリティポートフォリオに追加

  • 北原 静香

2020年2月26日 06:00

 F5ネットワークスジャパン株式会社は19日、記者説明会を開催。米国本社が2019年12月に買収したスタートアップ企業、米Shape Securityのソリューションを中心に、セキュリティソリューションに関する戦略とビジョンを紹介した。

 F5ネットワークスジャパン 代表取締役社長 権田裕一氏は、Shape Securityを買収した背景について、近年急速に増えている不正送金、eコマースサイトにおける支払い情報のスキミングといった犯罪への懸念があると述べた。

 「いわゆるアマチュアアタックであれば、既存のメカニズムでも80~90%は防ぐことができるが、問題なのは、残るプロフェッショナルな10%。不正に入手したクレデンシャルでログインしてくるような犯罪や、常に新しい形で攻撃するような犯罪からどうやって守っていけばいいかを考える必要がある。最近では大手銀行やeコマースサイトの関係者と、GENESISのようなデジタルIDの不正マーケット、Magecartのような犯罪集団に対し、どのセキュリティスタックで、どんなメカニズムを使って対応していけばいいのかをあらためて検討しなおす必要があるという話をしている」(権田氏)。

F5ネットワークスジャパン 代表取締役社長 権田裕一氏

 このような、急速に高まるセキュリティへのニーズに応えるため、F5は2019年12月に、セキュリティベンチャーであるShape Securityを約10億ドルで買収している。Shape Securityは、クレデンシャルスタッフィングなどの攻撃からシステムを保護するサービスを提供しており、すでに大手銀行、eコマース、航空会社、政府機関などの顧客を抱えている。このShape Securityのソリューションを、F5はマルチクラウド環境のアプリケーション保護のサービスポートに統合していくという。

 来日した米F5 チーフレベニュー&カスタマーオフィサーであるハサン・イマム氏は、顧客に提供する認証やセキュリティ対策における現状について、「企業は顧客に対してより安全なエクスペリエンスを提供する必要があると考えており、多要素認証やワンタイムパスワードといった対策を行っている。しかし、このようにエクスペリエンスになんらかのフリクション(摩擦)を与えることは、顧客に“煩わしい事”や“これまでと違う操作”を押し付けることであり、そもそものデジタルジャーニーの目的には反している言わざるを得ない。しかも、それらの対策が必ずしも効果を上げているとは限らない。私たちは、セキュリティ対策のために顧客にフリクションを与える必要はないと考えている」と述べた。

米F5 チーフレベニュー&カスタマーオフィサーのハサン・イマム氏

 IDやパスワードといった個人のクレデンシャルを狙う攻撃は、ここ数年で急速に深刻化している。他人になりすましてサービスにログインするアカウントテイクオーバー(ATO)による2016年の被害金額は23億ドルで、前年の14億ドルから64%も増加している。これは発生率の増加を上回っており、一件あたりの被害がより高額になっていることを示している。また、流出した個人情報を悪用した新規アカウント詐欺(NAF:New Account Fraud)の被害も多く報告されている。

クレデンシャル流出インシデントは増加している

 ATOなどの詐欺は攻撃者のほんの数%であるにもかかわらず、被害額は非常に大きく、しかも検知や防御が難しい攻撃であるという。このような攻撃に対してShape Securityのソリューションは、包括的なアプリケーションセキュリティを提供し、既存のアマチュアアタッカーからの攻撃はもちろん、高い技術で実行される自動化された攻撃や、ソーシャルアタックと呼ばれる人による攻撃からも保護することができるとのこと。

 巧妙に他人になりすました攻撃をどのように検知するかについて、イマム氏は「犯罪組織による深刻なサイバー攻撃は、AIやマシンを利用して大規模に実行されるため、何らかのエビデンスが発生する。Shapeのテクノロジーは、このエビデンスを検知する」と説明する。

ほんの数%の攻撃者が被害を大きな生み出すが、検知は非常に難しい。Shape Securityのソリューションは、これらの犯罪も検知して防御できる

 具体的なソリューション構成としては、WebアプリにはShape JS、モバイルアプリにはSDKのコードを実装し、セキュリティと詐欺のテレメトリーを収集して、これらの情報をもとにクラウド上の「ShapeShifters」がリアルタイムで悪用を検知。ネットワークをストップする。

 さらに「Shape Cloud AI」によって、継続的にすべてのトランザクションを分析して詐欺を検知し、システム全体を「Shape Threat Mitigation Service」が運用するとした。

 イマム氏は、「ShapeはすべてのF5デプロイメントに合わせることが可能で、すべてのアプリケーションにセキュリティを提供できる」と説明する。

すべてのアプリケーションへの詐欺を防御

 なおイマム氏は「すでに、多くの企業がフリクションのないカスタマーエクスペリエンスの必要性に気づいている。セキュリティを担保するために、カスタマーエクスペリエンスを妥協してしまえば、企業の競争優位性が失われてしまう」と述べ、すでに日本国内でも大手小売の企業がShape Securityのソリューションの導入を決定したことを明らかにした。そのほかにも金融、小売、航空などの企業から問い合わせが来ているという。