CISO の視点 : 2025年第2四半期脅威インサイトレポート

Fastly のセキュリティ調査チームは、アプリケーションセキュリティの全体像におけるセキュリティトレンド、攻撃ベクトル、脅威活動に関する独自のインサイトを持っています。世界中の顧客ベースからの数兆件のリクエストを活用することで、より大きなトレンドの中でセキュリティチームに実質的な影響を与えている要因をリアルタイムで把握できます。

四半期ごとに主要な調査結果をまとめ、これがより広い市場とお客様にとってどのような意味を持つのかについての展望を示します。その目的は、読者に独自のセキュリティプログラムの戦略、優先順位、および実践に関するインサイトを提供することです。

最近、第2四半期の脅威インサイトレポートが発表されました。私はその調査結果について、特に私自身の CISO としての役割の幅広い視点から、ビジネスにどのような影響を与えるかについての見解を述べたいと思います。以下は、第2四半期の調査結果に対する私の見解です…

急成長する「ボット」

第2四半期のレポートで圧倒的なテーマとなっており、レポート全体の目的にもなっているのは、ボットです。ボットは自動化された Web トラフィックで急成長中のカテゴリーです。インターネット上のコンテンツのアクセス、スクレイピング、収益化の方法をすでに変えているだけでなく、今後も変え続けるでしょう。

競争力を維持し、なにより安全性を維持したい組織にとって、AI 主導の自動化による影響の増大とそのすべての影響を理解することが重要です。インターネット上での急速な変化を乗り切るためには、行動に関するインサイトと十分な可視性およびセキュリティ機能が不可欠です。

現時点で、Fastly のグローバルネットワーク全体で観測されたトラフィック活動のうち、37%が自動化されたボットトラフィックであることが判明しました。これは、組織が望ましくない結果を軽減するためのツールと戦略を検討することの重要性を浮き彫りにしています。

データを欲する LLM が Web サイトをクロールし続け、既存の AI ソリューションの導入が増え、新しいエージェントツールが消費者と Web サイト間の体験を仲介するようになるにつれ、AI ボットで構成される Web サイトのトラフィックの割合は間違いなく増加し続けるでしょう。ボットのトラフィックと行動を十分に理解しておらず、悪影響に対抗するための適切な対策が講じられていない場合、Web サイト所有者への影響は好ましくありません。

AI ボットの爆発的な増加は、Web サイトに負担をかけ、サイト分析の効果を低下させ、攻撃者が大量の自動トラフィックに隠れることを可能にするため、セキュリティリスクが生み出されます。

最重要なのは「可視性」

稼働時間の監視や検索エンジンのクロールを考えてみればわかるように、すべてのボットトラフィックが悪いわけではありません。しかし、Web サイトの所有者は「良い」Web トラフィックと「悪い」Web トラフィックを区別し、それをフィルタリングするという点で大きな課題に直面しています。

私たちは、ボットトラフィックの約87%が悪意のあるものであることを発見しました。これにより、アカウント乗っ取り、広告詐欺、カーディング、その他多くのセキュリティ上の懸念が生じる可能性があります。そして、AI ボットの場合はさらに複雑さが増やします。表面的には必ずしも悪意があるわけではありませんが、AI はモデルをトレーニングし、モデルのレスポンスを強化するために (許可なく) コンテンツを取得します。サイト所有者は、この活動が Web サイトの全体的な健全性にとって有益または危険だと見なす場合があります。

AI のクローリングとフェッチが増加し続けると、人的トラフィックか、望ましいボットトラフィックか、あるいは望ましくないボットトラフィックかを区別することがますます困難になります。意図的に悪意があり、アカウント乗っ取りやその他の Web ベースの攻撃を助長する自動トラフィックをさらにフィルタリングすると、さらに微妙な違いが生じます。

したがって、現在の状況では、インテリジェントなトラフィックの可視性は非常に重要です。

検知を回避するボット

先述したように、AI ボットは Web パフォーマンスに影響を与えます。AI クローラーとフェッチャーはパフォーマンスを低下させ、インフラストラクチャコストを増加させます。そして、ボットが積極的に検知を回避しているのを目の当たりにしています。

私たちの第2四半期のレポートでは、一部の AI 企業が標準的なボット検知を回避するためにボットを「偽装」している兆候が見られました。「通常の Web ブラウザの User-Agent 文字列を使用して故意に身元を隠している」ボットに気づいたのです。この欺瞞により、Web プロバイダーがブロックしたいボットがすり抜けることがよくあります。あるいは、「望ましい AI ボットが悪意のあるボットとして分類され、その後 Web サイトのセキュリティによってブロックされる」という結果になることもあります。

この欺瞞的な行動がエスカレートするにつれて、AI クローラーとボット管理プロバイダーの間で、一種の「猫とネズミ」のような状態になる危険にさらされます。組織は、Web サイトプロバイダーが決定したボットトラフィックの受け入れレベルを積極的に実施できるボット管理ソリューションを導入する必要があります。

ボットの対策法

素晴らしいボット管理ツールを入手する

Web サイト所有者にとって、ボットトラフィックをきめ細かく可視化し、コントロールできるソリューションを積極的に実装することがますます重要になります。Web アプリケーションファイアウォール (WAF) やボット管理ソリューションなどのツールはもはや、企業のリスクプロファイルに基づくオプションのセキュリティソリューションではなくなり、ビジネスクリティカルなソリューションになるでしょう。

Fastly Bot Management のような高度なボット管理ソリューションは、Web サイト所有者に対して、許可される AI ボット、サイトへのアクセス頻度、アクセス可能なコンテンツをきめ細かくコントロールする権限を与えます。これらのツールは、増加する AI ボットをリアルタイムで動的に識別し、ボットの活動を包括的に可視化し、アクセスを効果的にモニタリングするのに役立ちます。

私たちの調査結果から得た最大のポイントは、従来のボットトラフィックと AI ボットトラフィックを処理できるボット管理ソリューションを採用することが絶対に必要であるということです。これを怠ると、必然的に時間、収益、リソースが失われるだけでなく、さらにはセキュリティへの影響も懸念されます。

ボットアクティビティに関するより詳細なインサイトを得るには、こちらで第2四半期のレポートをご覧ください。