プライベートアクセストークンと不正防止対策の未来

Fastly は数か月前に、新しい認可プロトコル「プライベートアクセストークン」(PAT) のサポートを発表しました。PAT を使用することによって、オリジン管理者や DevOps チーム、セキュリティ担当者のほか、Web アプリケーションを運用するすべてのユーザーは、信頼できるリレーションシップと高度な暗号化に基づくトークン交換プロトコルを介して、ユーザーエクスペリエンスを損なうことなくクライアントのプロパティに関するプライバシーが尊重された証明書を取得できます。 

これは具体的には何を意味するのでしょうか。今回のブログ記事では、この新しい機能によって、自動化された詐欺的または不正なアクティビティとの戦いにおいて大きく前進できる理由をご説明します。今日の管理者は、セキュリティやプライバシー、ユーザーエクスペリエンス、ビジネス成果のバランスを考慮し、複雑な選択を行う必要があります。Fastly のビジョンは、PAT をサポートすることで、この4つの領域すべてに改善をもたらす、今日のボット対策市場で他に類を見ない優れたソリューションを提供することです。 

これまでのソリューション : CAPTCHA抱える課題

自動アクセスの防止や詐欺防止のために現在使用されている対策のほとんどが、人間と自動化されたトラフィックを区別するために CAPTCHA (コンピュータと人間を区別する完全に自動化された公開チューリングテスト) に大きく依存しています。CAPTCHA とは、人間であることを証明するため、交通標識の画像をクリックすることや、ボックスに表示されている文字を入力することをユーザーに求めるテストの名前です。これは、CAPTCHA をクリアできなかったクライアントはすべてボットであるという前提に基づいています。このアプローチには多くのメリットがあり、決済フローやログインページなど、機密性の高い情報を含むフォームを自動化された不正なアクティビティから保護するために広く使用されています。 

しかし、CAPTCHA には多くの問題もあります。まず CAPTCHA やその他のボット対策ベンダーは、人間とボットを見分ける判断のためにブラウザデータを収集します。当然ながら、ベンダーがどのようなデータを収集し、どのように使用しているかといった情報は、企業秘密であるため通常は共有されません。しかし、Web のリソースにアクセスするためにブラウザ情報を求められるエンドユーザーにとってはプライバシー上の懸念となります。 

さらに、執拗な攻撃者はさまざまな方法で CAPTCHA やその他のボット対策ソリューションを回避できます。例えば、機械では簡単にクリアできないパズルやタスクを行う人間を低賃金で雇う CAPTHA ファームのサービスを、1,000件の課題につき1ドルという手頃な価格で攻撃者は利用することができます。したがって、CAPTCHA は攻撃者に対して、攻撃によって得られる利益に見合わない高額なコストを発生させることが可能かもしれませんが、執拗な攻撃者は抜け道を見つけるでしょう。 

最後に、おそらく最も重要なこととして、CAPTCHA がユーザーエクスペリエンス (UX) において大きな障害になり得るという点が挙げられます。UX に詳しい人であれば誰でも、決済ページなどのビジネス上重要な操作フローにおいてクリック数が1回増えるだけでコンバージョン率が低下することを知っています。そのような操作フローに複数回のクリックが必要なパズルを追加することを想像してみてください。ユーザーに追加の手間を要求するよりも、不正行為のリスクを受け入れることを選択する管理者がいても不思議ではありません。Baymard Institute は、正規ユーザーの最大29%が最初の試行で CAPTCHA の課題に失敗すると推定しています。ユーザーや顧客に優れたエクスペリエンスを提供できるかどうかによってビジネスが左右される企業にとっては背筋が凍るような調査結果です。 

より優れたアプローチ : プライベートアクセストークンの可能性

PAT は CAPTCHA や今日存在するその他のボット対策技術の根本的な問題に対処します。これらのソリューションはすべてのトラフィックを疑わしいと見なし、ユーザーアクションとブラウザデータを使用してリスクを評価します。PAT はこの種のアプローチとは異なり、トランザクションにおいて、信頼できるサードパーティの方が未知のパーティの詳細をより適切に検証できるという、よくあるアプローチを採用しています。これは年齢を証明するために身分証明書を提示するのと似ていて、サードパーティがユーザーに関する何らかの情報を持っていて、トランザクションの相手もそのサードパーティを信頼しているということです。 

PAT の仕組みについては、前回のブログ記事で詳しくご説明しました。要約すると、PAT は信頼できるリレーションシップのエコシステムの上に構築されます。トークンの発行者と証明者が互いに信頼できるリレーションシップを確立し、発行者はオリジン管理者とも信頼できるリレーションシップを構築します。このような信頼関係が確立されているオリジンに対してクライアントがリソースをリクエストすると、オリジンはクライアントに信頼できる発行者からのトークンを提供するよう求めることができます。クライアントがこれをサポートしている場合は、指定された発行者からトークンを取得するよう、信頼できる証明者に依頼します。すべてのパーティ間で信頼関係が適切に維持されていると、オリジンが必要とする正しいプロパティをクライアントが保有していることを前提に、ブラインド署名され、暗号化された安全なトークンが生成されてチェーン上で共有され、リクエストしたオリジンのリソースへのアクセスをクライアントに許可することができます。これは、オリジンが求めるプロパティをクライアントが保有していることが確実に立証されるためです。 

このブログ記事では、CAPTCHA の代わりに PAT を使用して自動化された不正行為を阻止することに焦点を当てていますが、PAT はオリジンが求める任意の情報をプライベートで証明できるように設計されていることにご注目ください。PAT の用途は「人間かボットか」の判別に限定されません。年齢や地域、デバイスによって制限されたコンテンツをオリジンが配信する必要がある場合は、PAT を使用することで、クライアントのプライバシーを維持したまま、クライアントがすべての要件を満たしていることを確認できます。このように、PAT には具体的なビジネスメリットがほかにもあるので、場合によっては人間とボットの判別においてより優れたソリューションであると言えます。 

現在 PAT の普及が限られている主な理由は、その新しさに関連しています。今のことろ PAT チャレンジをサポートしているのは、iOS 16 または MacOS Ventura (現在はベータ版でのサポートのみ)使用する Apple デバイスのみです。証明者と発行者のエコシステムが拡大し、サポートするクライアントデバイスの種類が増えるまで、オリジン管理者には PAT チャレンジが失敗した場合にクライアントのプロパティを検証するためのフォールバックシステムが必要になります。ただし、このプロトコルの明白なメリットに加え、この分野に対する関心がすでに高まっていることを考えると、その他のメジャーなデバイスやブラウザ、OS ベンダーが PAT 証明のサポートを開始するのは時間の問題のように思われます。 

Fastly は本日、PAT に関心のある開発者向けに PAT を発行するプログラムのデモの提供を開始したほか、同プログラムのベータ版もリリースしたので、ぜひお試しください。また、Fastly 次世代 WAF (Powered by Signal Sciences) に PAT チャレンジをルールアクションとして含める予定です。これらのソリューションに興味をお持ちの場合は、Fastlyエキスパートに問い合わせください。また、こちらのブログでも、エコシステムの拡大に伴い PAT についてさらに詳しい情報をご紹介していきますので、ぜひご期待ください。


この記事は、プライバシーに関するプラクティスやテクノロジーをインターネットの構造に統合する Fastly の取り組みをご紹介する Privacy Week の一環として書かれたものです。

Robert Gibson
Security Product Management
投稿日

この記事は1分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
Robert Gibson
Security Product Management

Rob は Fastly Secure Web Apps and APIs チームを統括し、次世代 WAF やボット対策、API セキュリティプロダクトのプロダクト管理をリードしています。Signal Sciences の買収を通じて Fastly チームに加わった Rob は、Signal Sciences で Advanced Rate Limiting などのプロダクトのリリースに貢献しました。それ以前は、Symantec Corporation で IAM に取り組み、サイバーセキュリティ分野でのキャリアをスタートしました。