SAP CIAMが提供するBot対策機能のご紹介

顧客ID統合や会員登録・ログイン認証基盤の刷新（CIAM製品の利用）は、顧客体験やセキュリティを大きく向上させます。一方で、「当社のWebサイトはBotによる悪質な大量アクセスが発生する場合があるので、CIAM製品導入にあたり、最近の巧妙化するBotに対処できるか不安だ」と感じているシステム部門の方や経営者の方は少なくないのではないでしょうか。人気商品や限定チケットの販売サイトにおいて、Botによる大量アクセスで買い占められて一般ユーザが購入できない、といった事態は、サービスの公平性を損なうだけでなく顧客体験・ブランドイメージの低下にも影響してしまいます。

SAP CIAMはこうした課題に応えるための高度なBot対策機能を標準で備えています。弊社はSAP CIAMの導入・運用支援を10年以上に渡ってご提供してきた中で、SAP CIAMのBot対策機能が大きな効果を発揮した場面を何度も見てきました。
本コラムでは、SAP CIAMが提供する強固なBot対策機能について、それぞれ説明していきます。

※ SAP CIAMには数多くの強力なセキュリティ対策機能もありますが、本コラムではBot対策機能に焦点を当てて説明します。

SAP CIAMが提供する強固なBot対策機能・仕様

人気商品や限定チケットの販売時に対応が必須になるのは、人気商品などを狙ったBot・転売グループによる大量アクセスのブロックや抑止です。SAP CIAMでは、これらの脅威に対抗するための複数の防御機能を標準で備えています。

Google reCAPTCHA Enterpriseとの統合

SAP CIAMは、高度でユーザにより負担をかけないGoogle reCAPTCHA Enterpriseとの連携を標準でサポートしています。SAP CIAMの会員登録やログインやパスワードリセットの標準フォーム機能を使用する場合、SAP CIAM の管理画面にreCAPTCHA Enterpriseのキー情報を入力し、reCAPTCHA Enterpriseを有効化する設定をオンにするだけで、簡単・すぐにreCAPTCHA Enterpriseの利用を開始できます。
reCAPTCHA Enterpriseは、ユーザの操作性を妨げることなく、バックグラウンドでリスク分析を行います。マウスの動きやデバイス情報などを総合的に評価し、人間かBotかをスコアで判定します。SAP CIAMではスコアに応じて、Botの可能性が高いと判定されたアクセスのみ、二要素認証を要求したり、アクセスをブロックしたりといった制御が標準機能で可能です。

図1. Google reCAPTCHA EnterpriseとSAP CIAMの統合

リクエストごとのreCAPTCHA EnterpriseのスコアはSAP CIAMのログにも記録されるため、例えば「大量のBotアクセスを行ったアカウントはログイン不可状態にする」といった運用も可能です。
SAP CIAMではGoogle reCAPTCHA v3などの他のリスクエンジンも利用できますが、弊社のこれまでの経験（※）や、最近のGoogle reCAPTCHAの課金制度から、reCAPTCHA Enterpriseの利用を推奨しています。

※ Google reCAPTCHA v3では、Botが繰り返しリクエストすると少ない確率で通過してしまう例がありました。

セキュリティアラートメールの自動送信

SAP CIAMでは、Botによるログインなどが急増していることを検知した際に、セキュリティアラートメールを送信する標準機能も利用可能です。この機能はAPM製品を用意・利用する必要はなく、手軽にリアルタイムでアラートメールを受け取ることができます。

図2. SAP CIAMから送信されるセキュリティアラートメールの例

アカウントレベル/IPアドレスレベル/デバイスレベルのAPI Rate Limit

Botによる大量アクセスは、多くの場合、特定のリソースから短時間に大量のリクエストを送信する特徴があります。SAP CIAMでは、アカウントレベル、IPアドレスレベル、デバイスレベルの3階層でこれを自動で検知し、制限をかける（エラーを返す）という強力な標準機能があります。

アカウントレベルのAPI Rate Limit

特定のユーザアカウントが使用され、そのアカウントからスパム行為や大量のAPIコールが行われるケースがありますが、単一アカウントからのAPIコール数には上限が設けられており、単一アカウントのアクセス集中の被害拡大を防ぎます。

IPアドレスレベルのAPI Rate Limit

特定のIPアドレスから異常な数のAPIコールが検知された場合に、そのIPアドレスからのAPIコールを自動的に制限します。これにより、単一のサーバから行われる大量なアクセスを緩和します。

デバイスレベルのAPI Rate Limit

高度なBotは、複数のアカウントやIPアドレスを使い分けることで、アカウントやIPアドレスレベルの制限を回避しようとする傾向が見受けられます。SAP CIAMでは、ブラウザのCookieなどを利用してデバイスを識別し、同一デバイスからの異常なアクセスを検知して制限をかける標準機能もあります。これにより、より巧妙な分散型Botアクセスにも対抗できます。

上記3つのAPI Rate Limitの強力な特徴として、上記3つのAPI Rate Limitは利用企業ごとのAPI Rate Limit（APIの利用上限）のリクエスト数にはカウントされない、という仕様があります。そのため、Botによる大量アクセスによって、善良な一般利用ユーザのアクセスがエラーになる（巻き込まれる）、といった影響は発生しにくくなっています。