クライアントサイドのセキュリティを考える上での5つの落とし穴

9月1日、SecurityWeek.Comに「クライアントサイドのセキュリティを考える上での5つの落とし穴」が投稿された。

Top Five Pitfalls When Considering Client Side Security | SecurityWeek.Com

この記事では、企業がクライアントサイドのセキュリティを検討する際に遭遇する可能性のある落とし穴のトップ5を紹介している。

従来、企業はオンラインアプリケーションの安全性を確保し、不正行為から保護するために、サーバーサイドでの予防的・検知的な管理を行ってきた。
近年では、多くの企業が、クライアントサイドの環境にも目を向けるべきかどうか、目を向けるとしたら具体的にどのようにすべきかという問題を検討し始めている。

クライアント端末の状態の重要性については、セキュリティ分野で数年前から議論されてきた問題だ。
一方で、クライアントデバイスは未知の部分が多く、場合によっては悪意のあるコード（バンキング型トロイの木馬）に感染していたり、フィッシング攻撃や悪意のあるJavaScriptなどのクライアントサイド攻撃にさらされる可能性がある。
さらに、クライアント端末の管理は非常に複雑であり、また、感染したクライアント端末や脆弱なクライアント端末が、必ずしも企業に不正をもたらす原因になるとは限らない。

私は、企業はクライアントサイドのセキュリティに対して、バランスがとれ、計算、測定されたアプローチをとるべきだと信じているが、その際に考慮すべきいくつかの考えを提案したいと思う。

1. モグラたたき

バンキング型トロイの木馬、悪意のあるJavaScript、その他のクライアントサイドの攻撃は、豊富に存在している。また、私の知る限りでは、彼らはかなり長い間存在するだろう。
そのため、企業がクライアントサイドというパンドラの箱を開けてしまうと、すぐに蹂躙されてしまう可能性がある。
もちろん、各企業は、クライアント端末が危険な環境からオンラインアプリケーションにアクセスしていることを発見した場合に、どのようなアクションを取るかを自分で決定する必要がある。
賢明に設計されていなければ、セキュリティ/不正行為チームが葬られる、終わりのないモグラたたきのようなゲームになってしまう。

2. リスクへの関心を失う

クライアントの環境が危険にさらされているという情報は、あくまでも情報として扱うことが重要である。
そのような情報は、特定の顧客の口座の全体的なリスクを理解するのに役立つかもしれないが、それ自体はリスクの指標として信頼できるものではない。
それはなぜだろうか？
世の中には多くの漏洩した個人情報や盗まれたアカウント情報があるため、詐欺師がアカウント・テイクオーバー（ATO）を達成する方法は数多くある。
つまり、クライアント端末が侵害されたからといって、必ずしもATOが発生するとは限らず、企業に不正損失が発生するとも限らないのだ。
その判断には、いくつかの異なるデータポイントが必要で、そのうちの1つがクライアント端末の状態である。
この重要なポイントを忘れてしまうと、企業はリスクへの関心を失ってしまう。

3. トランザクションの関心を失う

リスクを軽減し、不正行為による損失を減らすためには、トランザクションに焦点を当てることが重要である。
興味深いと思われる他のデータポイントに気を取られがちだが、それだけでは、特定の取引が正当なものか、疑わしいものか、あるいは不正なものかどうかはわからない。
クライアント端末から得られる情報は、トランザクションが不正であるかどうかを判断する上で役立つが、他の重要なデータがなければ、その判断には十分ではない。
トランザクションへのこだわりを見失ってしまうと、偽陽性やノイズなどの終わりのない罠に陥ることになる。

4. センシティブなデータへの関心を失う

企業がクライアントサイドに門戸を開くと、圧倒的な量のデータを見ることになることが多い。
これらのデータを適切に分析し、分類し、トリアージしなければ、膨大な量のアラートが表示され、そのほとんどが価値のないものになってしまう。
攻撃者の手に渡る可能性のあるセンシティブなデータや、トランザクションデータの追加、変更、削除の可能性など、本当に重要なことを忘れてはいけない。
また、Magecart攻撃はおそらくこの種の攻撃で最もよく使われる手法だが、それだけではないことも覚えておこう。
企業がクライアントサイドに目を向けるようになったとき、関連性の低い他のデータに埋もれてしまわないように、センシティブなデータに集中する必要がある。

5. ユーザーエクスペリエンスを忘れる

不正行為を防止するためには、厳格で厳しい対策を講じたいと思うかもしれないが、その対策が必ずしも不正行為の減少につながるとは限らないことを覚えておく必要がある。
ユーザーエクスペリエンスに悪影響を及ぼし、企業に損失を与えてしまうこともある。
オンラインアプリケーションを不正行為から守るために適切な管理を行うことは重要だが、摩擦の多いユーザーエクスペリエンスは別の意味で企業に負担をかけることを忘れてはならない。
この重要なバランスを忘れてしまうと、潜在的な収益を競合他社に奪われてしまうという新たなリスクが発生する。

Top Five Pitfalls When Considering Client Side Security | SecurityWeek.Com