自動化されたトラフィックは今やほとんどの公開サイトで人間のトラフィックと同等かそれ以上です。スクレーパーはコンテンツと価格を収集し;credential-stuffingボットはログインエンドポイントで盗まれたパスワードをテストし;cardingボットはチェックアウトで盗まれたカード番号を検証し;AIスクレーパーは言語モデルを訓練するためにAPIをクロールします。トラフィックはもっともらしく見えます:本物のブラウザフィンガープリント、住宅用IP範囲、人間のようなリクエストタイミング。そしてこれらのキャンペーンの実行コストは毎年下がっています。
業界の答えはボット管理プラットフォームでした;そのほとんどがクラウドSaaSです。機能させるには、トラフィック、フィンガープリント、決定がそのネットワークに存在する必要があります。規制産業または主権展開にとって、これは構造的な問題です。そしてこれらのプラットフォームのほとんどはブラックボックスとして機能します:スコアが届き、アクションが取られますが、オペレーターはモデルが実際に何を重視したかを検査できません。
TR7は異なる立場を取ります。ボット防御はお客様のプラットフォームで動作します;スコアリングエンジンは11の名前付きファクターを評価します;オペレーターはどのシグナルがどれだけ重みを持ったかを確認します。WAAPとAPIセキュリティを駆動するのと同じコンテンツ認識ルールエンジンがここでも適用されます — ボットルールはスクリプト1行なしでJSONボディ内の値に基づいてアクションを取ることができます。
それぞれ単独でも価値があります。組み合わせることで、他社のクラウドに依存せず、ロジックをオペレーターから隠さないボット防御がどうあるべきかを再定義します。
ほとんどのモダンなボット管理プラットフォームはSaaSです — フィンガープリント、トラフィック、および結果の決定がそのネットワークに存在します。TR7はお客様のハードウェアで動作します。エッジに到達するボットはお客様のネットワーク内でスコアリングされてアクションが取られます。
ボットスコアは11の名前付きファクターと名前付きウェイトを組み合わせます — TLSフィンガープリント、23カテゴリのIP reputation、リクエストリズム、リクエスト形状、行動ベースラインなど。オペレーターはどのファクターが決定に貢献したかを確認し、個々のウェイトを調整し、セキュリティレビューでブロックを説明できます。照会できない不透明なモデル出力はありません。
WAAPとAPIセキュリティに使用されるのと同じコンテンツ認識ルールエンジンがボットポリシーにも適用されます。ヘッダー値、クッキーコンテンツ、URLパラメータ、さらにはJSONリクエストボディからパースされた値に対してレート制限、チャレンジ、ブロックを実行します。例:ボディの'action'フィールドが'add_to_cart'のときにソースIPの動作がスクレーパーパターンと一致する場合にスロットルするルール。すべてビジュアル設定;スクリプト不要。
サイトのログインエンドポイントは同じサイトのパブリックアセットエンドポイントとは異なるボットポリシーが必要です。ボットポリシーはvServiceに接続されるため、各アプリケーション表面が実際に必要な感度を得られます。/loginには1つのルールセット、/api/v1/searchには別のルールセット、/assets/*にはまた別のルールセット。
チャレンジされたリクエスト、スロットルされたスクレーパー、阻止されたcredential-stuffing試行、サイレントドロップされたcardingボットはすべて帯域幅メーターから除外されます。ボット防御が頑張れば頑張るほど、スループットと請求対象帯域幅のギャップが大きくなります。
以下の各機能はプラットフォームの一部として提供され、既存のvServiceに接続されます。
低偽陽性に調整された指数スコアリングカーブと組み合わせた名前付きシグナル — TLSフィンガープリント、23カテゴリのIP reputation、リクエストリズム、リクエスト形状、行動パターン、最近のエラーレート、セッション生成レートなど。オペレーターは確認、調整、説明できます。
ソースIPは23カテゴリで分類されます — 既知のスクレーパー、住宅用プロキシプール、データセンター範囲、Torの出口、既知のボットオペレーターなど。分類はスコアに貢献し、ポリシーで直接アクションの対象となります。
スコアリングエンジンは時間の経過とともにアプリケーションの通常トラフィックパターンを学習します。異常は任意のグローバル閾値ではなく、ベースラインに対して際立ちます。
特徴的なフィンガープリントを持つ既知のボットファミリーに対するシグネチャベースの検出。未知のボット、回避型スクレーパー、低速試行に対する行動検出。両方が同じスコアリング決定に貢献します。
ヘッダー値、クッキーコンテンツ、URLパラメータ、パースされたJSONボディ値など任意のトラフィック属性に対してレート制限、チャレンジ、ブロックを実行します。ビジュアル設定;独自スクリプト不要。
ポリシーごとのアクション選択。明らかに悪意のある自動化をブロックします。曖昧なトラフィックをCAPTCHAでチャレンジします。疑わしいスクレーパーを直接ブロックせずにスロットルします。攻撃者がどのクレデンシャルが機能するかについての有用なフィードバックを受け取らないように、credential-stuffingトラフィックをサイレントドロップします。
ログインエンドポイントでのcredential-stuffingパターンが一般的な悪用自動化とは異なるものとして認識されます。分散型low-and-slow試行、impossible travel、異常なセッション生成レートは一般的なボットスコアリングだけでなく、ここでも発見されます。
各vServiceは異なるボットポリシーを実行できます。ライセンス容量は展開サイズにスコープされます(1、10、100 vServiceまたは無制限)。
同じスコアリングエンジンとルールロジックがTR7のアクセス管理レイヤー内でも動作します。SSOポータル、ログインフロー、IDを認識したプロキシ、クライアントレスゲートウェイセッションは、公開WAAP保護アプリケーションと同じボット防御を受けます — 各表面に別のボットエンジンを設定することなく。
TR7のエンドポイントセキュリティ層が管理するデバイスからユーザーが接続するB2Bおよび企業アクセスシナリオでは、デバイス信頼シグナル — 既知のデバイス、現在のポスチャ、コンプライアンス状態 — が追加の加重ファクターとしてボットスコアリングエンジンに貢献します。
訓練データのためにクロールするAIスクレーパーには特徴的なパターンがあります — 大量の連続的なトラバーサル、典型的でないユーザーエージェント文字列、珍しいAPIコール形状。行動エンジンはこれらのパターンを認識します;ポリシーはユースケースに応じて許可/スロットル/ブロックを決定します。
ボットシグナルはWAAPルールとL7 DDoS閾値に貢献します;WAAPとDDoSシグナルはボットスコアリングに貢献します。1つのアプリケーション表面を悪用しているのが確認されたソースは、他のすべての表面でスコアをすぐに上昇させます。
ボットシグネチャライブラリとIP reputationフィードは継続的に更新されます — 手動ダウンロードサイクルなし、サイト間のバージョン差異なし。
ボット検出はWAAPの他の部分と同じセキュリティ分類体系にマッピングされます — CWEコード、CAPECパターン、MITRE ATT&CKテクニック。SIEMコレレーションとインシデント対応は同じ言語を使用します。
すべてのボット決定は貢献するシグナルの内訳とともにログされます — どのファクターがどれだけ重みを持ったか、スコアがどこに着地した理由。調査と調整はWAAPと配信と同じコンソールで行われます。
ボットトラフィックは1つのものではありません。TR7ボット管理はWebアプリケーションとAPIを標的にするモダンな自動化のスペクトルをカバーします。
コンテンツ、価格、製品カタログ、リスト、その他の公開データを大規模に収集するボット。リクエストリズム、IP reputation、行動ベースラインドリフト、特徴的なリクエスト形状で検出されます。
ログインエンドポイントで盗まれたユーザー名/パスワードのペアをテストするボット。ATO検出とエンドポイントごとのポリシーにより、単一IPレート制限が見逃す分散型credential-stuffingキャンペーンを識別して阻止します。
チェックアウトエンドポイントで盗まれたカード番号を検証するボット。決済APIに対する特徴的なリクエストリズムと異常な失敗対成功比率で認識されます。
製品リスト、説明、レビュー、価格データをコピーする自動化された競合他社。行動ベースラインは高速と低速のリクエストレートを交互に使うことで人間のペースを模倣するスクレーパーを検出します。
許可なく言語モデルを訓練するためにコンテンツを収集するクローラー。大量の連続的なトラバーサルパターンと典型的でないクライアントシグネチャで認識されます;ポリシーはユースケースに応じて許可/スロットル/ブロックを決定します。
偽の登録、コメントスパム、偽のレビュー、悪用的なフォーム送信を行うボット。ボットスコアリングとフォームボディ形状に対するコンテンツ認識ルールを組み合わせた検出。
アプリケーション層DDoSとして機能する大量のボットトラフィック — credential-stuffingの波、スクレーパーファーム、協調したIoTボットネットフラッド。ボットシグナルは組み合わせた軽減のためにL7 DDoS層に貢献します。
既知のCVE、公開された管理エンドポイント、デフォルトクレデンシャル、誤設定されたサービスをアプリケーションで探るボット。ボットシグナルとWAAPシグネチャエンジンによる組み合わせた検出。
フラッシュセール中は本物の購買者がスパイクし;cardingボットはそのスパイクに隠れようとします。vServiceごとのポリシー、行動ベースライン、コンテンツ認識ルールにより、実際の顧客をブロックせずにcredential-stufferとcardingボットを分離します。
継続的なcredential-stuffingの圧力下にあるログインエンドポイント。ATO検出は単一IPレート制限が見逃す分散型low-and-slow試行を認識します;CAPTCHAチャレンジはすべての正当なユーザーではなく、選択的に適用されます。
記事、動画、画像ライブラリが競合他社やAI訓練スクレーパーによってクロールされます。行動ベースラインは人間のペースを模倣するスクレーパーを検出します;ポリシーはスクレーパーをブロック、スロットル、またはライセンス下で許可するかを決定します。
スクレイピング、クレデンシャルテスト、リソース悪用の対象となるAPIエンドポイント。エンドポイントごとのボットポリシーとコンテンツ認識ルールエンジンにより、正当なAPIコンシューマーに影響を与えずに悪用を処理します。
自動化されたフォーム悪用とボットによる不正を標的にした公共部門サービス。オンプレミス展開により市民データのフローがネットワーク内に保持されます;監査ログが調査をサポートします。
B2Bユーザーがエンドポイントセキュリティ層が管理するデバイスからアクセスするとき、デバイス信頼シグナルがボットスコアに貢献します — 既知の管理デバイス + 良好なポスチャで疑念が低下します。管理されていないエンドポイントから到着するボットはまだ完全な検査を受けます。
このソリューションが参照する機能 — 上記で説明した制御を構成する技術的要素。
サインイン時に得たトラストは永遠には運ばれません。すべてのセッションは、すべてのステップで評価下にあり続けます。
即時ブロックの代わりに行動を監視し、しきい値を超えたソースを期限付きで隔離して自動的に解放します。
3000+ルール、OWASP / API Top 10 / CWEタクソノミー、14の相関軸、ホストグループごと + クロスグループロールアップ。
生成も、配信も、検証も — すべてADC内で完結。サードパーティクラウドへの呼び出しはゼロ。
単一のシグナルではなく、組み合わせたリスク決定に基づいてcredential stuffing、ブルートフォース、セッションハイジャックの試みを阻止します。
1つのIP、1つのアカウント、1つのAPIキー — どのディメンションで制限するかを決めるのはあなたです。
3段階の段階的摩擦 — 警告、チャレンジ、ロック — IP、ユーザー名、またはその両方。Self-hosted CAPTCHA、外部クラウドなし。
Session ID の生成から cookie セキュリティ、IP+UA bind 制御から idle および absolute timeout 管理まで、セッションを単一の policy graph の下で保護します。
TR7ボット管理のライブデモをご依頼ください。実際のトラフィックでスコアリングを実行し、11ファクターを説明し、コンテンツ認識ルールがスクリプトなしでJSONボディ値に対してどのように動作するかをお見せします。