Client-Side Protection & Compliance:脅威に対抗し、PCI DSS v4 への準拠を支援
JavaScript は、最新の Web 開発における基本的なテクノロジーです。 現在の動的な Web アプリケーションや Web サイトの 98% 以上は、JavaScript を活用して、インタラクティブ性、動的コンテンツ読み込み、強化されたユーザー体験を実現しています。さらに、JavaScript は、分析、広告、ソーシャルメディアとの接続などの機能を提供することで、レスポンシブ Web デザインやサードパーティーとの統合をサポートします。
拡大する攻撃状況
JavaScript は重要なツールになっていますが、新たなセキュリティリスクももたらしています。クライアントサイドの実行の分散化とサードパーティーの依存関係のサプライチェーンにより、組織が JavaScript を監視、管理することが非常に困難になっています。攻撃者は、この盲点を利用してスクリプトの脆弱性を悪用し、ブラウザーから Web サイトに有害なコードを挿入しています。これにより、攻撃者は決済カードデータを含む機微な情報をエンドユーザーから収集し、流出させることができます。
これらの攻撃( Web スキミング、 Magecart、フォームジャッキングなど)は 時間の経過とともにますます高度化しており、 企業に壊滅的な影響をもたらす可能性があります。被害者は、顧客の信頼の喪失、ビジネスのダウンタイム、収益の損失、 規制による多額の罰金に直面します。
新しいクライアントサイド JavaScript セキュリティ要件
そのような影響があるにもかかわらず、クライアントサイドの攻撃を防止することは、ほとんどの組織にとってセキュリティ上の重点とはなっておらず、多くの Web サイトは無防備なままです。ブラウザー内の決済データを保護するために、 Payment Card Industry Data Security Standard は、2022 年 3 月にリリースされた最新バージョンの PCI DSS(バージョン 4.0) で、新しいクライアントサイド JavaScript セキュリティ要件を導入しました。
オンラインで決済カードデータを処理する組織は、コンプライアンスを確保するために、サイトで実行されているスクリプトの種類、スクリプトが変更されたタイミング、スクリプトが実行しているアクションを把握する必要があります。 PCI DSS v4.0 は 2025 年 3 月に完全に有効になります。そのため、企業は短期間でこれらの要件を満たさなければなりません。
Akamai Client-Side Protection & Compliance の導入
Akamai Client-Side Protection & Compliance は、JavaScript の脅威から Web サイトを保護し、 PCI DSS v4.0 で概説されている新しい JavaScript セキュリティ要件(6.4.3 および 11.6.1)への準拠を促進するように設計された Web アプリケーション・セキュリティ・ソリューションです。
Client-Side Protection & Compliance は、エンドユーザーのブラウザーで稼働し、クライアントサイドの JavaScript が保護対象の Web ページでどのように実行されているかを監視します。スクリプトのふるまいが変化すると、機械学習技術によって不正または不適切なアクションのリスクが評価され、セキュリティチームによる調査を促すリアルタイムアラートがトリガーされます。
ユーザーは、ワンクリックするだけで潜在的な脅威を緩和し、悪性の JavaScript が決済カードデータを含む機微なエンドユーザー情報にアクセスしたり流出させたりするのを制限できます。
主な機能の紹介
機微な情報の流出の防止
サイバー犯罪者は、さまざまな手法を使用して、ブラウザー内にある機微なエンドユーザー情報をスキミングし、流出させます。Akamai Client-Side Protection & Compliance は、実際のユーザーのセッションをインストルメント化してスクリプトのふるまいを分析することで、極めて高度な攻撃を効果的に防止するように設計されています。疑わしいアクティビティが検知されると、セキュリティチームに対し、迅速な対応と緩和のための詳細な情報が直ちに通知されます。
PCI DSS v4.0 コンプライアンスに特化したサポート
Client-Side Protection & Compliance は、PCI DSS v4.0 の要件 6.4.3 および 11.6.1 を満たすための幅広いサポートを提供します。決済ページ上のスクリプトを自動的に追跡して一覧表を作成し、それらの完全性と認可を確保します。セキュリティチームは、事前定義された正当性と自動化されたルールを使用して、決済ページで実行されているスクリプトの目的を簡単に正当化できます。
このソリューションには、HTTP ヘッダーや決済ページの保護状態に対する変化を監視する機能もあり、ページの改ざんも防ぐことができます。包括的なダッシュボードと専用の PCI アラートにより、コンプライアンス関連のイベントに迅速に対応し、監査証拠を提供することが容易になります。
JavaScript の脅威に対する広範な可視性
Web アプリケーションファイアウォール(WAF)がクライアントサイドからの攻撃を防御するというのは、 よくある誤解 です。なぜなら WAF はサーバー側のトラフィックを分析するため、エンドユーザーのブラウザーで発生する攻撃を検知したり、阻止したりすることはできません。Akamai Client-Side Protection & Compliance は、Web サイトのクライアントサイドのアタックサーフェスに対する卓越した可視性を提供することで、WAF を補完します。スクリプト実行のふるまいを追跡し、 共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) を検知し、各スクリプトが届く範囲と影響を評価します。
また、Client-Side Protection & Compliance は、スクリプトによってアクセスされたデータや潜在的な脅威に関するインテリジェンスを提供し、死角をなくし、包括的な保護を実現します。このソリューションは、業界をリードする Akamai App & API Protectorと連携し、サーバーサイドとクライアントサイドの両方の脅威に対する総合的な防御を提供します。
クライアントサイドでは
Client-Side Protection & Compliance は、CDN に依存しないソリューションであり、Akamai Connected Cloud 上でもそれ以外でも展開でき、Akamai のセキュリティソリューションを追加する必要はありません。複雑な Web サイトや単一ページアプリケーションで動作し、ページパフォーマンスに大きな影響を与えません。迅速な設定により、企業は JavaScript の脅威から直ちに保護され、PCI DSS v4.0 コンプライアンスワークフローを合理化できます。
ご確認ください
Akamai Client-Side Protection & Compliance の詳細を確認し、ご自身でお試しください。
