ボットに支配されるインターネット
自動化時代の意図識別
インターネットは、人間同士の交流を前提に設計されました。しかし、現在はその中を「自動化」が幅を利かせています。
私はこの変化をリアルタイムで見てきました。ボットによるトラフィックは急増しています。実際、インターネットにおけるボットの割合は多くの人が想像するようりも多く、全体の3分の1近くを占めています。しかも、その割合は増加傾向にあります。
オンライン上で人間がクリック、��スクロール、入力を一つずつ実行している間も、機械は自動化されたタスクを次々と実行しています。その自動化されたトラフィックのほとんどは、検索クローラー、API連携処理、監視システム、AIエージェントなど、正当な目的を果たしている一方、かなりの部分を悪意を持ったトラフィックが占めており、良い自動化と悪い自動化の境界線は日々曖昧になっています。
この変化そのものが危険というわけではありません。むしろ避けられないものであり、インターネットの進化の次の段階です。しかし、この変化によって、従来のITインフラやサイバーセキュリティが想定していなかった新たな課題が生まれています。ITリーダーは現在、従来のアーキテクチャでは対応できない、信頼性、可視性、制御に関する根本的な課題に直面しています。この変化を理解し、それに合わせてインフラを再設計できる組織は、インターネットの進化をリードしていくでしょう。逆に、対応しない組織は、常に後手に回り続けることになります。
すべてのボットが悪意のあるわけではありません(このことが問題を複雑化しています)
AIボットの急増は、悪意のある活動に利用される可能性も含んでいます。しかし、すべての自動化されたボットアクティビティが悪意を持つものではなく、実際、そのほとんどは正当な目的で動作しており、コンテンツをインデックスする検索クローラー、可用性を追跡する稼働率モニター、連携に用いられるAPI呼び出し、リクエストを処理するAIシステムなどが多くを占めています。これらのボットは現在のインターネットを支える存在となっており、それが問題を複雑にしている要因でもあります。
組織は、ボットと人間を区別する、良性ボットと悪性ボットを区別するという、2つの課題を対処する必要があります。ただ、これは非常に難しい作業であり、悪意のある攻撃者は自動化された攻撃をあたかも正当なトラフィックであるかのように偽装するため対応が困難である一方、正当な自動化であっても大規模になると動きが予測不能になり、悪意がなくても不審に見えてしまうことがあります。
従来のITおよびサイバーセキュリティのアーキテクチャは、このレベルの曖昧さに対処できるように構築されていません。例えば、境界ベースのセキュリティモデルは、遅延を発生させ、単一障害点を生み出します。一方、マルチクラウドやハイブリッド環境では、ポリシーが断片化され、一貫した適用が困難になります。
集中型と分散型のアーキテクチャという両極端な手法は、どちらも限界に達しています。完全に中央集中型のITやセキュリティシステムは、十分な速さで拡張またはローカライズできません。完全に分散化されたシステムは、可視性と制御が弱く、一貫したセキュリティポリシーの適用が困難です。これらの仕組みは、機械が生成する大量・高速なトラフィックに適応できません。また、誰が接続しているのかは分かっても、その目的までは分かりません。しかし、自動化されたボットが有益であるか有害であるかを判断するには、意図を理解することが非常に重要です。
これは根本的な変化であり、重要なのは、「課題はもはや識別ではなく、解釈である」という点です。セキュリティを「誰が」から「その目的」に目を向ける時代に突入しています。
セキュリティ問題からアーキテクチャの課題へ
何十年もの間、組織はボットへの対処を、検出とブロックに焦点を当てたセキュリティ対策として取り組んできました。しかし、インターネット上で自動化が主流になるにつれ、この受け身の姿勢は通用しなくなっています。今の課題は、ただボットを止めることではありません。アクセスの意図(目的)を見極め、リアルタイムで適応できるインフラストラクチャを構築することです。
インフラを、ボット対策を受動的に行うものから、最初からセキュ�アな設計(セキュア・バイ・デザイン)を取り入れたものにする必要になります。保護を後付けするのではなく、アーキテクチャそのものに直接組み込む必要があります。
ボット対策は「機能」ではなく「設計思想」であるべきです。自動化に持続的に対応できる唯一の方法は、継続的に学習し、進化する適応型アーキテクチャを構築することです。問題は「セキュリティチームに解決してもらうにはどうすればよいか」ではなく、「柔軟で俊敏性があり、応答性の高いアーキテクチャを設計するにはどうすればよいか」が問われています。
単に制御を追加するだけでは解決しません。戦術的なセキュリティ対策は導入した瞬間から古くなり、後付けの防御は高速で進化する攻撃には対応できません。今後進むべき道は、セキュリティを「境界」として扱うのではなく、ネットワーク自体に織り込んで、システムの運用と進化の方法を形作っていくような、根本的なアーキテクチャの変革です。
IT・セキュリティ担当者が実践すべき自動化の設計は、3つの主要なアーキテクチャ原則から始まります。
1. グローバルな可視性と一貫性のある適用のために、統合プラットフォームを軸に簡素化と統合を行う。
多数のツールにポリシーと制御が分散していると、全体像を把握することは困難です。グロー��バルに分散された単一のプラットフォームに統合することで、1つのポリシーを全世界に同時反映できます。1つのルール変更が、数週間ではなく数秒で全ネットワークに広がります。
2. 静的なルールではなく、適応型の行動ベースのインテリジェンスを採用する。
攻撃者はIPアドレスを切り替えたり、なりすましたり、人間の行動を模倣するなど、常にその戦略を変化させ続けます。適応型システムは、目的や動作速度のパターンを分析して、たとえ見た目が似ていても、正当な自動化(API呼び出しや検索クローラーなど)と、悪意のあるアクティビティとを区別します。
3. 良い自動化を効率化の味方として捉え、活用することで防御を強化する。
自動化そのものが敵なのではなく、「分断された仕組み」こそが問題であると考えましょう。組織が自動化を活用して、ネットワークテレメトリ、ボットシグナル、そしてアプリケーションの挙動を相関させることで、機械的な速度で検知と対応が可能になり、受け身での対応から先手を打った対策が可能になります。
ポストヒューマン時代のインターネットでリードするために
いまの世界では、自動化が当たり前になりつつあります。技術リーダー�に求められるのは、それに逆らうことではなく、「どう設計に取り入れるか」を考えることです。この新しい時代をリードするには、これまでの設計思想を根本的に転換することが求められます。
セキュリティと適応性は別々に存在する優先事項ではなく、同じアーキテクチャ上で実現を目指すべきものとして扱う必要があります。インターネットの将来は、「目的を判別し、挙動から学習し、機械の速度で適応できるシステム」にかかっています。
ITリーダーはマインドセットの変革が求められています。
この先重視すべきは、システムにアクセスしているのが「誰か」ではなく、アクセスの「目的」です。機械、API、AIエージェントによるトラフィック量がまもなく人間を上回る世界において、最も信頼できる判断材料はその「意図」です。「目的」を判断する設計とは、認証情報だけを見るのではなく、目的や挙動を評価した上でそのアクセスを許可、制限、拒否するかを決めるシステムを構築することです。次世代アーキテクチャでは、「あなたは誰か」ではなく「目的は何か」を問う必要があります。こうした発想の転換によって、セキュリティは静的な本人確認から、継続的な「意図」の分析へと進化し、インターネット上で横行する自動化の対応に追いつくことができます。
機械同士がやりとりするインターネットにおいて、ゼロトラストは、人間を想定した設計から、デジタルを見据�えた運用ロジックへと進化する必要があります。すなわち、人間であろうと自動化されたものであろうと、すべてが信頼を獲得し、維持する方法を規定する共通のルールセットとなる必要があります。すべての接続またはデータ交換において、身元を継続的に確認し、意図を評価し、最小特権アクセスを適用する必要があります。このモデルでは、ゼロトラストは、誰が(何が)、どのような条件で、どのくらいの期間活動できるかを定義します。言うなれば、ゼロトラストはセキュリティポリシーというより、インターネットの行動規範として機能します。
ボット駆動型の未来に向けた設計
では、実際にどのような設計が必要になるのでしょうか。Cloudflareは、グローバルに分散配置されて各地でインテリジェンスが適用され、これを中央で統合管理されるインフラストラクチャを備えたプラットフォームを構築しました。単一のネットワーク、単一のコントロールプレーンで構築され、すべてのサービスが世界中で同じように動作するこのプラとフォームは、どこか1か所ででボットパターンを検出すると、ボット管理機能を適用して、330以上の都市、449 Tbpsの容量で、あらゆる場所に即座に緩和策を適用できます。また、世界中から集めたデータで学習させた機械学習モデルが、リアルタイムかつグローバル規模で異常を検出します。さらに、セキュリティ、ネットワーキング、データレイヤーを統合して可視化・管理できるため、企業はバラバラな仕組みに振り回されることなく脅威を確認し、対応することができます。
インターネットは、人が主体のネットワークとして始まりました。しかし今は、「意図」が主体のネットワークへ変わりつつあります。自動化に振り回されるのではなく、自動化を前提にしたアーキテクチャを設計できる組織こそ、これからのインターネットを安全で賢いものにしていく存在になります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
新たな「意図」の時代において、ビジネスをどのように守るべきかの詳細については、Cloudflareシグナルレポート:大規模に対応するレジリエンスを参照してください。このレポートでは、サイバーレジリエンスを「後から追加」するのではなく「最初から組み込む」べき重大なポイントについて紹介しています。
著者
Nan Hao Maguire
Cloudflare フィールドCTO
記事の要点
この記事では、以下のことがわかるようになります。
ボットによるトラフィックはどう増えているのか
正当なボットと悪意のあるボットの違い
ボットを前提にしたアーキテクチャ設計のための3つの原則