ビジネスをスローダウンさせることなくWebサイトを保護
現代のデジタルエクスペリエンスは、アプリケーションサーバーとクライアント側のスクリプト間のインタラクションによって実現されます。アプリケーション開発者は、一般アクセスが可能な Web アプリケーションを構築する際、一般的なサードパーティスクリプト、コードライブラリ、依存関係を使用することがよくあります。このようなプラクティスによってデリバリーの簡素化と高速化が可能になりますが、未知のセキュリティ脆弱性が生じる恐れがあります。
サードパーティのスクリプトに脆弱性があると、ユーザーはクライアントサイド攻撃に対して脆弱になります。その場合、サイバー犯罪者がランタイムのコードを変更し、クロスサイトスクリプティング (XSS) 攻撃やクレジットカードのスキミング (Magecart) 攻撃を含む悪意のあるアクティビティを開始する可能性があります。
図1 : クライアントサイド攻撃
クライアントサイド攻撃からの防御
Fastly Client-Side Protection は、Fastly のダッシュボード内でスクリプトのインベントリ構築と管理が行えるシンプルなツールセットを提供します。これにより、Webサイトの所有者はページ上のスクリプトを監視し、ユーザーのブラウザに読み込まれ実行される内容を管理してクライアントサイド攻撃からWebサイトを保護できます。
Fastly Client-Side Protection を通じてコンテンツセキュリティポリシーを策定して適用することで、Web アプリケーションの特定の領域からエンドユーザーのブラウザに読み込まれるリソース (スクリプト、画像、フォントなど) のインベントリを構築して管理することが可能になります。リソースがコンテンツセキュリティポリシーに違反すると、選択したオプションに応じてエンドユーザーのブラウザによってリソースがブロック、またはログに記録されます。さらに、ポリシー違反のレポートに基づき、必要に応じてコンテンツセキュリティポリシーを調整して問題に対処できます。
また、クライアント側の各スクリプトについて許可される理由、または許可されない理由を提供することもできます。これらの機能は、クロスサイトスクリプティング攻撃 (Magecart 攻撃など) を防ぎ、PCI DSS (Payment Card Industry Data Security Standard) 4.0.1 の要件 6.4.3 および 11.6.1 への準拠を維持するのに役立ちます。
メリット
スクリプトとそれらの必要性の包括的なインベントリを数分で構築
サードパーティのスクリプトをリアルタイムで監視し、不正なアクティビティを検出
不正または悪意のあるスクリプトに関するアラート
PCI DSS 4.0.1 の要件 6.4.3 および 11.6.1 への準拠を維持
別のツールを必要とせず、Fastly のダッシュボードでサードパーティのスクリプトを管理
図2 : Fastly Client-Side Protection の仕組み
Fastly Client-Side Protection の使用を開始Fastly Client-Side Protection が提供する可視性により、クライアント側の攻撃対象領域を完全に文書化して理解し、管理することが可能になります。何よりも、わずか数分でインベントリを構築できます。セキュリティについて心配する時間を減らし、その分、顧客を満足させることに集中できるようになります。
早速、試してみませんか? お問い合わせはこちら。
PCI DSS へのコンプライアンスの期限に備えていますか?
OWASP、NIST、PCI-DSS などの標準では、サイバー攻撃に対する既存のサーバー側の保護対策を補完するために、クライアント側の保護が重要であると認識されています。
クライアント側のセキュリティは PCI-DSS 4.0 の重要な要素であり、企業は完全性と認可を判断する方法を確保すると同時に、支払いページのすべてのスクリプトの完全なインベントリとビジネス上の正当性を維持することが義務付けられています。
決済カードのデータを処理する組織は、罰金を回避するために2025 年3月31日までに PCI-DSS 4.0 の要件に準拠する必要があります。
