Adobe Commerce Advanced Security
Adobe Commerce Advanced Securityは、Adobe Commerce on Cloud Infrastructureと連携して、オンラインストアを高速で利用しやすく、安全に保つ製品です。 これにより、売上を保護し、ダウンタイムを削減し、トラフィックイベントや自動攻撃のピーク時においても顧客の信頼を維持することができます。
Adobe Commerce on Cloud Infrastructureには、 レイヤ 3および4 DDoS対策とWeb Application Firewall (WAF) が組み込まれています。 共有責任モデル の下では、レイヤ 7 DDoS検出、ボット保護、およびプロアクティブ IP ブロッキングが加盟店の責任であり、Adobe Commerce Advanced Securityが対処するように設計されています。
Advanced Securityは、Fastlyを搭載したエッジ セキュリティ機能を通じてストアフロント保護を拡張します。この機能は、ネットワーク エッジでのスケーラビリティ、パフォーマンス、セキュリティを組み合わせた統合エッジ プラットフォームの一部として、ボット管理、高度なレート制限、およびレイヤ 7 DDoS保護機能を提供します。
主な能力
Adobe Commerce Advanced Securityには、次の追加の保護が含まれています。
-
ボット管理:Web アプリケーション上の不要なボット アクティビティを特定して緩和します。 Bot Management サービスは、正規のボット(検索エンジンweb クローラー、ソーシャルメディアボット)と悪意のあるボットを区別し、ネットワークエッジでリアルタイムの分類を提供し、トラフィックをブロック、許可、チャレンジ、レート制限するオプションを提供します。
-
DDoS保護 – すべてのAdobe Commerce on Cloud Infrastructure プロジェクトに含まれている既存のレイヤ 3および4保護を超えて、レイヤ 7 (アプリケーション レイヤー) DDoS保護を提供します。 DDoS保護サービスは、大規模なボリューム攻撃を吸収し、分散型サービス拒否(DDoS)イベント中に継続的にアプリケーションの可用性を確保し、トラフィックのピーク時には収益を保護します。
-
高度なレート制限 – 特定のURL、API エンドポイント、およびアプリケーションリソースを不正使用から保護する、設定可能なレート制限ルールを提供します。 Advanced Rate Limiting サービスは、Fastly CDN モジュールを通じて利用可能な基本的なレート制限を超えて、特定のトラフィックパターンと攻撃ベクトルをターゲットにし、インフラストラクチャの負担とクラウドコストを削減します。
脅威のカバレッジ
Advanced Securityは、一連の自動化およびアプリケーション層の脅威からストアフロントを保護します。
ボット主導の不正利用
- 資格情報の詰め込み – データ侵害から盗まれた資格情報を使用してログインを自動的に試みます。
- アカウントの乗っ取り – 顧客アカウントへの不正アクセスを試みるボット。
- アカウント作成の不正行為 – 詐欺または不正使用を目的とした偽アカウントの自動作成。
- カードテスト – 盗難したクレジットカード番号を決済代行会社に対してテストするボット。
- コンテンツスクレイピング:ストアフロントから商品データ、価格設定、コンテンツを自動的に抽出します。
- 在庫の保管 – 商品をカートに入れて購入を妨げるボット。
AI ボット管理
- AI web クローラー検出:同意なしにコンテンツをスクレイピングして大規模言語モデルをトレーニングするAI web クローラーを特定および管理します。
- AI フェッチャー制御 - リアルタイムAI 検索結果で使用されるAI フェッチャーを制御します。
- 設定可能なAI ボットポリシー - ポリシー適用用に設定可能な信号タイプを使用して、検証済みAI ボットと疑わしいAI ボットを区別します。
アプリケーション層の攻撃
- レイヤ 7 DDoS攻撃 – 組み込みのレイヤ 3および4保護をバイパスするアプリケーション レイヤーをターゲットとする分散攻撃。 Advanced Securityは、オリジン サーバーに到達する前に、エッジでこれらのボリューム攻撃を吸収します。
- URLおよびAPIの不正使用 – 特定のURLまたはAPI エンドポイントをターゲットにした攻撃が多数のIP アドレスに広がっており、個々のIP ブロッキングが効果的ではありません。
- キャッシュバスティング攻撃 - CDN キャッシュをバイパスし、オリジンサーバーを圧倒するように設計された、操作されたクエリパラメーターを使用したリクエスト。
追加機能
- 動的な課題 – 疑わしいトラフィックに最適な課題を自動的に割り当てます。 プライベートアクセストークン(PAT)を活用して、ユーザーエクスペリエンスに影響を与えることなく、リクエストの一部をシームレスに検証します。
- 詐欺テクノロジー:攻撃者に誤った情報を返すことで、アカウントの乗っ取りを試みることに対処し、大規模な運用能力を妨害しながら、攻撃を軽減します。
適切な保護方法の選択
次のガイダンスを使用して、Advanced Securityがストアフロント保護ニーズに適したソリューションであるか、既存の保護または代替ソリューションがより適切かどうかを判断します。
Advanced Securityの使用条件
次のシナリオは、Advanced Securityで最適に対処できます。
既存の保護を利用するケース
次のシナリオは、既存の保護で最適に対処できます。
代替保護を使用する場合
次のシナリオは、Advanced Securityを補完できる代替保護で最適に対処されます。
セキュリティスタックの位置
Advanced Securityは、エッジベースの保護の追加レイヤーとして、より広範なAdobe Commerce セキュリティアーキテクチャに適合します。 これは、既にAdobe Commerce on Cloud Infrastructureに含まれているWAFおよびLayer 3/4 DDoS保護機能と同じように機能し、置き換えるものではありません。 次のセクションでは、既存の保護と、顧客に残る責任との関係を明確にします。
含まれる保護
Adobe Commerce on Cloud Infrastructureには、次のセキュリティ機能が含まれています。
- Web Application Firewall (WAF):SQL インジェクション、クロスサイトスクリプティング (XSS)、その他のOpen Web Application Security Project (OWASP)に対する管理済み保護の上位10個の脅威。 実稼動環境でのみ使用できます。
- レイヤ 3および4 DDoS保護:SYN フラッド、UDP フラッド、ICMP ベースの攻撃、TCP レベルの攻撃などのネットワーク層の攻撃に対する組み込みの保護機能。 Fastly CDNで自動的に有効になります。
- SSL/TLS証明書 – 安全なHTTPS トラフィック用のドメイン検証済み暗号化証明書。
- オリジンクローキング—Fastlyを介するすべてのトラフィックルートを確保し、オリジンサーバーへの直接アクセスをブロックします。
- VCL ベースのセキュリティ スニペット - IP ブロッキング、許可リストに加える、およびリクエスト フィルタリング用のカスタム Varnish Configuration Language (VCL)ルール。
Advanced Security
Advanced Securityは、Adobe Commerce on Cloud Infrastructureに含まれている組み込みの保護機能を超えて保護を強化していますが、追加の費用が発生します。
- ボット管理 - Edge ベースのボット検出と、AI ボット管理による緩和。
- レイヤ 7 DDoS対策 - アプリケーション層のDDoS吸収と防御。
- 高度なレート制限 - URLとAPI エンドポイントの詳細なレート制御。
- 動的な課題と詐欺テクノロジー – 自動課題の割り当てとアカウント乗っ取りの緩和。
顧客の責任
- 不正防止 - トランザクションレベルの不正行為のスコアリングと不正支払いの検出。
- IDとアクセス管理 – 顧客認証、認証、セッション管理。
- アプリケーションセキュリティテスト—SAST/DASTおよび脆弱性のスキャン。
- カスタム セキュリティ設定 - VCL ベースのルール、IP アドレスの設定、およびIP アドレスのブロックリスト。
- コンプライアンス ツール - PCI スキャン、SOC コンプライアンス レポート、規制監査ツール。
- アプリケーションレベルの強化 - トークンベースのAPI認証、クエリパラメーターの正規化、およびキャッシュ戦略の設計。
Adobeとカスタマーセキュリティの責任の詳細については、共有責任モデル を参照してください。
一般的な攻撃パターンと保護
次の表は、一般的な攻撃パターンを、Adobe Commerce セキュリティスタック内の適切な保護レイヤーにマッピングしたものです。
WAFのブロック動作
次のWAF ビヘイビアーは、Advanced Securityが有効であるかどうかに関係なく、すべてのAdobe Commerce on Cloud Infrastructure プロジェクトに適用されます。 付属のWAF サービスでは、一般的な攻撃信号に対して次のブロック動作を使用します。
- SQL インジェクション要求は、1つの一致する要求であっても、直ちにブロックされます。
- 既知の悪意のあるIPからの次の脅威シグナルで識別されたリクエストは、Backdoor、Attack Tooling、CMDEXE、Log4J JNDI、Traversal、およびXSSですぐにブロックされます。
- 上記の脅威シグナルを示す非悪意のあるIPからのリクエストは、次のしきい値を超えるとブロックされます。
リクエスト Advanced Security
Advanced Securityをリクエストするには:
-
お客様のプロジェクトのAdvanced Securityについて詳しくは、Adobe アカウントチームまたはAdobeの営業担当者にお問い合わせください。
-
Advanced Securityを購入した後、Adobe Commerce サポートチケットを送信し、Advanced Securityの有効化をリクエストします。 Adobe Commerce on Cloud Infrastructure プロジェクト IDと、有効化が必要な環境(実稼動環境やステージングなど)を含めます。
-
Adobeは、Fastly サービスでAdvanced Securityをアクティブ化し、初期の保護ポリシーを設定します。 イネーブルメントは、通常、チケット提出から数営業日以内に完了します。
-
Advanced Securityがアクティブであることを確認するメッセージと、環境で有効になっている保護の詳細が表示されます。
制限
Advanced Securityは、エッジ層のストアフロント保護を提供します。 次の機能は利用できず、補完的なソリューションで最適に対処できます。
- トランザクションレベルの不正行為スコアリング—Advanced Securityでは、不正行為のリスクに対する個々の支払いトランザクションは評価されません。 トランザクションレベルのスコアリングには、専用の不正利用防止プラットフォームを使用します。
- IDおよびアクセス管理(IAM)—Advanced Securityは、ユーザー認証、認証、またはセッション管理を管理しません。 これらは引き続き顧客の責任です。
- 静的および動的アプリケーション セキュリティ テスト (SAST/DAST)—Advanced Securityには、コード レベルの脆弱性のスキャンまたは侵入テストは含まれていません。
- API セキュリティ – 高度なレート制限によりAPI エンドポイントを不正使用から保護できますが、スキーマ検証やAPI ゲートウェイ管理などの包括的なAPI セキュリティ機能は提供されていません。
- 完全な不正防止—Advanced Securityは、エッジ層のストアフロント保護に焦点を当てており、完全な不正管理プラットフォームではありません。
- コンプライアンス ツール—Advanced Securityには、PCI スキャン、SOC コンプライアンス レポート、規制監査の機能はありません。