タリー・スミスは、目的志向のブランド、マーケティング、デジタルエージェンシーであるSmith & Connorsの共同創業者、CEOおよびチーフクリエイティブオフィサーです。
私がウェブサイトの設計・構築の仕事をしていると、ビジネスリーダーたちから「自分たちのオーディエンスとつながれないのではないか」「ビジネス目標を達成できないのではないか」という不安の声を聞きます。技術責任者やITディレクターは攻撃やスパムを受けることを恐れています。しかし、サイトのパフォーマンス、インフラコスト、ブランド評判を標的とする重大かつ完全に見過ごされがちな脅威について言及する人はほとんどいません。
ウェブサイトの全面的な見直しを計画している場合でも、現在のデジタルエコシステムを監査しているだけの場合でも、人々が心配すべきだと考えていることと、実際に心配すべきことを理解する価値があります。
なりすましと評判
クライアントは受信スパムを心配する一方で、送信セキュリティについて質問することはほとんどありません。ここにブランド評判に対する本当の危険が潜んでいます。専任のITチームがない場合、DKIM(DomainKeys Identified Mail)やDMARCプロトコルについて考えていないかもしれません。平易な言葉で言えば:これらのプロトコルがウェブサイトのDNSに設定されていないと、悪意ある行為者があなたのドメインを「なりすまし」、つまりあなたの組織から送信されたように見えるメールを送ることができます。
あなたが非営利団体だとして、ハッカーがあなたの財務ディレクターから送信されたように見えるメールを送り、寄付者に銀行情報の更新を求めるとします。DNSがロックダウンされていないと、そのメールは受信者のメールサーバーには正当なものに見えてしまいます。
解決策は、ドメインが送信するすべてのメールに「デジタル署名」を本質的に行うようにするため、立ち上げ時にDKIMを設定することです。実際、2024年にグーグルは、ほとんどの機関が注目しているスパムをブロックするための送信者認証に関する厳格な新要件を導入しました。彼らは簡単な手順を提供しています。この修正は世界に「検証済みのサーバーから送信されていない場合、それは私たちからのものではない」と伝えます。これは詐欺を防ぐだけでなく、あなたの実際のニュースレターや更新情報がユーザーのスパムフォルダに入らないようにします。
目に見える恐怖:「私のデータをスクレイピングしないで」
私が最もよく受ける要望の一つは、ウェブサイトにメールアドレスを表示すると、高度なボットがそれを収集し、受信トレイがスパムで溢れてしまうのではないかというものです。過去には、解決策は初歩的なものでした—単純なクローラーを欺くために、Talie [at] domain [dot] comのように綴っていました。
最近では、一部の組織はすべての連絡先情報を完全に削除する「核オプション」を取っています。クライアントの中には、表示されるメールアドレスをゼロにし、すべてのやり取りを一般的なフォーム、各部門の一般的なメールアドレスを通じて強制したり、連絡する能力自体を削除したりすることを主張する人もいます。
これはスパムの問題を解決しますが、ユーザー体験の問題を生み出します。個人的なつながりが失われ、それはブランドにとって悪いことです。単純に直接メールを送ることができないことは疎外感を生み出す可能性があります。
一つの解決策は、Cloudflare Turnstileや「管理されたチャレンジ」などのツールを使用することです。以前の「すべての横断歩道をクリックしてください」というパズルのように煩わしい障壁を設けるのではなく、これらのツールはバックグラウンドで動作し、フォームが送信される前に訪問者が人間かボットかを判断するためにグローバルなリスク要因を分析します。これにより、メールをオープンウェブのスクレイピングボットにさらすことなく、適切な人間の受信者に直接ルーティングすることができます。
新たなフロンティア:AIボット
ウェブセキュリティの状況は、AIの爆発的な普及により、ここ数年で劇的に変化しました。私たちはもはや人間のスパマーだけを相手にしているわけではありません。Tech Monitorの報告によると、自動化されたボットは現在、すべてのインターネットトラフィックの3分の1以上を占め、データをスクレイピングしたり脆弱性をテストしたりするために常にウェブを探索しています。高度な自動スクレイパーが常にウェブを探索しています。
問題は、AIボットが人間のようにブラウズしないことです。人間はホームページを訪問し、リンクをクリックして読みます。AIボットは力ずくであなたのサイトを攻撃します。これはサーバーに大きな負担をかけます。Search Engine Journalからの報告によると、攻撃的なAIクローラーはサイトのパフォーマンスを著しく低下させ、インフラコストを膨らませる可能性があります。
もう一つの大きな問題はコストです。月間50,000ページビューに制限されたウェブフォントライセンスがある場合、攻撃的なボットトラフィックによってその制限を使い果たし、より高い価格帯に強制される可能性があります。同様に、ホスティングコストも急増する可能性があります。
すべてのボットを単純にブロックすることはできません。ユーザーはますますLLMを使用してウェブを検索しており、あなたはそれらに見つけてもらいたいのです。ファイアウォールを設定して「良い」ボットを入れるようにしますが、それらが攻撃的になりすぎた場合は速度を落とし、「悪い」スクレイパーは完全にブロックします。
人的要素
最後に、どれだけのコードでも修正できないセキュリティ層があります:あなたの人々(もしかするとあなた自身も!)の習慣です。世界で最も安全なサーバーを持っていても、マーケティングディレクターが「Password123」を使用していれば、あなたは脆弱です。
よく起こることの一つは、従業員が退職したり、ベンダー契約が終了したりしても、誰もそのアクセス権を削除しないことです。The Hacker Newsの最近の報告によると、企業の半数近くが元従業員に重要なシステムへのアクティブなアクセス権を持たせたままであり、巨大な「内部」セキュリティギャップを生み出しています。問題は常に悪意があることではありません。元従業員がまだあなたのCMSにアクセスできる場合、ハッカーもあなたのCMSにアクセスできます。
私たちの会社では、多要素認証(MFA)を強制しており、クライアントにもCMSとメールワークスペースにはMFAが不可欠であるべきだと伝えています。人が退職したら、すぐにそのアクセス権を取り消してください。繰り返しますが、これはあなたの人々を信頼しないということではありません。ハッカーを信頼しないということです。1PasswordやLastPassなどのエンタープライズパスワードマネージャーを使用して、資格情報を安全に共有してください。これらはすべて、多くの時間、エネルギー、お金を節約できる簡単な変更です。
私たちはインフラを保護するセキュリティと、ユーザーを保護するプライバシーを一緒くたにしがちです。これらは実際には全く異なるものです。訪問者はあなたに彼らのデータを非公開に保つことを信頼しています。しかし、それを行うためには、あなたの家が安全であることを確認する必要があります。セキュリティは、ウェブサイト立ち上げの「設定して忘れる」機能ではありません。それはDNS管理、ボット監視、内部ガバナンスのエコシステムです。だから、安全でいてください!
