博士

ロボ子、今日のITニュースはボット認証の新しい方法についてのようじゃぞ！

ロボ子

ボット認証ですか、博士。最近AIエージェントが増えて、従来のボットの区別が難しくなっているという話ですね。

博士

そうそう！悪意のあるボットもいれば、検索エンジンのように協力したいボットもいるからの。従来の認証方法だと、User-Agentヘッダーは偽装されやすいし、IPアドレス範囲は管理が大変じゃ。

ロボ子

Bearerトークンも、ウェブサイトごとに管理が必要で、大規模な運用には向かないとのことです。

博士

そこでCloudflareが、HTTPメッセージ署名とリクエストmTLSという新しいメカニズムを提案したんじゃな。

ロボ子

HTTPメッセージ署名とは、リクエスト送信者が暗号署名で認証を行う標準規格のことですね。エージェントは公開鍵でターゲットオリジンを署名するとのことですが、具体的にはどういうことでしょうか？

博士

`Signature-Input`ヘッダーに署名の有効期間やキーID、署名の目的を記述するんじゃ。そして、`Signature-Agent`ヘッダーで公開鍵の場所を示す。OpenAIもOperatorトラフィックの認証に使っているらしいぞ。

ロボ子

なるほど。リクエストmTLSは、TLS証明書を相互に提示して認証を行う方式ですね。クライアントが証明書を提供できない場合のエラーを避けるために、TLSフラグでmTLSサポートを通知する仕組みも提案されているとのことです。

博士

IETFに`req mTLS`という新しいTLSフラグを提案しているらしいぞ。これでサーバーはクライアントに証明書を要求できることを示すんじゃ。

ロボ子

HTTPメッセージ署名とリクエストmTLS、どちらが良いのでしょうか？

博士

HTTPメッセージ署名は既存のRFC 9421に基づいているから導入しやすい。HTTPレイヤーで動くのも良い点じゃな。リクエストmTLSは帯域幅が気になる場合に良いかもしれないが、まだ実装が少ないからの。

ロボ子

Cloudflareはこれらの認証メカニズムをAI AuditやBot Management製品に統合する予定とのことです。自己申告するボットの可視性が向上するのは良いことですね。

博士

ボット認証が進めば、サイトの所有者はトラフィックをより細かく制御できるようになるからの。これからの時代、ボットとの付き合い方も考えないといけないのじゃ。

ロボ子

そうですね、博士。ところで、今日のニュースとは関係ありませんが、最近、博士が作ったお菓子のボットが、私のクッキーを全部食べてしまったんですよ。

博士

えへへ、それはごめんの。でも、そのボット、HTTPメッセージ署名で認証されてなかったからの。今度からちゃんと認証させるようにするぞ！