クラウド時代のDDoS対策：可用性を守るためのベストプラクティス

Transcript

1. Copyright coconala Inc. All Rights Reserved. クラウド時代の DDoS対策： 可用性を守るためのベストプラクティス 株式会社ココナラ

   川崎 雄太 2025/03/26 3社に聞く、DDoSから学ぶ攻撃事 例とその対応

2. Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太　Yuta

   Kawasaki @yuta_k0911 株式会社ココナラ Head of Information / Dev Enabling室 室長 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ 🆕 AWS Community Builders（Security）

3. Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

4. Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 4年で約4倍の組織規模に成長

   2020年 2024年 フェーズ 上場前 上場後 エンジニア数 20人強 80人強 リポジトリ数 45 200以上

5. Copyright coconala Inc. All Rights Reserved. まずは導入として・・・ 2024年の年末はDDoS攻撃による システム障害が多かった ですよね😥

   今日はSRE × セキュリティ について お話するので、対策の一助になると 嬉しいです！😁 5

6. Copyright coconala Inc. All Rights Reserved. 6 Agenda DDoS攻撃ってなに？ とある企業で抱えていたDDoS攻撃に対する課題

   ココナラで実現したDDoS攻撃対策 今後の取り組み 2 1 3 4

7. Copyright coconala Inc. All Rights Reserved. DDoS攻撃ってなに？ Chapter 01 7

8. Copyright coconala Inc. All Rights Reserved. DDoS攻撃とは？ 8 大量のデータを送りつけて、サービスを妨害する攻撃 たとえば、以下の攻撃がある。

   ・ボリューム攻撃：NW帯域を圧迫 ・プロトコル攻撃：機器のリソースを圧迫 ・アプリケーション層攻撃：大量アクセス 目的もさまざまで、以下のものが具体的に挙 げられる。 ・競争相手のビジネス妨害 ・政治的・社会的な抗議活動 ・シンプルに嫌がらせ

9. Copyright coconala Inc. All Rights Reserved. DDoS攻撃のやっかいなところは、 「正常なリクエストで大量アクセス」 がされ るかも知れないところ。

   不正なリスエストならいくらでも防ぎようがある が、正常なリクエストだと防御機構をかいく ぐられる可能性が高い。 9

10. Copyright coconala Inc. All Rights Reserved. とある企業で抱えていた DDoS攻撃に 対する課題 Chapter

    02 10

11. Copyright coconala Inc. All Rights Reserved. セキュリティ対策体制の問題 11 プロダクトセキュリティ専門組織が不在 　プロダクトプラット

    フォームグループ 情報システム グループ インフラ・ SREチーム （5名） CSIRTチーム （2名） CITチーム （5名） - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化 ※SREチームがセキュリ ティ業務を兼務している企 業は少なくない！

12. Copyright coconala Inc. All Rights Reserved. リスクアセスメントでも話題に挙がっているが・・・ 12 「外部脅威」に対する対策の弱さを感じていた ※2021年時点の情報

    対策度合いを数値で表 し、数値が小さい＝優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」の対策が 弱み。

13. Copyright coconala Inc. All Rights Reserved. 対策が間に合わず、リスクが顕在化した 13 対策は一定していたものの、それをかいくぐられた セキュリティ対策として、WAFやCDNを導入し

    ていたものの、DDoS攻撃を想定した設計 ・設定になっていなかった。 結果として、防御機構をかいくぐられ、 サービスがスローダウンしたり、最悪のケース では、サービスがダウンすることが年に数回 発生することもあった。 上場企業は狙われやすいかも…？

14. Copyright coconala Inc. All Rights Reserved. アセスメント後、急いで対策を進めた ものの、リアクティブなものばかり…😵 攻撃にさらされる機会は増えており、 何かプロアクティブな対策はないか

    と真剣に考えました🤔 14

15. Copyright coconala Inc. All Rights Reserved. ココナラで実現した DDoS攻撃対策 Chapter 03

    15

16. Copyright coconala Inc. All Rights Reserved. ココナラのプロダクトはAWS上で稼働していま すので、これ以降はAWSに特化した内容を 含みます🙇 また、ここでご紹介する対策はココナラで

    実現している対策の一部 です。 さまざまなレイヤーで多段防御していますの で、その点ご認識ください🙇 16

17. Copyright coconala Inc. All Rights Reserved. 取り組み事例その1：「餅は餅屋」なので、相談するところからスタート 17 AWS社との定例 MTGや個別のハンズオンを開催

18. Copyright coconala Inc. All Rights Reserved. 取り組み事例その2：AWS WAFのさらなる利活用 18 「3段構え」の準備をすることで、防御力を上げる

    WafCharmにルールの運 用をしてもらう ことで、工数の 問題を解決。 そこにマネージドルールを 併用することで、AWSの知見 を活かす。 さらにレートベースルール をより厳格に 利用する。（ここ が意外と漏れがち）

19. Copyright coconala Inc. All Rights Reserved. 取り組み事例その3：SIEM on Amazon OpenSearch

    Serviceの利活用 19 セキュリティログ分析で攻撃の芽を早めに検知し、摘む

20. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは？ 20 システムのコンディション把握と打ち手の創出をすること 分析、検知、監査、監視など目的は様々だ

    が、「ある時点のシステムの状態（コン ディション）を把握」し、そこから「対応 が必要な場合の打ち手を創出する」 ことを目的としている。 システムの規模が大きくなればなるほど、ログ の量が膨大となるため、分析の仕組みが 不可欠となる。

21. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析をする ↓ 攻撃の痕跡・予兆を見つける ↓

    プロアクティブな対策を講じる ↓ これって信頼性向上だし、リアクティブを 減らす＝生産性向上では！？ 💪 21

22. Copyright coconala Inc. All Rights Reserved. 取り組み事例その4：各種セキュリティモニタリング 22 毎営業日モニタリングを実施し、アクションを創出する 毎営業日17:00時

    点の情報で定点確 認（さまざまな観点 でレポートを作成） 問題があれば、 毎 営業日18:00に集 まり、確認・議論 当日〜翌日以降の アクションを決め て、チケット化 ※↑は定常運用なので、異常が発生した場合は 　アラートを発報し、随時調査しています！

23. Copyright coconala Inc. All Rights Reserved. 取り組み事例その5：CDNのハイブリッド利活用 23 Akamaiの画像最適化配信機能を積極的に利用

24. Copyright coconala Inc. All Rights Reserved. 取り組み事例その6：セキュリティ対策推進に向けた経営層の説得 24 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた

    めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 ＞ 「セキュリティ対策 費」という構図を経営層に理解 してもらい、体制構築やソリュー ション導入の予算を獲得した。

25. Copyright coconala Inc. All Rights Reserved. これらの対策＋αによって、健全にシステム運用ができるようになった 25 DDoS攻撃の回避はできないが、いなすことはできる 「DDoS攻撃は来るもの」

    と 捉えて、あらかじめ対策を講じ ておくことが大事。 防御機構が突破されること も想定して、 ・対応フロー整備 ・障害対応演習 ・マイクロサービス化 などを事前に行うと良い。

26. Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 05 26

27. Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 27 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。

    一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要

28. Copyright coconala Inc. All Rights Reserved. サービスの特性を認識したうえで対策を講じる 28 意外と攻撃やお行儀の悪いアクセスは来ている 例えば、◯snbotがとんでもない頻度でアク

    セス（おそらくスクレイピング）していて、閾値 に引っかかっていた。 怪しいアクセスは「5xx系」ではなく、 「403」で返せれば止まる（諦める） ことが 大多数！ サービスの提供範囲（たとえば、国・地 域）を元にドラスティックに対策するのもあ り。

29. Copyright coconala Inc. All Rights Reserved. 攻撃への対策は多段で行っておくこと と、万が一の事態に備えておくことが とても大事です！😁 "Could

    layered defense and contingency planning be the silver bullet?" 29

30. Fin