Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウド時代のDDoS対策:可用性を守るためのベストプラクティス
Search
coconala_engineer
March 26, 2025
Technology
0
65
クラウド時代のDDoS対策:可用性を守るためのベストプラクティス
3/26(水)開催の「3社に聞く、DDoSから学ぶ攻撃事例とその対応」の登壇資料。
https://rosca.connpass.com/event/345972/
coconala_engineer
March 26, 2025
Tweet
Share
More Decks by coconala_engineer
See All by coconala_engineer
「エンジニアマネージャー」の役割を担っている / 担ってみたい方へのキャリアパスガイド
coconala_engineer
1
240
上場前後で描く、「モダンな情報システム部門」への進化とその取り組み
coconala_engineer
0
60
Qiita Organizationに取り組む前後の技術広報活動と今後の展望
coconala_engineer
0
55
ココナラのセキュリティ組織の体制・役割・今後目指す世界
coconala_engineer
0
270
SIEMによるセキュリティログの可視化と分析を通じた信頼性向上プロセスと実践
coconala_engineer
1
4.2k
WafCharm導入で激変!プロダクトの未来を守るためのTips
coconala_engineer
0
40
多様なロール経験が導いたエンジニアキャリアのナビゲーション
coconala_engineer
1
310
未来を創るエンジニアを採用・育成するための制度とマインドセット
coconala_engineer
0
60
VPoE Meetup Vol.1 VPoEとして実践してきたことと反省点
coconala_engineer
4
370
Other Decks in Technology
See All in Technology
日本MySQLユーザ会ができるまで / making MyNA
tmtms
1
360
3/26 クラウド食堂LT #2 GenU案件を通して学んだ教訓 登壇資料
ymae
1
200
グループポリシー再確認
murachiakira
0
160
Compose MultiplatformにおけるiOSネイティブ実装のベストプラクティス
enomotok
1
210
[CATS]Amazon Bedrock GenUハンズオン座学資料 #2 GenU環境でRAGを体験してみよう
tsukuboshi
0
140
お問い合わせ対応の改善取り組みとその進め方
masartz
1
350
非エンジニアにも伝えるメールセキュリティ / Email security for non-engineers
ykanoh
13
3.9k
移行できそうでやりきれなかった 10年超えのシステムを葬るための戦略
ryu955
2
210
OPENLOGI Company Profile for engineer
hr01
1
22k
20250326_管理ツールの権限管理で改善したこと
sasata299
1
360
ISUCONにPHPで挑み続けてできるようになっ(てき)たこと / phperkaigi2025
blue_goheimochi
0
140
大規模アジャイル開発のリアル!コミュニケーション×進捗管理×高品質
findy_eventslides
0
490
Featured
See All Featured
Being A Developer After 40
akosma
90
590k
Gamification - CAS2011
davidbonilla
81
5.2k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.4k
It's Worth the Effort
3n
184
28k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
How GitHub (no longer) Works
holman
314
140k
Optimizing for Happiness
mojombo
377
70k
Facilitating Awesome Meetings
lara
53
6.3k
Code Review Best Practice
trishagee
67
18k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Done Done
chrislema
183
16k
Transcript
Copyright coconala Inc. All Rights Reserved. クラウド時代の DDoS対策: 可用性を守るためのベストプラクティス 株式会社ココナラ
川崎 雄太 2025/03/26 3社に聞く、DDoSから学ぶ攻撃事 例とその対応
Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太 Yuta
Kawasaki @yuta_k0911 株式会社ココナラ Head of Information / Dev Enabling室 室長 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ 🆕 AWS Community Builders(Security)
Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容
Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 4年で約4倍の組織規模に成長
2020年 2024年 フェーズ 上場前 上場後 エンジニア数 20人強 80人強 リポジトリ数 45 200以上
Copyright coconala Inc. All Rights Reserved. まずは導入として・・・ 2024年の年末はDDoS攻撃による システム障害が多かった ですよね😥
今日はSRE × セキュリティ について お話するので、対策の一助になると 嬉しいです!😁 5
Copyright coconala Inc. All Rights Reserved. 6 Agenda DDoS攻撃ってなに? とある企業で抱えていたDDoS攻撃に対する課題
ココナラで実現したDDoS攻撃対策 今後の取り組み 2 1 3 4
Copyright coconala Inc. All Rights Reserved. DDoS攻撃ってなに? Chapter 01 7
Copyright coconala Inc. All Rights Reserved. DDoS攻撃とは? 8 大量のデータを送りつけて、サービスを妨害する攻撃 たとえば、以下の攻撃がある。
・ボリューム攻撃:NW帯域を圧迫 ・プロトコル攻撃:機器のリソースを圧迫 ・アプリケーション層攻撃:大量アクセス 目的もさまざまで、以下のものが具体的に挙 げられる。 ・競争相手のビジネス妨害 ・政治的・社会的な抗議活動 ・シンプルに嫌がらせ
Copyright coconala Inc. All Rights Reserved. DDoS攻撃のやっかいなところは、 「正常なリクエストで大量アクセス」 がされ るかも知れないところ。
不正なリスエストならいくらでも防ぎようがある が、正常なリクエストだと防御機構をかいく ぐられる可能性が高い。 9
Copyright coconala Inc. All Rights Reserved. とある企業で抱えていた DDoS攻撃に 対する課題 Chapter
02 10
Copyright coconala Inc. All Rights Reserved. セキュリティ対策体制の問題 11 プロダクトセキュリティ専門組織が不在 プロダクトプラット
フォームグループ 情報システム グループ インフラ・ SREチーム (5名) CSIRTチーム (2名) CITチーム (5名) - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化 ※SREチームがセキュリ ティ業務を兼務している企 業は少なくない!
Copyright coconala Inc. All Rights Reserved. リスクアセスメントでも話題に挙がっているが・・・ 12 「外部脅威」に対する対策の弱さを感じていた ※2021年時点の情報
対策度合いを数値で表 し、数値が小さい=優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」の対策が 弱み。
Copyright coconala Inc. All Rights Reserved. 対策が間に合わず、リスクが顕在化した 13 対策は一定していたものの、それをかいくぐられた セキュリティ対策として、WAFやCDNを導入し
ていたものの、DDoS攻撃を想定した設計 ・設定になっていなかった。 結果として、防御機構をかいくぐられ、 サービスがスローダウンしたり、最悪のケース では、サービスがダウンすることが年に数回 発生することもあった。 上場企業は狙われやすいかも…?
Copyright coconala Inc. All Rights Reserved. アセスメント後、急いで対策を進めた ものの、リアクティブなものばかり…😵 攻撃にさらされる機会は増えており、 何かプロアクティブな対策はないか
と真剣に考えました🤔 14
Copyright coconala Inc. All Rights Reserved. ココナラで実現した DDoS攻撃対策 Chapter 03
15
Copyright coconala Inc. All Rights Reserved. ココナラのプロダクトはAWS上で稼働していま すので、これ以降はAWSに特化した内容を 含みます🙇 また、ここでご紹介する対策はココナラで
実現している対策の一部 です。 さまざまなレイヤーで多段防御していますの で、その点ご認識ください🙇 16
Copyright coconala Inc. All Rights Reserved. 取り組み事例その1:「餅は餅屋」なので、相談するところからスタート 17 AWS社との定例 MTGや個別のハンズオンを開催
Copyright coconala Inc. All Rights Reserved. 取り組み事例その2:AWS WAFのさらなる利活用 18 「3段構え」の準備をすることで、防御力を上げる
WafCharmにルールの運 用をしてもらう ことで、工数の 問題を解決。 そこにマネージドルールを 併用することで、AWSの知見 を活かす。 さらにレートベースルール をより厳格に 利用する。(ここ が意外と漏れがち)
Copyright coconala Inc. All Rights Reserved. 取り組み事例その3:SIEM on Amazon OpenSearch
Serviceの利活用 19 セキュリティログ分析で攻撃の芽を早めに検知し、摘む
Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは? 20 システムのコンディション把握と打ち手の創出をすること 分析、検知、監査、監視など目的は様々だ
が、「ある時点のシステムの状態(コン ディション)を把握」し、そこから「対応 が必要な場合の打ち手を創出する」 ことを目的としている。 システムの規模が大きくなればなるほど、ログ の量が膨大となるため、分析の仕組みが 不可欠となる。
Copyright coconala Inc. All Rights Reserved. セキュリティログ分析をする ↓ 攻撃の痕跡・予兆を見つける ↓
プロアクティブな対策を講じる ↓ これって信頼性向上だし、リアクティブを 減らす=生産性向上では!? 💪 21
Copyright coconala Inc. All Rights Reserved. 取り組み事例その4:各種セキュリティモニタリング 22 毎営業日モニタリングを実施し、アクションを創出する 毎営業日17:00時
点の情報で定点確 認(さまざまな観点 でレポートを作成) 問題があれば、 毎 営業日18:00に集 まり、確認・議論 当日〜翌日以降の アクションを決め て、チケット化 ※↑は定常運用なので、異常が発生した場合は アラートを発報し、随時調査しています!
Copyright coconala Inc. All Rights Reserved. 取り組み事例その5:CDNのハイブリッド利活用 23 Akamaiの画像最適化配信機能を積極的に利用
Copyright coconala Inc. All Rights Reserved. 取り組み事例その6:セキュリティ対策推進に向けた経営層の説得 24 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた
めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 > 「セキュリティ対策 費」という構図を経営層に理解 してもらい、体制構築やソリュー ション導入の予算を獲得した。
Copyright coconala Inc. All Rights Reserved. これらの対策+αによって、健全にシステム運用ができるようになった 25 DDoS攻撃の回避はできないが、いなすことはできる 「DDoS攻撃は来るもの」
と 捉えて、あらかじめ対策を講じ ておくことが大事。 防御機構が突破されること も想定して、 ・対応フロー整備 ・障害対応演習 ・マイクロサービス化 などを事前に行うと良い。
Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 05 26
Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 27 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。
一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要
Copyright coconala Inc. All Rights Reserved. サービスの特性を認識したうえで対策を講じる 28 意外と攻撃やお行儀の悪いアクセスは来ている 例えば、◯snbotがとんでもない頻度でアク
セス(おそらくスクレイピング)していて、閾値 に引っかかっていた。 怪しいアクセスは「5xx系」ではなく、 「403」で返せれば止まる(諦める) ことが 大多数! サービスの提供範囲(たとえば、国・地 域)を元にドラスティックに対策するのもあ り。
Copyright coconala Inc. All Rights Reserved. 攻撃への対策は多段で行っておくこと と、万が一の事態に備えておくことが とても大事です!😁 "Could
layered defense and contingency planning be the silver bullet?" 29
Fin