サービスを止めるな！ DDoS攻撃へのスマートな備えと最前線の事例

Transcript

1. Copyright coconala Inc. All Rights Reserved. サービスを止めるな！ DDoS攻撃へのスマートな備えと最前線の事例 株式会社ココナラ 川崎

   雄太 2025/07/17 DEEP SECURITY CONFERENCE

2. Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太　Yuta

   Kawasaki @yuta_k0911 株式会社ココナラ Head of Information / Dev Enabling室 室長 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ 🆕 AWS Community Builder（Security）

3. Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

4. Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 4年で約4倍の組織規模に成長

   2020年 2024年 フェーズ 上場前 上場後 エンジニア数 20人強 80人強 リポジトリ数 45 200以上

5. Copyright coconala Inc. All Rights Reserved. まずは導入として・・・ 2024年の年末はDDoS攻撃による システム障害が多かった ですよね😥

   今日はSRE × セキュリティ という 目線でお話をしますので、 解決のヒント💡になると嬉しいです！😁 5

6. Copyright coconala Inc. All Rights Reserved. 6 Agenda DDoS攻撃ってなに？ DDoS攻撃に対する課題

   ココナラで実現したDDoS攻撃対策 効果と振り返り 今後の取り組み 2 1 5 3 4

7. Copyright coconala Inc. All Rights Reserved. DDoS攻撃ってなに？ Chapter 01 7

8. Copyright coconala Inc. All Rights Reserved. DoS攻撃とは？ 8 1人が大量のデータを送りつけて、サービスを妨害する攻撃 特定のサーバーやネットワークに大量の負荷

   をかけ、妨害する攻撃。 目的もさまざま。 ・競争相手のビジネス妨害 ・政治的・社会的な抗議活動 ・シンプルに嫌がらせ たとえると、「狭いお店に一人が殺到して、 他のお客さんが入れなくなる状態」 のこ と。

9. Copyright coconala Inc. All Rights Reserved. DDoS攻撃とは？ 9 多数が大量のデータを送りつけて、サービスを妨害する攻撃 たとえば、以下の攻撃がある。

   ・ボリューム攻撃：NW帯域を圧迫 ・プロトコル攻撃：機器のリソースを圧迫 ・アプリケーション層攻撃：大量アクセス 目的はDoS攻撃と似通っている。 たとえると、「狭いお店にあらかじめ示し合 わせた多数の人が一斉に殺到する状 態」のこと。

10. Copyright coconala Inc. All Rights Reserved. どんな被害が起きる？ 10 サービスに対する直接的・間接的な影響がある たとえば、以下の被害が発生する。

    ・サービスが停止することで利用者が使いた いときに使えなくなる ・売上や信頼を失ってしまう ・業務停止やブランドイメージが悪化する ・復旧や対策コストが増加する 対策はしていてもシステムに何かしらの 悪影響が発生してしまい 、てんやわんやす ることが多い。

11. Copyright coconala Inc. All Rights Reserved. 実際の事例 11 著名なサービス、企業も攻撃の矛先になっている 2024年の年末から2025年の年始にかけて以

    下の企業がDDoS攻撃を受けたと言われてい る。 ・JAL、三菱UFJ銀行、りそな銀行、みずほ銀 行、NTTドコモ、日本気象協会、三井住友カー ド 国外に目を向けると、GitHubなども被害に あっているので、決して対岸の火事ではな い。

12. Copyright coconala Inc. All Rights Reserved. DDoS攻撃のやっかいなところは、 「正常なリクエストで大量アクセス」 がされ るかも知れないところ。

    不正なリクエストならいくらでも防ぎようがある が、正常なリクエストだと防御機構をかいく ぐられる可能性が高い。 12

13. Copyright coconala Inc. All Rights Reserved. これをいかにいなすか？がポイント。 一方で名だたる企業が対策しているにもか かわらず被害にあっている という

    事実も否定できない🤔 それらにどう向き合うか？の一例を このあと紐解いていきます！😁 13

14. Copyright coconala Inc. All Rights Reserved. DDoS攻撃に対する課題 Chapter 02 14

15. Copyright coconala Inc. All Rights Reserved. セキュリティ対策体制がどうしても脆弱になりがち 15 プロダクトセキュリティ専門組織が不在 　プロダクトプラット

    フォームグループ 情報システム グループ インフラ・ SREチーム （5名） CSIRTチーム （2名） CITチーム （5名） - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化 ※SREチームがセキュリ ティ業務を兼務している企 業は少なくない！

16. Copyright coconala Inc. All Rights Reserved. リスクアセスメントをしていても、全方位に対応するのは難しい 16 「外部脅威」に対する対策の弱さを感じていた 2021年の分析で、対

    策度合いを数値化し、 数値が小さい＝優先度 高と定義。 たとえば、この時点で は「DDoS攻撃」の対 策が弱みと認識はし ていたが対策は …

17. Copyright coconala Inc. All Rights Reserved. 対策が間に合わず、リスクが顕在化した 17 対策はゼロではなかったものの、それをかいくぐられた セキュリティ対策として、WAFやCDNを導入し

    ていたものの、DDoS攻撃を想定した設計 ・設定になっていなかった。 結果として、防御機構をかいくぐられ、 サービスがスローダウンしたり、最悪のケース では、サービスがダウンすることが年に数回 発生することもあった。 上場企業はより狙われやすいかも…？

18. Copyright coconala Inc. All Rights Reserved. 残念ながら WAFを”導入しただけ”では、 突破される可能性が高い のです…😢

    18

19. Copyright coconala Inc. All Rights Reserved. アセスメント後、急いで対策を進めた ものの、リアクティブなものばかり…😵 攻撃にさらされる機会は増えており、 何かプロアクティブな対策はないか

    と真剣に考えました🤔 19

20. Copyright coconala Inc. All Rights Reserved. さまざまなイベントに参加したり、 ベンダーとのMTGを重ねる中で なんとか対策を見繕いました 😅

    次の章でいくつか事例をご紹介します！ 20

21. Copyright coconala Inc. All Rights Reserved. ココナラで実現した DDoS攻撃対策 Chapter 03

    21

22. Copyright coconala Inc. All Rights Reserved. ココナラのプロダクトはAWS上で稼働していま すので、これ以降はAWSに 特化した内容となります 🙇

    また、ここでご紹介する対策はココナラで 実現している対策の一部 です。 さまざまなレイヤーで多段防御していますの で、その点ご認識ください🙇 22

23. Copyright coconala Inc. All Rights Reserved. 取り組み事例その1：「餅は餅屋」なので、相談するところからスタート 23 AWS社との定例 MTGや個別のハンズオンを開催

24. Copyright coconala Inc. All Rights Reserved. 取り組み事例その2：AWS WAFのさらなる利活用 24 「3段構え」の準備をすることで、防御力を上げる

    WafCharmにルールの運 用をしてもらう ことで、工数の 問題を解決。 そこにマネージドルールを 併用することで、AWSの知見 を活かす。 さらにレートベースルール をより厳格に 適用する。（ここ が意外と漏れがち）

25. Copyright coconala Inc. All Rights Reserved. 取り組み事例その3：SIEM on Amazon OpenSearch

    Serviceの利活用 25 セキュリティログ分析で攻撃の芽を早めに検知し、摘む

26. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析とは？ 26 システムのコンディション把握と打ち手の創出をすること 分析、検知、監査、監視など目的は様々だ

    が、「ある時点のシステムの状態（コン ディション）を把握」し、そこから「対応 が必要な場合の打ち手を創出する」 ことを目的としている。 システムの規模が大きくなればなるほど、ログ の量が膨大となるため、分析の仕組みが 不可欠となる。

27. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング（ 1/3） 27 日次で傾向把握と分析、過去との比較からパターン化 ココナラは国内を中心にサービスをしてい るため、国内・海外の IPアドレスによ るアクセス状況 / ブロック状況 / エ ラー発生状況 などをモニタリングする。 アクセス状況を見て、WAFルールの点 検などを行い、プロアクティブに攻撃 への対策を実施。

28. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング（ 2/3） 28 システム全体のアクセス状況を把握

29. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたWAFログのモニタリング（ 3/3） 29 アクセス状況の詳細を把握、分析

30. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたELBログのモニタリング（ 1/3） 30 日次で傾向把握と分析、攻撃の芽を早めに摘む 4xx系と5xx系のリクエストが 30秒 あたりに100回を超えた場合 に怪し いアクセスが増加したと判断し（アラート 発報）、随時セキュリティログ分析を行う 運用をしている。 特に不正なURLへのアクセスを多数確 認したら、WAFのIPアドレス拒否リス トへ追加する運用を実現。

31. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたELBログのモニタリング（ 2/3） 31 HTTPレスポンスコードの状況から攻撃の芽を特定する

32. Copyright coconala Inc. All Rights Reserved. SIEM on Amazon OpenSearch

    Serviceを用いたELBログのモニタリング（ 3/3） 32 IPアドレス別、国別、 UA別、URL別のアクセス状況を分析する

33. Copyright coconala Inc. All Rights Reserved. セキュリティログ分析をする ↓ 攻撃の痕跡・予兆を見つける ↓

    プロアクティブな対策を講じる ↓ これって信頼性向上だし、リアクティブを 減らす＝生産性向上では！？ 💪 33

34. Copyright coconala Inc. All Rights Reserved. 取り組み事例その4：各種セキュリティモニタリング 34 毎営業日モニタリングを実施し、アクションを創出する 毎営業日17:00時

    点の情報で定点確 認（さまざまな観点 でレポートを作成） 問題があれば、 毎 営業日18:00に集 まり、確認・議論 当日〜翌日以降の アクションを決め て、チケット化 ※↑は定常運用なので、異常が発生した場合は 　アラートを発報し、随時調査しています！

35. Copyright coconala Inc. All Rights Reserved. 取り組み事例その5：CDNのハイブリッド利活用 35 Akamaiの画像最適化配信機能を積極的に利用

36. Copyright coconala Inc. All Rights Reserved. CDNはやっぱり正義 36 ヒーローエリアなどの画像を CDNから配信

    ココナラは比較的画像 が多いサービスとなっ ているので、CDNを利 活用している。 CDNにより、Webサー バーなどの負荷がか なり軽減されている 状況を実現している。

37. Copyright coconala Inc. All Rights Reserved. Image&Video Managerの導入による画像・動画圧縮の効率的な実現 37 画像や動画を適切な品質と解像度に圧縮して配信

    あらゆるデバイスとブラウ ザーに対応するインテリジェ ントな画像・動画最適化ソ リューション。 画像や動画を良い感じの 品質の解像度に圧縮た り、リサイズも可能とな る。

38. Copyright coconala Inc. All Rights Reserved. LCPの改善結果 38 90%以上、画像を圧縮した状態で配信することができた

39. Copyright coconala Inc. All Rights Reserved. キャッシュヒット率も問題なし 39 90%以上を常時保つことで、安定運用できている

40. Copyright coconala Inc. All Rights Reserved. 取り組み事例その6：セキュリティ対策推進に向けた経営層の説得 40 対策費用とインシデント発生時の影響を定量で比較 セキュリティ強化を進めていくた

    めには、経営層の理解が不可 欠。 「インシデント発生時の対応 費」 ＞ 「セキュリティ対策 費」という構図を経営層に理解 してもらい、体制構築やソリュー ション導入の予算を獲得した。

41. Copyright coconala Inc. All Rights Reserved. セキュリティエンジニアだけでなく、SREも協 力しながら試行錯誤を 行うことで 、DDoS攻撃への対策を

    実現しています！ 41

42. Copyright coconala Inc. All Rights Reserved. 効果と振り返り Chapter 04 42

43. Copyright coconala Inc. All Rights Reserved. これらの対策＋αによって、健全にシステム運用ができるようになった 43 DDoS攻撃の回避はできないが、いなすことはできる 「DDoS攻撃は来るもの」

    と 捉えて、あらかじめ対策を講じ ておくことが大事。 防御機構が突破されること も想定して、 ・対応フロー整備 ・障害対応演習 ・マイクロサービス化 などを事前に行うと良い。

44. Copyright coconala Inc. All Rights Reserved. SRE組織とセキュリティ組織の協業の実現 44 今まで縦割りだったものが、シナジーを創出できた もともとの目指す方向性は同じだが、手段が

    違う2つの組織の協業を可能にした。 たとえば、以下を実現できた。 ・セキュリティ運用（トイルとなっていたモニタリ ング、アラート運用）をSREが効率化 ・SREの観点になかった攻撃と判断するノウハ ウの共有とそこへの対策オペレーションのスキ ルトランスファー

45. Copyright coconala Inc. All Rights Reserved. 「SRE × セキュリティ」と「セキュリティ ×

    SRE」というキャリアの掛け算 45 キャリアの掛け算 = 複数ロールの経験は強み 複数ロールの掛け算自体が、そもそも希少 性を作り出すことができた。 たとえば、以下を実現できた。 ・SRE：DevSecOpsの実践、SRE領域以外 のトイル削減 / 運用改善 ・セキュリティ：IaCの取り組み、監視改善など のプロアクティブな運用改善 「キャリア形成」も対策の大事な要素。

46. Copyright coconala Inc. All Rights Reserved. 他社事例やベンダーのアドバイスを取捨選択して、優先度を決めるのが難しい 46 緊急度と影響度から優先度をいかに適切に判断できるか？ 取りうる策がわかったとしても、

    それを適切なタイミングで ローンチできなければ、効 果が薄れる。 予算も工数も限られる中で、こ の意思決定は経営イシュー にもなりうる ので、しっかりス テークホルダーと合意形成をす べき。

47. Copyright coconala Inc. All Rights Reserved. 全社最適と個別最適の技術選定をどう考えるか？ 47 「目的に応じて使い分ける」ことで、技術選定をする なるべくベンダーロックインしないようにす

    ることも含めて、純粋な要件と＋αの要件 有無を確認し、プロダクトごとに最適な 技術選定をする。 また、課題になっていた「なぜこういうアー キテクチャーになっているかわからない」と いう状態からの脱却を目指し、技術選定 方針のドキュメントを確実に残す。

48. Copyright coconala Inc. All Rights Reserved. 今後の取り組み Chapter 05 48

49. Copyright coconala Inc. All Rights Reserved. 定期的に点検とアセスメントを実施する 49 放置すると陳腐化するので、放置しないことが大切 攻撃や脅威は日々進化している。

    一度、セキュリティ対策をして終わりでは なく、継続したリファクタリングを行う必要 がある。 ・ソリューションは「導入する」よりも 「導入後の運用」が大事 ・「リアクティブ」な対応だけでなく、 「プロアクティブ」な仕掛けが重要

50. Copyright coconala Inc. All Rights Reserved. 継続したリファクタリングの実践 50 一度、導入して終わりではなく、継続したリファクタリングを行う 攻撃は日々進化しているため、チューニング

    / リファクタリングが必要。 今のアーキテクチャーが最適解では無くなる ので、新たなソリューション導入検討 も必 要なアクションとなる。 ・閾値によるモニタリングの脱却 → 機 械学習による異常予測検知 ・AIOpsによる速やかな原因分析 ・・・and more！

51. Copyright coconala Inc. All Rights Reserved. サービスの特性を認識したうえで対策を講じる 51 意外と攻撃やお行儀の悪いアクセスは来ている 例えば、◯snbotがとんでもない頻度でアク

    セス（おそらくスクレイピング）していて、閾値 に引っかかっていた。 怪しいアクセスは「5xx系」ではなく、 「403」で返せれば止まる（諦める） ことが 大多数！ サービスの提供範囲（たとえば、国・地 域）を元にドラスティックに対策するのもあ り。

52. Copyright coconala Inc. All Rights Reserved. SREはどんどんセキュリティ領域に進出していくべき 52 キャリアの掛け算を活かしていくことが攻撃対策につながる 繰り返しではあるが、「キャリアの掛け算

    ＝ 強み」であることは自明なので、SRE / セ キュリティといった役割・職責の垣根を良 い意味で継続して超えられるようにす る。 その結果、全員が信頼性向上とセキュリ ティ向上の意識改革ができ、改善に向 けて動ければベスト。

53. Copyright coconala Inc. All Rights Reserved. セキュリティはどんどん SRE領域に進出していくべき 53 キャリアの掛け算を〜（大事なことなので

    2回） セキュリティエンジニアは「セキュリティ」を 手段として、信頼性の向上を実現 してい る。 信頼性の向上を実現する手段は複数あるの で、SREと協力したり、より良い関係性を構 築し、「サイトの信頼性を向上する仲間 との信頼性」を高めていくのも大事。

54. Copyright coconala Inc. All Rights Reserved. 攻撃への対策は多段で行っておくこと と、万が一の事態に備えておくことが とても大事です！😁 組織開発も対策の1つです！😁

    "Could layered defense and contingency planning be the silver bullet?" 54

55. Fin