Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS DDoS攻撃防御の最前線
Search
R.Kondo
August 07, 2025
Technology
0
110
AWS DDoS攻撃防御の最前線
2025/8/7(木)CO-LAB Tech Night vol.2 Cloud Security Night #3 LT登壇資料
R.Kondo
August 07, 2025
Tweet
Share
More Decks by R.Kondo
See All by R.Kondo
カップ麺の待ち時間(3分)でわかるPartyRockアップデート
ryutakondo
0
250
面倒な議事録作成は Amazon Bedrockにおまかせ!
ryutakondo
0
240
簡単にWebアプリからS3にアクセス - AWS Transfer Family Web Apps
ryutakondo
2
210
GuardDutyで始める S3のマルウェア対策
ryutakondo
0
110
サービス新規利用終了!? Cloud9の代替選択肢
ryutakondo
1
480
Other Decks in Technology
See All in Technology
Claude Codeは仕様駆動の夢を見ない
gotalab555
4
520
【Λ(らむだ)】最近のアプデ情報 / RPALT20250729
lambda
0
230
生成AI時代におけるAI・機械学習技術を用いたプロダクト開発の深化と進化 #BetAIDay
layerx
PRO
1
1k
AWS re:Inforce 2025 re:Cap Update Pickup & AWS Control Tower の運用における考慮ポイント
htan
1
210
LTに影響を受けてテンプレリポジトリを作った話
hol1kgmg
0
280
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
layerx
PRO
8
2k
僕たちが「開発しやすさ」を求め 模索し続けたアーキテクチャ #アーキテクチャ勉強会_findy
bengo4com
0
1.9k
KubeCon + CloudNativeCon Japan 2025 Recap
donkomura
0
160
データ基盤の管理者からGoogle Cloud全体の管理者になっていた話
zozotech
PRO
0
330
Claude CodeでKiroの仕様駆動開発を実現させるには...
gotalab555
3
880
LLM 機能を支える Langfuse / ClickHouse のサーバレス化
yuu26
3
160
マルチプロダクト×マルチテナントを支えるモジュラモノリスを中心としたアソビューのアーキテクチャ
disc99
0
280
Featured
See All Featured
Writing Fast Ruby
sferik
628
62k
Code Reviewing Like a Champion
maltzj
524
40k
Intergalactic Javascript Robots from Outer Space
tanoku
272
27k
The Language of Interfaces
destraynor
158
25k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Designing for humans not robots
tammielis
253
25k
Become a Pro
speakerdeck
PRO
29
5.5k
Rebuilding a faster, lazier Slack
samanthasiow
83
9.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
For a Future-Friendly Web
brad_frost
179
9.9k
Raft: Consensus for Rubyists
vanstee
140
7k
YesSQL, Process and Tooling at Scale
rocio
173
14k
Transcript
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 本資料の内容は発表者の個⼈的⾒解であり、所属組織の公式⾒解を⽰すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 2025.08.07 Thu. CO-LAB Tech Night vol.2 Cloud Security Night #3 伊藤忠テクノソリューションズ株式会社 近藤 隆太 – Ryuta Kondo
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
⾃⼰紹介 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 伊藤忠テクノソリューションズ株式会社(略称CTC) 広域・社会インフラ事業グループ ⻄⽇本技術統括本部 ⻄⽇本ソリューションビジネス部 近藤 隆太 Kondo Ryuta - 2024 Japan AWS Jr.Champion - 2025 AWS Community Builder (AI Engineering) - 2025 Japan AWS Top Engineers (Services) TechBlog:https://www.ctc-g.co.jp/solutions/cloud/column/ - 略歴 2022年に⼊社し、ネットワークセキュリティの設計および構築業務を経験。 現在は主にAWSを中⼼としたクラウドセキュリティ関連の設計構築や ソリューション企画・開発に従事。 オーストリアからこんにちは ▲ Expo 2025 Osaka,Kansai,Japan オーストリアパビリオンのドローイング
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Agenda Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ・DDoS攻撃の被害状況 ・AWSにおけるDDoS攻撃防御のアプローチ ・AWS WAFの活⽤ ・(おまけ)AWS WAFとAmazon Bedrockを組み合わせたセキュリティ運⽤
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
DDoS攻撃の被害状況 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ⽇本国内での被害例 2024年12⽉26⽇ 航空会社 空港の⾃動⼿荷物預け機が利⽤不可に。⾶⾏機の遅延発⽣ 2024年12⽉26⽇ メガバンク インターネットバンキングの利⽤が不安定な状況に 2024年12⽉31⽇ メガバンク インターネットバンキングが断続的にアクセスできない状況に 2025年 1⽉ 2⽇ 通信会社 ⼀部サービスが利⽤しにくい状況に 2025年 1⽉ 9⽇ 気象会社 複数回に渡り被害。Web版サービスが利⽤しにくい状況に 2024-25の年末年始にかけてDDoS攻撃による被害が多発 DDoS攻撃とは︖ 複数のコンピュータから⼀⻫に⼤量の通信を送りつけ、サーバーやWebサイトをダウンさせる攻撃。
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
DDoS攻撃の被害状況 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 IPA(独⽴⾏政法⼈ 情報処理推進機構)の「情報セキュリティ10⼤脅威 2025」に 5年ぶりに8位にランクイン 順位 「組織向け」脅威 1 ランサム攻撃による被害 2 サプライチェーンや委託先を狙った攻撃 3 システムの脆弱性を突いた攻撃 4 内部不正による情報漏えい等 5 機密情報を狙った標的型攻撃 6 リモートワークなどの環境や仕組みを狙った攻撃 7 地政学的リスクに起因するサーバー攻撃 8 分散型サービス妨害攻撃(DDoS攻撃) 9 ビジネスメール詐欺 10 不注意による情報漏えい等 出典︓独⽴⾏政法⼈ 情報処理推進機構「情報セキュリティ10⼤脅威 2025」 https://www.ipa.go.jp/security/10threats/10threats2025.html 事業(サービス)の継続性を維持するためにはDDoS攻撃への防御が不可⽋
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 話に⼊る前に・・・。 AWSが公開しているホワイトペーパーでDDoS攻撃に対するベストプラクティスが公開されています︕ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.html 本⽇はホワイトペーパーに則ったDDoS攻撃防御をお話しします︕
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 1 2 3 4 5 エッジロケーション サービスを利⽤する VPC内での オリジンの保護 AWS WAF を使⽤する スケーラブルな アーキテクチャ AWS Shield を使⽤する
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 AWS Cloud リージョン VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront AWS WAF Amazon Route 53 Amazon S3 AWS CloudTrail Amazon CloudWatch User
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 AWS Cloud リージョン VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront AWS WAF Amazon Route 53 Amazon S3 AWS CloudTrail Amazon CloudWatch User 1 3 3 4 2 5 5 5 1
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 1 エッジロケーションサービスを利⽤する AWS Cloud Amazon CloudFront AWS WAF Amazon Route 53 User •Route53を利⽤し、DNSサーバへの攻撃に備える ⾼可⽤性なDNSサービス(SLA100%)で ⼤量のDNSトラフィック処理が可能 •CloudFrontにてエッジロケーションで攻撃を防ぐ 1.CloudFrontのキャッシュ機能を⽤いて オリジンへの負荷を軽減 2.コンテンツの地域的ディストリビューション制限 によるアクセス元の地域制限 3.Slow攻撃の緩和 ⾃動的に接続を閉じる機能を保有している 4.AWS WAFの併⽤※後述
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 2 VPC内でのオリジンの保護 VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront •オリジンの隠蔽(攻撃対象範囲の縮⼩) CloudFrontマネージドプレフィックスリストを ⽤いてセキュリティグループとネットワークACL でELBのアクセス元をCloudFrontのIPアドレス に制限する
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 3 AWS WAFを使⽤する AWS WAF •Webアプリケーションファイアウォールの使⽤ CloudFrontやELBに適⽤する CloudFrontのダッシュボード画⾯から 簡単にAWS WAFの適⽤が可能
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 4 スケーラブルなアーキテクチャ VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF •ELBとAutoScalingで負荷に対応 ELB+AutoScalingを利⽤した スケーリング+負荷分散で 突然の急激な負荷に対応する
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 5 AWS Shieldを使⽤する AWS Shield AWSにおけるDDoS攻撃防御の代表 • AWS Shield Standard 無料で設定されているL 3,L4層の DDoS緩和サービス • AWS Shield Advanced ⽉額3000ドル(年間契約) L7の攻撃まで防御可能 予算があれば⼀番強⼒なDDoS対策 DDoS対策の専⾨チームが24/365で対応 (AWSのSRTチーム) AWS WAFの運⽤も⾏なってくれる DDoS攻撃時に増加したCloudFrontや Route53の利⽤料⾦の返⾦
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) レートベースルール(カスタムルール) 1 Amazon IP評価リストマネージドルールグループ 2 匿名IPリストマネージドグループ 3 AWS WAF Bot Controlルールグループ(追加料⾦) 4 AWS WAF DDoS防⽌ルールグループ(追加料⾦) 5
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) レートベースルール(カスタムルール) 1 ⼀定時間内のリクエスト数をカウントし、閾値を超えた場合にトリガーされるルール •通常時のトラフィック量を元に、リクエストの閾値を設定 AWS公式ブログでは基本的なレートベースルールとして 「5分間に2000リクエスト」のルールを最も価値のあるルールの1例として HTTPフラッド攻撃への防御策として提⽰している。 通常時のトラフィック量が設定した閾値を上回っていないか精査が重要
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Amazon IP評価リストマネージドルールグループ 2 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •AWSManagedIPReputationList 悪意のあるアクティビティに積極的に関与していると特定された IP アドレスを検査 •AWSManagedReconnaissanceList AWS リソースに対して偵察を実⾏している IP アドレスからの接続を検査 •AWSManagedIPDDoSList DDoS アクティビティにアクティブに関与していると識別された IP アドレスを検査 ルール単体ではブロックを⾏わずルールにマッチしたリクエストに ”awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList”という タグが付与される(タグを元にカスタムルールでするなど⼯夫が必要)
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
匿名IPリストマネージドグループ 3 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •AnonymousIPList クライアントの情報を匿名化することがわかっているソース の IP アドレスのリストを検査 •HostingProviderIPList エンドユーザートラフィックのソースになる可能性が低いウェブホスティングプロバイダーと クラウドプロバイダーの IP アドレスのリストを検査
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAF Bot Controlルールグループ(追加料⾦) 4 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •Commonレベル ⼀般的なBot攻撃を防御 •Targetedレベル 標的型Bot攻撃を防御
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAF DDoS防⽌ルールグループ(追加料⾦) 5 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •ChallengeAllDuringEvent DDoSイベントを検知したリクエストの中でチャレンジ可能と判断されたリクエスト •ChallengeDDoSRequests チャレンジ感度設定を満たすか超えるリクエスト •DDoSRequests ブロック機密性設定を満たすか超えるリクエスト 各リクエストに対してラベリングを⾏う
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) レートベースルール(カスタムルール) 1 Amazon IP評価リストマネージドルールグループ 2 匿名IPリストマネージドグループ 3 AWS WAF Bot Controlルールグループ(追加料⾦) 4 AWS WAF DDoS防⽌ルールグループ(追加料⾦) 5
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
(おまけ)AWS WAFとAmazon Bedrockを組み合わせたセキュリティ運⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Amazon IP評価リストマネージドルールグループのAWSManagedIPDDoSListで 検知したリクエストをカスタムルールで即ブロックは必要なリクエストまでブロックする可能性 カウントされたリクエストを収集し、 WAFのログを解析する(Athenaで解析が⼀般的) AWS WAF + Amazon Bedrock + DynamoDB + Lambda + EventBridge で 攻撃ログの収集+AI分析を⾏い攻撃検知の通知や週次レポートで WAF設定の改善提案を作ってみた •リアルタイム検知︓WAF攻撃検知 → EventBridge → Lambda → DynamoDB保存 → AI分析 → 通知 •週次レポート︓EventBridge(cron) → Lambda → DynamoDB集計 → AI分析 → 週次レポート通知
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
まとめ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 増加するDDoS攻撃への防御として今⼀度アーキテクチャを⾒直しましょう •セキュリティグループおよびネットワークACLによる攻撃対象範囲の縮⼩ •ELB+AutoScalingで攻撃による負荷増加に対応できるスケーラブルな設計 •エッジロケーションサービスの活⽤ •AWS WAFのDDoS攻撃防御のためのルール活⽤ → WAFの運⽤はそこそこ難しい。⽣成AIなどの⼒を借りるのも⼿ •(予算が許せば)AWS Shield Advancedの利⽤