AWS DDoS攻撃防御の最前線

Transcript

1. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 本資料の内容は発表者の個⼈的⾒解であり、所属組織の公式⾒解を⽰すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 2025.08.07 Thu. CO-LAB Tech Night vol.2 Cloud Security Night #3 伊藤忠テクノソリューションズ株式会社 近藤 隆太 – Ryuta Kondo

2. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   ⾃⼰紹介 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 伊藤忠テクノソリューションズ株式会社（略称CTC） 広域・社会インフラ事業グループ ⻄⽇本技術統括本部 ⻄⽇本ソリューションビジネス部 近藤 隆太 Kondo Ryuta - 2024 Japan AWS Jr.Champion - 2025 AWS Community Builder (AI Engineering) - 2025 Japan AWS Top Engineers (Services) TechBlog：https://www.ctc-g.co.jp/solutions/cloud/column/ - 略歴 2022年に⼊社し、ネットワークセキュリティの設計および構築業務を経験。 現在は主にAWSを中⼼としたクラウドセキュリティ関連の設計構築や ソリューション企画・開発に従事。 オーストリアからこんにちは ▲ Expo 2025 Osaka,Kansai,Japan オーストリアパビリオンのドローイング

3. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   Agenda Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ・DDoS攻撃の被害状況 ・AWSにおけるDDoS攻撃防御のアプローチ ・AWS WAFの活⽤ ・（おまけ）AWS WAFとAmazon Bedrockを組み合わせたセキュリティ運⽤

4. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   DDoS攻撃の被害状況 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ⽇本国内での被害例 2024年12⽉26⽇ 航空会社 空港の⾃動⼿荷物預け機が利⽤不可に。⾶⾏機の遅延発⽣ 2024年12⽉26⽇ メガバンク インターネットバンキングの利⽤が不安定な状況に 2024年12⽉31⽇ メガバンク インターネットバンキングが断続的にアクセスできない状況に 2025年 1⽉ 2⽇ 通信会社 ⼀部サービスが利⽤しにくい状況に 2025年 1⽉ 9⽇ 気象会社 複数回に渡り被害。Web版サービスが利⽤しにくい状況に 2024-25の年末年始にかけてDDoS攻撃による被害が多発 DDoS攻撃とは︖ 複数のコンピュータから⼀⻫に⼤量の通信を送りつけ、サーバーやWebサイトをダウンさせる攻撃。

5. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   DDoS攻撃の被害状況 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 IPA（独⽴⾏政法⼈ 情報処理推進機構）の「情報セキュリティ10⼤脅威 2025」に ５年ぶりに８位にランクイン 順位 「組織向け」脅威 1 ランサム攻撃による被害 2 サプライチェーンや委託先を狙った攻撃 3 システムの脆弱性を突いた攻撃 4 内部不正による情報漏えい等 5 機密情報を狙った標的型攻撃 6 リモートワークなどの環境や仕組みを狙った攻撃 7 地政学的リスクに起因するサーバー攻撃 8 分散型サービス妨害攻撃（DDoS攻撃） 9 ビジネスメール詐欺 10 不注意による情報漏えい等 出典︓独⽴⾏政法⼈ 情報処理推進機構「情報セキュリティ10⼤脅威 2025」 https://www.ipa.go.jp/security/10threats/10threats2025.html 事業（サービス）の継続性を維持するためにはDDoS攻撃への防御が不可⽋

6. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 話に⼊る前に・・・。 AWSが公開しているホワイトペーパーでDDoS攻撃に対するベストプラクティスが公開されています︕ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.html 本⽇はホワイトペーパーに則ったDDoS攻撃防御をお話しします︕

7. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 1 2 3 4 5 エッジロケーション サービスを利⽤する VPC内での オリジンの保護 AWS WAF を使⽤する スケーラブルな アーキテクチャ AWS Shield を使⽤する

8. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 AWS Cloud リージョン VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront AWS WAF Amazon Route 53 Amazon S3 AWS CloudTrail Amazon CloudWatch User

9. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

   AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 AWS Cloud リージョン VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront AWS WAF Amazon Route 53 Amazon S3 AWS CloudTrail Amazon CloudWatch User 1 ３ ３ 4 ２ ５ ５ ５ 1

10. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 1 エッジロケーションサービスを利⽤する AWS Cloud Amazon CloudFront AWS WAF Amazon Route 53 User •Route53を利⽤し、DNSサーバへの攻撃に備える ⾼可⽤性なDNSサービス（SLA100%）で ⼤量のDNSトラフィック処理が可能 •CloudFrontにてエッジロケーションで攻撃を防ぐ 1.CloudFrontのキャッシュ機能を⽤いて オリジンへの負荷を軽減 2.コンテンツの地域的ディストリビューション制限 によるアクセス元の地域制限 3.Slow攻撃の緩和 ⾃動的に接続を閉じる機能を保有している 4.AWS WAFの併⽤※後述

11. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 2 VPC内でのオリジンの保護 VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront •オリジンの隠蔽(攻撃対象範囲の縮⼩) CloudFrontマネージドプレフィックスリストを ⽤いてセキュリティグループとネットワークACL でELBのアクセス元をCloudFrontのIPアドレス に制限する

12. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 3 AWS WAFを使⽤する AWS WAF •Webアプリケーションファイアウォールの使⽤ CloudFrontやELBに適⽤する CloudFrontのダッシュボード画⾯から 簡単にAWS WAFの適⽤が可能

13. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ４ スケーラブルなアーキテクチャ VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF •ELBとAutoScalingで負荷に対応 ELB+AutoScalingを利⽤した スケーリング＋負荷分散で 突然の急激な負荷に対応する

14. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ５ AWS Shieldを使⽤する AWS Shield AWSにおけるDDoS攻撃防御の代表 • AWS Shield Standard 無料で設定されているL 3,L4層の DDoS緩和サービス • AWS Shield Advanced ⽉額3000ドル（年間契約） L7の攻撃まで防御可能 予算があれば⼀番強⼒なDDoS対策 DDoS対策の専⾨チームが24/365で対応 （AWSのSRTチーム） AWS WAFの運⽤も⾏なってくれる DDoS攻撃時に増加したCloudFrontや Route53の利⽤料⾦の返⾦

15. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） レートベースルール（カスタムルール） 1 Amazon IP評価リストマネージドルールグループ ２ 匿名IPリストマネージドグループ ３ AWS WAF Bot Controlルールグループ（追加料⾦） ４ AWS WAF DDoS防⽌ルールグループ（追加料⾦） ５

16. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） レートベースルール（カスタムルール） 1 ⼀定時間内のリクエスト数をカウントし、閾値を超えた場合にトリガーされるルール •通常時のトラフィック量を元に、リクエストの閾値を設定 AWS公式ブログでは基本的なレートベースルールとして 「5分間に2000リクエスト」のルールを最も価値のあるルールの１例として HTTPフラッド攻撃への防御策として提⽰している。 通常時のトラフィック量が設定した閾値を上回っていないか精査が重要

17. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    Amazon IP評価リストマネージドルールグループ ２ AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） •AWSManagedIPReputationList 悪意のあるアクティビティに積極的に関与していると特定された IP アドレスを検査 •AWSManagedReconnaissanceList AWS リソースに対して偵察を実⾏している IP アドレスからの接続を検査 •AWSManagedIPDDoSList DDoS アクティビティにアクティブに関与していると識別された IP アドレスを検査 ルール単体ではブロックを⾏わずルールにマッチしたリクエストに ”awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList”という タグが付与される（タグを元にカスタムルールでするなど⼯夫が必要）

18. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    匿名IPリストマネージドグループ ３ AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） •AnonymousIPList クライアントの情報を匿名化することがわかっているソース の IP アドレスのリストを検査 •HostingProviderIPList エンドユーザートラフィックのソースになる可能性が低いウェブホスティングプロバイダーと クラウドプロバイダーの IP アドレスのリストを検査

19. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWS WAF Bot Controlルールグループ（追加料⾦） ４ AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） •Commonレベル ⼀般的なBot攻撃を防御 •Targetedレベル 標的型Bot攻撃を防御

20. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWS WAF DDoS防⽌ルールグループ（追加料⾦） ５ AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） •ChallengeAllDuringEvent DDoSイベントを検知したリクエストの中でチャレンジ可能と判断されたリクエスト •ChallengeDDoSRequests チャレンジ感度設定を満たすか超えるリクエスト •DDoSRequests ブロック機密性設定を満たすか超えるリクエスト 各リクエストに対してラベリングを⾏う

21. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定（⼀部抜粋） レートベースルール（カスタムルール） 1 Amazon IP評価リストマネージドルールグループ ２ 匿名IPリストマネージドグループ ３ AWS WAF Bot Controlルールグループ（追加料⾦） ４ AWS WAF DDoS防⽌ルールグループ（追加料⾦） ５

22. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    （おまけ）AWS WAFとAmazon Bedrockを組み合わせたセキュリティ運⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Amazon IP評価リストマネージドルールグループのAWSManagedIPDDoSListで 検知したリクエストをカスタムルールで即ブロックは必要なリクエストまでブロックする可能性 カウントされたリクエストを収集し、 WAFのログを解析する（Athenaで解析が⼀般的） AWS WAF + Amazon Bedrock + DynamoDB + Lambda + EventBridge で 攻撃ログの収集+AI分析を⾏い攻撃検知の通知や週次レポートで WAF設定の改善提案を作ってみた •リアルタイム検知︓WAF攻撃検知 → EventBridge → Lambda → DynamoDB保存 → AI分析 → 通知 •週次レポート︓EventBridge(cron) → Lambda → DynamoDB集計 → AI分析 → 週次レポート通知

23. Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。

    まとめ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 増加するDDoS攻撃への防御として今⼀度アーキテクチャを⾒直しましょう •セキュリティグループおよびネットワークACLによる攻撃対象範囲の縮⼩ •ELB+AutoScalingで攻撃による負荷増加に対応できるスケーラブルな設計 •エッジロケーションサービスの活⽤ •AWS WAFのDDoS攻撃防御のためのルール活⽤ → WAFの運⽤はそこそこ難しい。⽣成AIなどの⼒を借りるのも⼿ •（予算が許せば）AWS Shield Advancedの利⽤