マーケティング本部部長堀野史郎 · ©2012 Akamai Akamai Confidential 日本国内 e-コマースでインターネット上を流れる金額 2010 年 BtoC EC 前年比116.3%

Akamai Confidential

アカマイ・テクノロジーズ合同会社マーケティング本部

部長堀野史郎

©2012 Akamai Akamai Confidential

Agenda

• インターネットの動向

• ハクティビストの登場とセキュリティ脅威

• セキュリティ対策

• クラウドでセキュリティ対策を行うという Akamai のアプローチ

2


インターネットトラフィックの動向

Cisco VNI 2011より転載


日本国内でのインターネットの利用状況

総務省

平成22年通信利用動向調査の結果より転載


日本国内 e-コマースでインターネット上を流れる金額

2010 年 BtoC EC 前年比116.3% 7兆7,800億円

消費者支出総額（家計最終消費支出）は284兆円（2007年度）

経済産業省

平成22年度我が国情報経済社会における基盤整備より転載

2010 年 BtoB EC 前年比125.3% 256兆3,100億円


どんな場所でも、どんなデバイスでも、どんな体験でも


Agenda





7


日本に関連するサイバー事件

2010 年 9 月日本の政府機関へのサイバー攻撃

中国の掲示板で、日本の様々なサイトを名指しして攻撃を呼びかけ

2010 年 10 月警視庁国際テロ操作情報流出

イスラム教徒たちの人権寝台問題へと発展

2010 年 11 月尖閣諸島沖中国漁船衝突事件の映像が流出

一晩の間に動画サイト上で「尖閣ビデオ」が流出

2011 年 4 月ソニー・コンピューターエンタテインメントへのサイバー攻撃報道

約 7,700 万件の個人情報が流出した可能性あり

2011 年 5 月ソニー・オンラインエンタテインメントへのサイバー攻撃報道

約 2,460 万件の個人情報が流出した可能性あり

2011 年 5 月米国防省が「サイバースペースのための国際戦略」を発表

国際安全保障など、サイバー空間にかかわる国際戦略を発表

2011 年 6 月ソニー・ピクチャーズ・エンターテインメントへのサイバー攻撃報道

約 3 万 7500 の個人情報が流出した可能性あり

2011 年 7 月米国防省が「サイバー防衛戦略」を発表

サイバー空間を陸・空・海宇宙に続く「第五の作戦領域」と規定

2011 年 9 月三菱重工業へのサイバー攻撃報道

パソコンやサーバーなどがウイルス感染。情報流出の可能性あり。

2011 年 9 月三菱電機、IHI、川崎重工業へも、三菱重工業と同様のサイバー攻撃がなされていたと報道

2011 年 10 月衆議院へのサイバー攻撃報道

サーバーがウイルス感染。情報窃取の可能性あり

2011 年 10 月外務省、及び各国日本大使館へのサイバー攻撃報道

外交機密の流出はないと発表

2011 年 11 月参議院へのサイバー攻撃報道

パソコンやサーバーなどがウイルス感染。全議員の情報流出の可能性あり

2011 年 11 月富士通のデータセンターへのサイバー攻撃報道

約 200 の自治体のホームページに不具合を確認

2011 年 12 月文部科学省のウェブサイトへのサイバー攻撃

ウェブサイトの内容改ざん、及び情報流出を確認

『国・企業・メディアが決して語らないサイバー戦争の真実』より抜粋


～2009 年単発攻撃の時代

July 4th Attack (Independent Day)

• まだ、DDoS 攻撃はそれほどメジャーな攻撃手段ではなかった

• この July4th Attack 以外は、それほど大きなアタックは少なく、企業などに対して脅迫（金銭的な要求）をメインとするようなものが主だった


2010 年ハクティビスト（ハッカー・活動家）の登場

• 尖閣諸島問題に付随する攻撃

• Wikileaks に対する送金差し止めによる金融機関に対する攻撃

http://www.itmedia.co.jp/news/articles/1012/09/news022.html

• 大規模な攻撃は少数の組織が金銭的な要求によって行う形（ウィルスに感染させて攻撃させる）よりも、政治的なメッセージの下に大勢が参加することによって行われる攻撃が登場

• Hacker と Activist を組み合わせた造語である Hactivist （ハクティビスト）や、その最大勢力である Anonymous の存在が認識されだした。

http://www.itmedia.co.jp/news/articles/1012/09/news022.html


2011 年 Anonymous の台頭

• Anonymous のようなハクティビスト集団への認知度や、DDoS 攻撃に対する認知度が日本においても高まる

• Akamaiが検知している 2011 年の DDoS 攻撃の規模や回数は 2010 年に比べて倍以上になっている。


2012 DDoS 攻防戦

• DDoS 被害に関連するニュースが日本でも増加

• Anonymous ツールの Android アプリの登場

• DDoS 防御に特化した会社やサービスがAkamai 以外でも登場

Riorey http://www.riorey.com/

Arbor Networks http://www.arbornetworks.com/

-> KDDI は、Arbor Networksの Peakflow SP Platformを導入

http://www.riorey.com/

http://www.arbornetworks.com/


変化する攻撃の手口

DDoS が攻撃の手口として攻撃者に最も好まれる手段 (TrustWave 2011)

13


DDoS のトレンド

• 攻撃の手法としてのDDoS は非常にメジャーになってきており、規模、頻度ともに大きくなっている

地域も分散し、時間も長くなっている

• アカマイは日々攻撃を受けているお客さまのサイトなどの資産を様々な手法で保護している

リアルタイム・ウェブモニター •http://www.akamai.co.jp/enja/html/technology/dataviz1.html


Agenda





15


通常のセキュリティ対策が抱える課題とリスク

従来のデータセンターでのセキュリティ

• 実際に被害にあうまで定量的に被害を可視化できないため、投資が限定的

• HW 製品では、拡張性が HW 依存で、柔軟性・拡張性の担保が困難

• ハッカー (専門・ギーク) vs IT 担当者 (他業務と兼務・精通度にばらつき)

• 常に現れる新しい攻撃手法に対してどうしても後手となる防御

• 一旦、DMZ 内に進入を許すと、Web サーバのみなず、同じセグメントで管理されている貴重なデーターベースも被害に遭うこと

インターネット

ネットワーク

ファイアーウォール

ウェブ

アプリケーション



/ データベース

サーバー

お客様の

データベース

Web

サーバー

(オリジン)


DDoS スクラブ

DDoS スクラブは、

攻撃を検知

攻撃トラフィックを“スクラブ（浄化）センター” へリダイレクト

トラフィックを浄化

トラフィックを顧客のデータセンターへ転送

•DNS あるいは BGP とのインテグレーションが前提

•通常、サービスをインテグレーション、テストを行った上で、監視運営体制となる

•攻撃が受けた後に、スクラブを開始


Agenda





18


The Internet

インターネット：一見、シンプルですが…

End-User Data center


…しかし、内側は、とても複雑

何千ものネットワーク

The Internet

Data center

様々なデバイス上の何千万ものユーザー

拡大するセキュリティの脅威

無数のアプリケーション

数十億以上のコンフィグレーション


インターネットをより快適な環境へ

The Internet


アーキテクチャ基本概念

1. エンドユーザに最も近い、インターネットの Edge (境界) で制御

2. Akamai の動的プロトコル利用によるインターネット上の最適ルートを検索

3. データサイズや計算量別に、自動でリソースを配分と配置

4. コンポーネント単位、いかなる時点、いかなる障害も排除

5. Akamai の優れたソフトウェア機能を世界規模の単一ネットワーク上で提供


Akamai Intelligent Platform

スケーラビリティ

• 105,000+ サーバー

• 1,100+ ネットワーク

• 750+ 都市

• 1,700+ ロケーション

• 74カ国

世界最大規模のクラウドプラットフォーム

Web トラフィック

• 5000 億 hits per day

• 1900 万 hits per second

• 1 億ストリーム per day

• 100 万同時ストリーミング

• 5.5+ テラ bit per second

• 15 - 30 % Webトラフィック全体


Akamai ソリューション群

Site Performance

Mobile Performance

Advertising Decisions

Broadcast Video

Software Distribution

Application Performance

Cloud Performance

Operator CDN

Custom Networks

Web Security

Akamai Intelligent Portal & People

Akamai Intelligent PlatformTM

Akamai Confidential ©2012 Akamai


Kona Site Defender


アカマイ vs サイバーアタック

『核を超える脅威世界サイバー戦争見えない軍拡が始まった』より転載。

“2001 年、新に発足したブッシュ政権は、この問題の先例を受けた。30 万台以上のコンピューターが数時間で“コードレッド”ワームに感染し、ゾンビ PC 化してホワイトハウスのウェブサイトに DDoS 攻撃を仕掛けはじめたのだ。幸い、わたしは <アカマイ> という企業と協力して、サイトを 2 万以上のサーバーに分散させていたた、攻撃の影響をまともに受けることは避けられた。”

リチャード・クラーク氏 : 安全保障の世界的大家。ブッシュ政権では9・11後、サイバースペース・セキュリティ担当大統領補佐官として活躍。

ロバート・ネイク氏 : 外交問題評議会の国際関係フェロー。インターネットのガバナンスとセキュリティの研究に取り組んでおり、『フォーリン・アフェアーズ』にたびたび寄稿している。


X

カスタマーオリジン (コンテンツサーバ)

エンドユーザ

1

10

100

10000

Origin Traffic

1000

ユーザトラフィックの流れ – Akamai 導入前


エンドユーザ


1

10

100

10000

Origin Traffic

1000

攻撃下ユーザトラフィックの流れ – Akamai 導入前

X


エンドユーザ

1

10

100

10000

オリジントラフィック

1000

Akamaiトラフィック

1

10

100

10000

1000

Akamai による Web サイトセキュリティ



Akamai の Web Site Security

Akamai Web Site Security

ネットワーク


ウェブ




/ データベース

サーバー

お客様の

データベース

Web

サーバー

(オリジン)

• 世界中に分散されたサーバーにより、非常に高い拡張性の確保

• 常に専門化による、最新の対処方法を設定・提供

• 多角的にセキュリティ機能を提供することで実現する高度な差別化

• 確かな実績

DDoS プロテクション (ネットワーク & アプリケーションレイヤ)、Web アプリケーション、オリジン直撃、DNS アタック


Kona Site Defender

大規模 DDoS 及び Web アプリケーション防御 •全ての Akamai Web サイトセキュリティ機能が１つのソリューションで利用可能

最新の攻撃についても防御およびアラート出力 • トラフィック、エラー、アプリケーションアタックをルールに基づいて出力

リアルタイムでのセキュリティイベントの可視化、“drill down” • Akamai Edge ポータルページからの参照が可能


大規模 DDoS 及び Web アプリケーション防御

Kona Site Defender コンポーネント群 (標準機能)

• DDoS 緩和

• ネットワーク& アプリケーションレイヤー

• 大規模システム

• 攻撃による超過課金の保護

• Web Application protection (WAF)

• レートコントロール

• アプリケーションレイヤーコントロール

• SQLi, XSS, etc.

• カスタムルール設定

•ユーザオリジンの隠蔽

•オリジンへの直接攻撃を防御

• Adaptive Caching

•アタック時にEdgeよりコンテンツ配信

• Site Failover

• Access Control

• NetStorage

• Log Delivery Service

• Security Monitor

• Compliance Management

• ISO セキュリティ準拠 (27002)


DDoS 緩和

•アプリケーショントラフィックについて ports

80 (HTTP) と 443 (HTTPS) のみ接続許可

•ネットワークライヤへの攻撃についてAkamai Edgeにてトラフィック断

•常時接続許可 - no switchover

•攻撃による超過課金の保護

•ルート変更なし

•再ルーティングなし、速度遅延なし;

単一障害点の排除

•大規模システム

• 5Tbps 規模のトラフィックを許容可能な、1,100 以上のネットワークにまたがる分散システム

•リクエストから１ホップにて防御 – ユーザオリジンの前で対処

•柔軟なキャッシュにより、オリジンのトラフィックオフロードを最大化

• IP アドレス、地域もしくはユーザ別のデータベースを元に攻撃防御


Web アプリケーションの防御

Web Application Firewall

アプリケーションレイヤーコントロール

•パケットレベルでの詳細検査によって不正なアタックを防御、 SQL Injections、

Cross-Site Scripts等

カスタムルール

•ポリシーベースのルールに基づいて、アプリケーションレイヤーコントロール処理前後に強制適用

• “Virtual Patches” により新しい脆弱性対応が可能

ネットワークレイヤーコントロール

•任意の IP アドレス単位で許可／制限

•アプリケーションレイヤーの攻撃からオリジンサーバを防御

• IPブラックリストとホワイトリストの実装

•地域単位の制限

• 10,000 CIDR エントリーサポート

•名前リスト – e.g. Tor exit nodes

• 30 〜 45 分での設定反映


柔軟なトラフィック制御（レートコントロール）悪意ある挙動の防御

• 1秒間に対応する URL 提供リクエストの回数を任意設定

•挙動の種類単位でのコントロールリクエスト

•クライアント IP、セッション ID やCookie などを利用

•デジタルプロパティ、コントロールリクエスト別にレートカテゴリを設定

•レートベースの DDoS 攻撃を軽減

• 3つのリクエストフェーズ情報を統計収集

•クライアントリクエスト – クライアントから

Akamai サーバへ

•フォワードリクエスト – Akamai サーバからオリジンへ

•フォワードリクエスト – オリジンから

Akamai サーバへ

•統計情報から巨大プロキシを無視、Proxy 下の悪意あるユーザ抽出

•不正な動作のクライアントを検出し解析

•ステージ単位での過剰リクエストレート

•オリジンの多量エラー受信


トラフィック制御の利用事例: オリジンエラーによる IP 単位の防御

1. 404 エラーコードのフォワードリクエスト数を集計

2. １秒間に 5 エラーに達する、接続元 IP アドレスをブロック

クライアン

トリクエストフォワード

リクエスト

レスポンスコード404

カスタマー

オリジン

Akamai

Edge Server

X カスタム

エラーページ

オリジンの不正攻撃を自動で緩和


ユーザオリジンの隠蔽

オリジンへの直接攻撃を防御

•パブリックインターネットからオリジンを隠す

•オリジンへ接続する Akamai Edge サーバを一部に限定

•他の Akamai Edge サーバはペアレントとして動作

•オリジンに割り当てられているサーバを、オリジンの

Firewall ACL (Access Control List) へ登録 – 他の全てのトラフィックは拒否

• DNS解決からオリジンを削除し、直接接続はIPに限定

•接続をポート 80 (HTTP) と 443 (HTTPS) に限定


Akamai セキュリティと従来セキュリティの比較

アカマイ他社

スケーラビリティ

運用・管理

パフォーマンス

セキュリティ範囲

レスポンス

HW の spec 依存増設を続ける世界中のサーバー

(105,000 台)

機器それぞれの得意分野のみ

耐障害性

導入

HW の spec 依存速度遅延なし、単一障害ポイントの

排除、分散されたアーキテクチャ

サービスとして、柔軟な運用管理の

実現

低いレイヤーから、高いレイヤーまで

包括的な対応

大規模分散プラットフォーム

サービス契約と設定投入

常時対応

手間暇のかかる管理、問題発生時の

運用対応、HW の劣化、機器故障のリスク

常時監視、攻撃検知後対応

単一障害ポイント

RFP、設計、検証、納期、機器

インストール、保守、更新


Akamai Web セキュリティ優位点

11年に渡る、インターネットの巨大攻撃を防御実績

• 100 名以上のセキュリティ専門家、30 名以上の認定者が勤務

大規模システム: 5Tbps 以上; 1,100 以上のネットワークにまたがる分散システム

•リクエストを１ホップ内で防御 – オリジンまで攻撃が届かない

パフォーマンスに影響与えないセキュリティ

•自然なパス (ルート変更無し、速度遅延無し、単一障害ポイントの排除)

広範囲の防御を１つのプラットフォームで実現

• トランスポート、アプリケーション、DDoS、DNS 及びデータ防御

• PCI 及び ISO 準拠のセキュアな配信プラットフォーム

©2012 Akamai Akamai Confidential ©2012 Akamai Faster Forward TM

Akamai Security Stack

Site Defender DSA Alta HD Network

NetStorage

Federation

User Prioritization DNS Distribution

DNSSEC

GeoDecisions

DDoS Defense

WebApp Firewall

Origin Cloaking

Compliance

Tokenization

Adaptive Rate Controls

Edge Computing


Documents

マーケティング本部 部長 堀野 史郎 · ©2012 Akamai Akamai Confidential 日本国内 e-コマース でインターネット上を流れる金額 2010 年 BtoC EC 前年比116.3%

マーケティング本部部長堀野史郎 · ©2012 Akamai Akamai Confidential 日本国内 e-コマースでインターネット上を流れる金額 2010 年 BtoC EC 前年比116.3%