Upload
ngodat
View
240
Download
10
Embed Size (px)
Citation preview
Akamai Confidential
アカマイ・テクノロジーズ合同会社 マーケティング本部
部長 堀野 史郎
©2012 Akamai Akamai Confidential
Agenda
• インターネットの動向
• ハクティビストの登場とセキュリティ脅威
• セキュリティ対策
• クラウドでセキュリティ対策を行うという Akamai のアプローチ
2
©2012 Akamai Akamai Confidential
インターネットトラフィックの動向
Cisco VNI 2011より転載
©2012 Akamai Akamai Confidential
日本国内でのインターネットの利用状況
総務省
平成22年通信利用動向調査の結果 より転載
©2012 Akamai Akamai Confidential
日本国内 e-コマース でインターネット上を流れる金額
2010 年 BtoC EC 前年比116.3% 7兆7,800億円
消費者支出総額(家計最終消費支出)は284兆円(2007年度)
経済産業省
平成22年度我が国情報経済社会における基盤整備より転載
2010 年 BtoB EC 前年比125.3% 256兆3,100億円
©2012 Akamai Akamai Confidential
どんな場所でも、どんなデバイスでも、どんな体験でも
©2012 Akamai Akamai Confidential
Agenda
• インターネットの動向
• ハクティビストの登場とセキュリティ脅威
• セキュリティ対策
• クラウドでセキュリティ対策を行うという Akamai のアプローチ
7
©2012 Akamai Akamai Confidential
日本に関連するサイバー事件
2010 年 9 月 日本の政府機関へのサイバー攻撃
中国の掲示板で、日本の様々なサイトを名指しして攻撃を呼びかけ
2010 年 10 月 警視庁国際テロ操作情報流出
イスラム教徒たちの人権寝台問題へと発展
2010 年 11 月 尖閣諸島沖中国漁船衝突事件の映像が流出
一晩の間に動画サイト上で「尖閣ビデオ」が流出
2011 年 4 月 ソニー・コンピューターエンタテインメントへのサイバー攻撃報道
約 7,700 万件の個人情報が流出した可能性あり
2011 年 5 月 ソニー・オンラインエンタテインメントへのサイバー攻撃報道
約 2,460 万件の個人情報が流出した可能性あり
2011 年 5 月 米国防省が「サイバースペースのための国際戦略」を発表
国際安全保障など、サイバー空間にかかわる国際戦略を発表
2011 年 6 月 ソニー・ピクチャーズ・エンターテインメントへのサイバー攻撃報道
約 3 万 7500 の個人情報が流出した可能性あり
2011 年 7 月 米国防省が「サイバー防衛戦略」を発表
サイバー空間を陸・空・海宇宙に続く「第五の作戦領域」と規定
2011 年 9 月 三菱重工業へのサイバー攻撃報道
パソコンやサーバーなどがウイルス感染。情報流出の可能性あり。
2011 年 9 月 三菱電機、IHI、川崎重工業へも、三菱重工業と同様のサイバー攻撃がなされていたと報道
2011 年 10 月 衆議院へのサイバー攻撃報道
サーバーがウイルス感染。情報窃取の可能性あり
2011 年 10 月 外務省、及び各国日本大使館へのサイバー攻撃報道
外交機密の流出はないと発表
2011 年 11 月 参議院へのサイバー攻撃報道
パソコンやサーバーなどがウイルス感染。全議員の情報流出の可能性あり
2011 年 11 月 富士通のデータセンターへのサイバー攻撃報道
約 200 の自治体のホームページに不具合を確認
2011 年 12 月 文部科学省のウェブサイトへのサイバー攻撃
ウェブサイトの内容改ざん、及び情報流出を確認
『国・企業・メディアが決して語らないサイバー戦争の真実』 より抜粋
©2012 Akamai Akamai Confidential
~2009 年 単発攻撃の時代
July 4th Attack (Independent Day)
• まだ、DDoS 攻撃はそれほどメジャーな攻撃手段ではなかった
• この July4th Attack 以外は、それほど大きなアタックは少なく、企業などに対して脅迫 (金銭的な要求) をメインとするようなものが主だった
©2012 Akamai Akamai Confidential
2010 年 ハクティビスト(ハッカー・活動家)の登場
• 尖閣諸島問題に付随する攻撃
• Wikileaks に対する送金差し止めによる金融機関に対する攻撃
http://www.itmedia.co.jp/news/articles/1012/09/news022.html
• 大規模な攻撃は少数の組織が金銭的な要求によって行う形 (ウィルスに感染させて攻撃させる) よりも、政治的なメッセージの下に大勢が参加することによって行われる攻撃が登場
• Hacker と Activist を組み合わせた造語である Hactivist (ハクティビスト) や、その最大勢力である Anonymous の存在が認識されだした。
©2012 Akamai Akamai Confidential
2011 年 Anonymous の台頭
• Anonymous のようなハクティビスト集団への認知度や、DDoS 攻撃に対する認知度が日本においても高まる
• Akamaiが検知している 2011 年の DDoS 攻撃の規模や回数は 2010 年に比べて倍以上になっている。
©2012 Akamai Akamai Confidential
2012 DDoS 攻防戦
• DDoS 被害に関連するニュースが日本でも増加
• Anonymous ツールの Android アプリの登場
• DDoS 防御に特化した会社やサービスがAkamai 以外でも登場
Riorey http://www.riorey.com/
Arbor Networks http://www.arbornetworks.com/
-> KDDI は、Arbor Networksの Peakflow SP Platformを導入
©2012 Akamai Akamai Confidential
変化する攻撃の手口
DDoS が攻撃の手口として攻撃者に最も好まれる手段 (TrustWave 2011)
13
©2012 Akamai Akamai Confidential
DDoS のトレンド
• 攻撃の手法としてのDDoS は非常にメジャーになってきており、規模、頻度ともに大きくなっている
地域も分散し、時間も長くなっている
• アカマイは日々攻撃を受けているお客さまのサイトなどの資産を様々な手法で保護している
リアルタイム・ウェブモニター •http://www.akamai.co.jp/enja/html/technology/dataviz1.html
©2012 Akamai Akamai Confidential
Agenda
• インターネットの動向
• ハクティビストの登場とセキュリティ脅威
• セキュリティ対策
• クラウドでセキュリティ対策を行うという Akamai のアプローチ
15
©2012 Akamai Akamai Confidential
通常のセキュリティ対策が抱える課題とリスク
従来のデータセンターでのセキュリティ
• 実際に被害にあうまで定量的に被害を可視化できないため、投資が限定的
• HW 製品では、拡張性が HW 依存で、柔軟性・拡張性の担保が困難
• ハッカー (専門・ギーク) vs IT 担当者 (他業務と兼務・精通度にばらつき)
• 常に現れる新しい攻撃手法に対してどうしても後手となる防御
• 一旦、DMZ 内に進入を許すと、Web サーバのみなず、同じセグメントで管理されている貴重なデーターベースも被害に遭うこと
インターネット
ネットワーク
ファイアーウォール
ウェブ
アプリケーション
ファイアーウォール
アプリケーション
/ データベース
サーバー
お客様の
データベース
Web
サーバー
(オリジン)
©2012 Akamai Akamai Confidential
DDoS スクラブ
DDoS スクラブは、
攻撃を検知
攻撃トラフィックを“スクラブ(浄化)センター” へリダイレクト
トラフィックを浄化
トラフィックを顧客のデータセンターへ転送
•DNS あるいは BGP とのインテグレーションが前提
•通常、サービスをインテグレーション、テストを行った上で、監視運営体制となる
•攻撃が受けた後に、スクラブを開始
©2012 Akamai Akamai Confidential
Agenda
• インターネットの動向
• ハクティビストの登場とセキュリティ脅威
• セキュリティ対策
• クラウドでセキュリティ対策を行うという Akamai のアプローチ
18
©2012 Akamai Akamai Confidential
The Internet
インターネット:一見、シンプルですが…
End-User Data center
©2012 Akamai Akamai Confidential
…しかし、内側は、とても複雑
何千ものネットワーク
The Internet
Data center
様々なデバイス上の 何千万ものユーザー
拡大する セキュリティの脅威
無数のアプリケーション
数十億以上の コンフィグレーション
©2012 Akamai Akamai Confidential
インターネットをより快適な環境へ
The Internet
©2012 Akamai Akamai Confidential
アーキテクチャ基本概念
1. エンドユーザに最も近い、インターネットの Edge (境界) で制御
2. Akamai の動的プロトコル利用によるインターネット上の最適ルートを検索
3. データサイズや計算量別に、自動でリソースを配分と配置
4. コンポーネント単位、いかなる時点、いかなる障害も排除
5. Akamai の優れたソフトウェア機能を世界規模の単一ネットワーク上で提供
©2012 Akamai Akamai Confidential
Akamai Intelligent Platform
スケーラビリティ
• 105,000+ サーバー
• 1,100+ ネットワーク
• 750+ 都市
• 1,700+ ロケーション
• 74カ国
世界最大規模のクラウドプラットフォーム
Web トラフィック
• 5000 億 hits per day
• 1900 万 hits per second
• 1 億ストリーム per day
• 100 万同時ストリーミング
• 5.5+ テラ bit per second
• 15 - 30 % Webトラフィック全体
©2012 Akamai Akamai Confidential
Akamai ソリューション群
Site Performance
Mobile Performance
Advertising Decisions
Broadcast Video
Software Distribution
Application Performance
Cloud Performance
Operator CDN
Custom Networks
Web Security
Akamai Intelligent Portal & People
Akamai Intelligent PlatformTM
Akamai Confidential ©2012 Akamai
©2012 Akamai Akamai Confidential
Kona Site Defender
©2012 Akamai Akamai Confidential
アカマイ vs サイバーアタック
『核を超える脅威 世界サイバー戦争 見えない軍拡が始まった』 より転載。
“2001 年、新に発足したブッシュ政権は、この問題の先例を受けた。30 万台以上のコンピューターが数時間で“コードレッド”ワームに感染し、ゾンビ PC 化してホワイトハウスのウェブサイトに DDoS 攻撃を仕掛けはじめたのだ。幸い、わたしは <アカマイ> という企業と協力して、サイトを 2 万以上のサーバーに分散させていたた、攻撃の影響をまともに受けることは避けられた。”
リチャード・クラーク氏 : 安全保障の世界的大家。ブッシュ政権では9・11後、サイバースペース・セキュリティ担当大統領補佐官として活躍。
ロバート・ネイク氏 : 外交問題評議会の国際関係フェロー。インターネットのガバナンスとセキュリティの研究に取り組んでおり、『フォーリン・アフェアーズ』にたびたび寄稿している。
©2012 Akamai Akamai Confidential
X
カスタマーオリジン (コンテンツサーバ)
エンドユーザ
1
10
100
10000
Origin Traffic
1000
ユーザトラフィックの流れ – Akamai 導入前
©2012 Akamai Akamai Confidential
エンドユーザ
カスタマーオリジン (コンテンツサーバ)
1
10
100
10000
Origin Traffic
1000
攻撃下ユーザトラフィックの流れ – Akamai 導入前
X
©2012 Akamai Akamai Confidential
エンドユーザ
1
10
100
10000
オリジントラフィック
1000
Akamaiトラフィック
1
10
100
10000
1000
Akamai による Web サイトセキュリティ
カスタマーオリジン (コンテンツサーバ)
©2012 Akamai Akamai Confidential
Akamai の Web Site Security
Akamai Web Site Security
ネットワーク
ファイアーウォール
ウェブ
アプリケーション
ファイアーウォール
アプリケーション
/ データベース
サーバー
お客様の
データベース
Web
サーバー
(オリジン)
• 世界中に分散されたサーバーにより、非常に高い拡張性の確保
• 常に専門化による、最新の対処方法を設定・提供
• 多角的にセキュリティ機能を提供することで実現する高度な差別化
• 確かな実績
DDoS プロテクション (ネットワーク & アプリケーションレイヤ)、Web アプリケーション、オリジン直撃、DNS アタック
©2012 Akamai Akamai Confidential
Kona Site Defender
大規模 DDoS 及び Web アプリケーション防御 •全ての Akamai Web サイトセキュリティ機能が 1 つのソリューションで利用可能
最新の攻撃についても防御およびアラート出力 • トラフィック、エラー、アプリケーションアタックをルールに基づいて出力
リアルタイムでのセキュリティイベントの可視化、“drill down” • Akamai Edge ポータルページからの参照が可能
©2012 Akamai Akamai Confidential
大規模 DDoS 及び Web アプリケーション防御
Kona Site Defender コンポーネント群 (標準機能)
• DDoS 緩和
• ネットワーク& アプリケーションレイヤー
• 大規模システム
• 攻撃による超過課金の保護
• Web Application protection (WAF)
• レートコントロール
• アプリケーションレイヤーコントロール
• SQLi, XSS, etc.
• カスタムルール設定
•ユーザオリジンの隠蔽
•オリジンへの直接攻撃を防御
• Adaptive Caching
•アタック時にEdgeよりコンテンツ配信
• Site Failover
• Access Control
• NetStorage
• Log Delivery Service
• Security Monitor
• Compliance Management
• ISO セキュリティ準拠 (27002)
©2012 Akamai Akamai Confidential
DDoS 緩和
•アプリケーショントラフィックについて ports
80 (HTTP) と 443 (HTTPS) のみ接続許可
•ネットワークライヤへの攻撃についてAkamai Edgeにてトラフィック断
•常時接続許可 - no switchover
•攻撃による超過課金の保護
•ルート変更なし
•再ルーティングなし、速度遅延なし;
単一障害点の排除
•大規模システム
• 5Tbps 規模のトラフィックを許容可能な、1,100 以上のネットワークにまたがる分散システム
•リクエストから1 ホップにて防御 – ユーザオリジンの前で対処
•柔軟なキャッシュにより、オリジンのトラフィックオフロードを最大化
• IP アドレス、地域もしくはユーザ別のデータベースを元に攻撃防御
©2012 Akamai Akamai Confidential
Web アプリケーションの防御
Web Application Firewall
アプリケーションレイヤーコントロール
•パケットレベルでの詳細検査によって不正なアタックを防御、 SQL Injections、
Cross-Site Scripts等
カスタムルール
•ポリシーベースのルールに基づいて、アプリケーションレイヤーコントロール処理前後に強制適用
• “Virtual Patches” により新しい脆弱性対応が可能
ネットワークレイヤーコントロール
•任意の IP アドレス単位で許可/制限
•アプリケーションレイヤーの攻撃からオリジンサーバを防御
• IPブラックリストとホワイトリストの実装
•地域単位の制限
• 10,000 CIDR エントリーサポート
•名前リスト – e.g. Tor exit nodes
• 30 〜 45 分での設定反映
©2012 Akamai Akamai Confidential
柔軟なトラフィック制御 (レートコントロール) 悪意ある挙動の防御
• 1秒間に対応する URL 提供リクエストの回数を任意設定
•挙動の種類単位でのコントロールリクエスト
•クライアント IP、セッション ID やCookie などを利用
•デジタルプロパティ、コントロールリクエスト別にレートカテゴリを設定
•レートベースの DDoS 攻撃を軽減
• 3つのリクエストフェーズ情報を統計収集
•クライアントリクエスト – クライアントから
Akamai サーバへ
•フォワードリクエスト – Akamai サーバからオリジンへ
•フォワードリクエスト – オリジンから
Akamai サーバへ
•統計情報から巨大プロキシを無視、Proxy 下の悪意あるユーザ抽出
•不正な動作のクライアントを検出し解析
•ステージ単位での過剰リクエストレート
•オリジンの多量エラー受信
©2012 Akamai Akamai Confidential
トラフィック制御の利用事例: オリジンエラーによる IP 単位の防御
1. 404 エラーコードのフォワードリクエスト数を集計
2. 1 秒間に 5 エラーに達する、接続元 IP アドレスをブロック
クライアン
トリクエスト フォワード
リクエスト
レスポンスコード404
カスタマー
オリジン
Akamai
Edge Server
X カスタム
エラーページ
オリジンの不正攻撃を自動で緩和
©2012 Akamai Akamai Confidential
ユーザオリジンの隠蔽
オリジンへの直接攻撃を防御
•パブリックインターネットからオリジンを隠す
•オリジンへ接続する Akamai Edge サーバを一部に限定
•他の Akamai Edge サーバはペアレントとして動作
•オリジンに割り当てられているサーバを、オリジンの
Firewall ACL (Access Control List) へ登録 – 他の全てのトラフィックは拒否
• DNS解決からオリジンを削除し、直接接続はIPに限定
•接続をポート 80 (HTTP) と 443 (HTTPS) に限定
©2012 Akamai Akamai Confidential
Akamai セキュリティと従来セキュリティの比較
アカマイ 他社
スケーラビリティ
運用・管理
パフォーマンス
セキュリティ範囲
レスポンス
HW の spec 依存 増設を続ける世界中のサーバー
(105,000 台)
機器それぞれの得意分野のみ
耐障害性
導入
HW の spec 依存 速度遅延なし、単一障害ポイントの
排除、分散されたアーキテクチャ
サービスとして、柔軟な運用管理の
実現
低いレイヤーから、高いレイヤーまで
包括的な対応
大規模分散プラットフォーム
サービス契約と設定投入
常時対応
手間暇のかかる管理、問題発生時の
運用対応、HW の劣化、機器故障のリスク
常時監視、攻撃検知後対応
単一障害ポイント
RFP、設計、検証、納期、機器
インストール、保守、更新
©2012 Akamai Akamai Confidential
Akamai Web セキュリティ 優位点
11年に渡る、インターネットの巨大攻撃を防御実績
• 100 名以上のセキュリティ専門家、30 名以上の認定者が勤務
大規模システム: 5Tbps 以上; 1,100 以上のネットワークにまたがる分散システム
•リクエストを1ホップ内で防御 – オリジンまで攻撃が届かない
パフォーマンスに影響与えないセキュリティ
•自然なパス (ルート変更無し、速度遅延無し、単一障害ポイントの排除)
広範囲の防御を1つのプラットフォームで実現
• トランスポート、アプリケーション、DDoS、DNS 及びデータ防御
• PCI 及び ISO 準拠のセキュアな配信プラットフォーム
©2012 Akamai Akamai Confidential ©2012 Akamai Faster Forward TM
Akamai Security Stack
Site Defender DSA Alta HD Network
NetStorage
Federation
User Prioritization DNS Distribution
DNSSEC
GeoDecisions
DDoS Defense
WebApp Firewall
Origin Cloaking
Compliance
Tokenization
Adaptive Rate Controls
Edge Computing
©2012 Akamai Akamai Confidential