BOTに立ち向かう！CDNで守る現代のWebセキュリティ

by katsuhisa ogawa

Slide 1

Slide 1 text

BOTに立ち向かう！ CDNで守る現代のWebセキュリティ C D N でセキュリティ対策 WEB高速化セキュリティ対策負荷対策合同会社レッドボックス https://www.redbox.ne.jp

Slide 2

Slide 2 text

セキュリティ対策していますか？セキュリティといってもWAFや脆弱性チェックなど様々。このような経験はないでしょうか？それ、もしかしたら不正アクセス（BOT）かもしれません。サーバーの負荷が高く時間帯によって速度が遅いことがある。アクセス数やトラフィックが急増しているがコンバージョンが低い。

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Anniversary 10th 03

Slide 6

Slide 6 text

目次なぜ、いまセキュリティ対策が求められているのかＣＤＮとは？基本機能と仕組み CDNで行う代表的なセキュリティ対策さくらのクラウドで独自オプションの開発さくらのクラウド導入のキメテ CDNがセキュリティ対策に選ばれる理由レッドボックスCDNの効果 01 02 03 04 05 06 07 CDNでおこなうセキュリティ対策

Slide 7

Slide 7 text

なぜ、いまセキュリティ対策が求められているのか

Slide 8

Slide 8 text

パケットでみた場合 2015年：約632億パケット 2022年：約5,226億パケット（2015年比で約8.3倍） 2023年：約6,197億パケット（2015年比で約9.8倍）総務省：第Ⅱ部情報通信分野の現状と課題 ※出典： th第Ⅱ部情報通信分野の現状と課題 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06 /html/nd21a210.html?utm_source=chatgpt.com NICTERでダークネット観測 NICTは2005年から大規模なダークネット観測網「NICTER（ニクター）」を運用している。ダークネットとは企業や組織に割り当てられているものの、実際には使われていないIPアドレス群を指す。 NICTERは観測網用に約30万個のIPアドレスを用意し、そこに届くサイバー攻撃関連のパケットを収集している

Slide 9

Slide 9 text

世界のBOTアクセス状況悪質なボットが生み出すトラフィックの増大ついにインターネット全体の 30% を埋め尽くす（2023年）悪意のある自動トラフィックは増加し続けている（人工知能（AI）や大規模言語モデル（LLM）の普及）業界別の悪性ボットトラフィックは、ゲーム業界が最も影響を受けているその他：電気通信・ISP業界コンピューター・IT業界悪質なボット・トラフィックの増大 Imperva（インパーバ）レポート ※出典： 2024 Imperva Bad Bot Report https://www.imperva.com/blog/five-key-takeaways-from-the-2024-imperva-bad-bot- report

Slide 10

Slide 10 text

世界のBOTアクセス状況２０２３年約１７.9％がフェイク・トラフィックである。２０２４年はオートメーションツールとＡＩによる自動化で更に増加していることが予想される。 CHEQ （チェク）The State of Fake Traffic 2024レポート ※出典： the-state-of-fake-traffic-2024 https://cheq.ai/

Slide 11

Slide 11 text

攻撃の事例 1.大手ECサイトでキャンペーンを数回に分けて実施することになった。 2.キャンペーン当日、大量のアクセスが発生！！（これ嬉しいこと） 3.サーバー側のミドルウェア、ネットワーク負荷が高く表示速度低下、エラーレスポンス発生。 4.サーバースペック増強などを行いなんとか回避。ただしコンバージョンはあまりよくなかった。

Slide 12

Slide 12 text

攻撃の事例 5. サーバー側のスペック問題だろうと判断し、次回キャンペーン時サーバーなど増強した状態で挑んだ。 6. しかし、また負荷による遅延などが発生。アクセスはさらに多くなったがコンバージョンは低かった。実はこれ、 BOTによる正規ユーザーになりすましたアクセスや、スキャン、攻撃によるもの。

Slide 13

Slide 13 text

主なＢＯＴの攻撃 1.BOTによる大量アクセス（インフラの負荷・コストが増加） 2.TCP・ＵＤＰセッション増加（FWの上限やセッションの枯渇） 3.脆弱性を突いた攻撃（情報漏洩など）近年では特に１，２が増加傾向にある。悪性ボットはますます高度化しており、人間の行動を真似することで検知を回避。（正規ユーザーと同じ振る舞いをするため、不正かどうか判断が難しい）無駄なアクセスがインフラコストの増加や負荷に直結してしまう。これらを適切に判断し防御する必要がある。

Slide 14

Slide 14 text

セキュリティ対策といえばWAF？ＷＡＦの種類

Slide 15

Slide 15 text

WAF/FIREWALL/IPSの違い FireWallはネットワークレベルのセキュリティ対策で、ある IPアドレスからアクセスを許可・またはブロックするというようにIPとポートをみて判断することしか出来ません。その通信の中身が不正かどうかまでは判断出来ないため、 HTTP(s)で正常なリクエストを装った不正アクセスなのかどうか判別が難しいことになります。 IPS（Intrusion Prevention System）はOSやミドルウェアのぜい弱性を悪用した攻撃やさまざまな種類の攻撃をシグネチャに基づいて防御を行ないます。異常が発見された場合は通知・ブロックする必要があるため、ネットワーク構成上は経路上に配置する必要があるという構成上の制約があります。 Webアプリケーションへのリクエストに対してシグネチャまたはブラックリストに基づき防御を行ないます。レイヤーとしては下からFireWall→IPS→WAFというように一番上のレイヤーでリクエストの中身をみてハンドリングできることが特徴です。全てが統合されたWAFサービスもある。

Slide 16

Slide 16 text

WAFのタイプ •インストール型サーバーにエージェントなどを直接インストールするタイプ。サーバー内部で判定するため、判定制度の低下やサーバー側のリソースが増加する。インストールやUpdate、ライセンスコストはサーバー台数分発生する。 DDOS対策はできない。 •Proxy型 DNSでWAFに向けるタイプ。サーバー側は無加工で実装できること、サーバー側のリソース消費は少ない。 Proxy型なのでWeb表示速度などパフォーマンスDownは少なからず発生する。トラフィック量やアクセス数に応じた課金となり高額になりやすく予算も組みにくい。どちらも一長一短があるため現状のインフラ構成にあわせて選択する必要がある。ＣＤＮはProxy型と同様だが、WAF単体の弱点を総合的にカバーできるのがメリット！

Slide 17

Slide 17 text

CDNとは？ Content Delivery Network

Slide 18

Slide 18 text

分散配置されたネットワーク上でアクセス元から近いサーバーに誘導しコンテンツを高速に配信するネットワーク What is CDN？(Content Delivery Network) 1 キャッシュサイトアクセス Web高速化突発的なアクセス対策サーバー負荷対策セキュリティ対策 Web高速化

Slide 19

Slide 19 text

CDNの概要 GSLB（Global Server Load Balancing) ANYCASTネットワーク同一のIPアドレスを持ったエッジを分散配置し、経路制御によりネットワーク的にもっとも近いエッジサーバにアクセスを誘導するローカルDNSのIPアドレスに近いエッジに振り分ける近いエッジに誘導する主な方法主にGSLBタイプとANYCASTタイプの2通り存在する（P2PCDNやWeb RTC CDN等は除く）

Slide 20

Slide 20 text

CDNの概要（GSLBの仕組み）・アクセス元（正確にはアクセスするクライアントではなくローカルDNS）のＩＰアドレスをベースに位置情報データベース等を用いて、近いエッジサーバーに誘導する。・ローカルDNSとのRTT（DNSクエリ、TCPなど）を考慮したIP応答を実施する。 GSLBは、ローカルDNSサーバーに近いエッジIPを返す。ラウンドトリップタイムを考慮し最適なIPを返す。 GSLB EU エッジローカルDNS US エッジローカルDNS

Slide 21

Slide 21 text

CDN（統合セキュリティ）でおこなう代表的なセキュリティ対策

Slide 22

Slide 22 text

CDNでおこなう様々なセキュリティ対策 •オリジンを簡易的に隠すことができる •クライアントIP制限 •プロトコルやHTTPの最新化！（HTTP/3やTLS1.3 安全なサイファースイート） •WAFサービスによるL7のカバー •BOT対策（不正IPブロックなど） •国ベース（ＧＥＯＩＰ）のアクセス制限ＷＡＦでも可能ロードバランサーなどでも可能

Slide 23

Slide 23 text

Slide 24

Slide 24 text

CDNでおこなう様々なセキュリティ対策 •DDOS対策（大規模なエッジサーバーでカバーする） •X-forwarded-forヘッダーの偽装防止（正規のクライアントIP判定） •レスポンスヘッダーを隠す、セキュリティ関連ヘッダーを付与する •CDNからのリクエストだけ許可するようセキュリティヘッダーによる制御 •レートリミット（ガンガンくるユーザーを独自ルールで排除できる） •L4防御これ全部CDNでできます！これらを全て１カ所で実装すると、パフォーマンスに影響がでてくるため、弊社ではつぎのような工夫をしています。 •オリジンを隠すことができる •クライアントIP制限 •プロトコルやHTTPの最新化！（HTTP/3やTLS1.3 安全なサイファースイート）） •統合WAFサービスによるL7のカバー •BOT対策（不正IPブロック） •国ベース（ＧＥＯＩＰ）のアクセス制限

Slide 25

Slide 25 text

レッドボックスではレイヤー毎にセキュリティ対策を分離しエッジのパフォーマンスを上げている

Slide 26

Slide 26 text

1：フロントのエッジに機能を集中させる場合フロントのエッジに負荷が集中し、さらにエッジ全体で負荷のばらつきが発生する 1カ所集中型の場合 GSLB エッジ高エッジ低オリジン同じ判定、リクエストが各エッジで処理されるため非効率エッジ中クライアントIP制限ＨＴＴＰＳ通信ＷＡＦＢＯＴ対策ＧＥＯＩＰＤＤＯＳＬ４防御各種ヘッダー制御レートリミット

Slide 27

Slide 27 text

1：レイヤーによる処理の分散フロントでは、低レイヤーの機能、集約したリクエストを元により高レイヤーの処理レイヤー構造を用いた処理の分散 GSLB エッジ1 エッジ2 中間キャッシュオリジンエッジ3 ＷＡＦＢＯＴ対策各種ヘッダー制御レートリミットＤＤＯＳＬ４防御ＧＥＯＩＰクライアントIP制限同一リクエストは集約され中間キャッシュで1つの判定となる。無駄な通信をバックエンドから守る高レイヤーの集約されたリクエストだけ処理

Slide 28

Slide 28 text

エンハンスドLBを活用した振り分けフロント側でやばめなBOTを判定し、内容にあったバックエンドを選択エンドユーザーオリジン 443 TOKYO ISHIKARI フロントエッジ REDBOX DC 中間キャッシュ共通化レイヤーブリッジ接続エッジキャッシュエッジキャッシュエンハンスドLB HTTPヘッダーに振り分け用の識別ヘッダーを送信。エンハンスドで判定しサーバーグループに転送 REDBOX-BOT-S: yabaiBOT

Slide 29

Slide 29 text

さくらのクラウドで独自オプションの展開

Slide 30

Slide 30 text

CDNの課題（オリジン側のアクセス制限） CDNを入れていてもオリジンに直接アクセス可能な問題公開FQDNからオリジンは見えないが、オリジンに直接アクセスするとセキュリティをスルーできる外部からはオリジンは見えない 1 GSLB エッジ1 エッジ2 中間キャッシュオリジンエッジ3 悪意のあるユーザーが直接アクセス aaa.bbb.ccc.ddd aaa.bbb.ccc.ddd

Slide 31

Slide 31 text

CDNの課題（オリジン側のアクセス制限） CDNからのアクセスのみ許可する方法 CDNが付与するHTTPヘッダーをオリジンで判断する 2 GSLB エッジ1 エッジ2 中間キャッシュオリジンエッジ3 悪意のあるユーザーが直接アクセス X-Forwarded-For：xxx.yyy.zzz.aaa X-Redbox-Auth：himitunomojiretu Block ・独自ヘッダーがないとアクセスを拒否・XFFによるクライアントIP判別 XFFは偽装される可能性あり

Slide 32

Slide 32 text

STATICバックエンドIPオプション中間キャッシュ側で複数IP割り当てし、契約毎に決められたIPでオリジンへリクエストエンドユーザーオリジン 443 TOKYO ISHIKARI フロントエッジ REDBOX DC 独自にマルチIPを各テナント別にProxy エッジキャッシュエッジキャッシュエンハンスドLB SW Router SW Router 複数IP 複数IP 各契約毎に専用STATIC IPでフェッチ動的IPアドレス zzz.xxx.yyy.aaa zzz.xxx.yyy.bbb

Slide 33

Slide 33 text

STATICバックエンドIPオプションの利点 CDN利用時、運用をかえることなく、IP判定ができるオプションアプライアンスなどHTTPヘッダーを識別できないインフラでも、従来のIPアドレス判定方式がそのまま利用できる。ピュアなIPアドレスによる送信で、XFFヘッダー偽装防止が可能。ユースケース：・WordPressなどのプラグインで管理画面アクセス制限・ネットワーク機器のためヘッダーの判別が不可・サーバー側の設定変更が難しい・IPベースで判定するプログラムを組んでいる日本は、「固定ＩＰアドレスは安心」というイメージが強い。

Slide 34

Slide 34 text

<#> さくらのクラウド導入のキメテ 1. 隠れたコストゼロの料金 2. 国内で複数リージョン展開 3. 仮想アプライアンスが充実しIP追加が柔軟に対応できる

Slide 35

Slide 35 text

バーストという謎の制限事項謎のリージョン間転送料金一定以上使うと跳ね上がる料金さくらのクラウド導入の決め手（料金）時間ベースの単価課金従量課金がない代わりに使用量目安がきっちり記載されている。いつ利用して、いつ辞めても損する事がない。費用の算出と見積が簡単！さくらは見えないコストゼロで分かりやすい料金出典：https://cloud.sakura.ad.jp/payment/

Slide 36

Slide 36 text

さくらのクラウド導入の決め手（リージョン）外資ベンダーでは東京リージョンに複数ゾーンのみ早い段階からゾーンではなく東京以外の別リージョンがあった

Slide 37

Slide 37 text

さくらのクラウド導入の決め手（アプライアンスとIP）価格・機能ともにバランスが良いLB、リージョンに依存することがないグローバルなものエンハンスドLBの機能が結構強力

Slide 38

Slide 38 text

ＣＤＮがセキュリティ対策に選ばれる理由

Slide 39

Slide 39 text

ＣＤＮがセキュリティ対策に選ばれる理由 CDNで防御する5つの利点色々頑張らなくて良くなる 1 GSLB エッジ1 WAF エッジ2 WAF 中間キャッシュオリジンエッジ3 WAF 悪意のあるBOT・ユーザー Block yyy.xxx.aaa.bbb aaa.xxx.aaa.bbb ccc.xxx.aaa.bbb 4：手軽にオリジンを隠せる 2：HTTP HTTPS以外開放しないためスキャンの影響が少ない 1：エッジが分散されるため、一点集中攻撃がしにくい攻撃を別ルートに誘導 3：動的コンテンツをキャッシュ（静的化する） 5：WAFとCDNが統合されているため、運用が簡略化され調査もしやすい

Slide 40

Slide 40 text

ＣＤＮがセキュリティ対策に選ばれる理由 CDN+WAFという選択肢はどうなのか多段構成の難しさ、CDN側のキャッシュルールやブロック時の挙動の調整が必要 2 GSLB エッジ WAF オリジン悪意のあるBOT・ユーザー Block エラーレスポンスの調整必須ヘッダーのカスタマイズ必須 CDNもWAFも別々に管理するため、管理コストが増加しトラブル時切り分けが大変になる。正規ユーザー 403 HIT

Slide 41

Slide 41 text

エッジキャッシュCDNは、複数拠点に分散配置されたロケーションからコンテンツをコピーし次回以降のアクセスをCDNで処理する次世代の負荷分散・高速化サービスです。国内初！定額CDNサービスのご紹介 01 一歩先をゆく、日本初の月額定額CDNサービス。エッジキャッシュCDN 国内初の月額定額料金￥ POINT 1 信頼の高可用性 POINT 3 こだわりのサポート POINT 4 POINT 2 オーダーメイドオプション

Slide 42

Slide 42 text

<#> エッジキャッシュＣＤＮがセキュリティ対策に選ばれる理由 CDNベンダーの枠を越えたサービスの展開エッジ1 WAF エッジ2 WAF キャッシュ・負荷対策オリジンエッジ3 WAF STATICコンテンツのみオリジン直接ルート既存のWAF １：定額であるため、リクエスト数や転送量課金がなく安心できる２：セキュリティ対策以外にもWeb高速化、負荷分散が同時にできる３：既存WAFの負荷、コスト削減ができる •スコアリングの調整 •ホワイトリスト化 •Webサイトや攻撃にあったルール作りのお手伝い４：既に導入されているＷＡＦとの併用テスト５：現在利用しているＷＡＦのコスト削減・負荷対策の支援６：あるリクエストだけ任意のWAFサービスを経由するように設定可能 WAF リクエスト数転送量削減

Slide 43

Slide 43 text

レッドボックスCDNでの対策効果

Slide 44

Slide 44 text

レッドボックスCDNの対策効果大手ECサイト様のその後・・・ 1.開発会社の指示のもとCDNサービスを導入しキャンペーンに挑んでいた。 2.キャンペーン当日、大量のアクセスが発生！！（これ嬉しいこと） 3.ネットワーク負荷は若干軽減されたが、サーバー側のミドルウェアの負荷は高い状況が続く。 4.何か対策方法はないのか、という相談が弊社にきた。

Slide 45

Slide 45 text

レッドボックスCDNの対策効果１：Webサイトにあったキャッシュルールが設定されておらず、ページ生成負荷が発生していた。（CDNは導入して満足してはいけない）２：解析すると正常とは思えない機械的なアクセスが多かった。２つのチューニング・対策を行い導入後キャンペーン当日をむかえた。しかし、キャンペーン当日、トラフィックやアクセス数がかなり減った！と担当部署の偉いお方から緊急連絡！弊社で調べても特に問題となる箇所は見つからず、WAFの誤検知もなかった。

Slide 46

Slide 46 text

レッドボックスCDNの対策効果・実際のキャンペーン時のコンバージョンは前回の1.3倍程度となり、さらにインフラコストも削減できた。・１クリックあたりの広告効果も高くなった。結論：１：多くのアクセスがBOTや攻撃によるアクセスであった。２：CDNを導入しただけで満足してしまい、負荷分散効果がでていなかった。

Slide 47

Slide 47 text

ＣＤＮがセキュリティ対策に選ばれる理由 BOTプロテクション、無料WAFによる攻撃防御セキュリティ対策 1 サーバー側の転送量が削減され、スペックダウンも行うことができた。 WAFによる攻撃防御トラフィックが20％程度削減 BOTプロテクション不正トラフィックが13％削減

Slide 48

Slide 48 text

ＣＤＮがセキュリティ対策に選ばれる理由レートリミット、キャッシュによる静的化突発的な負荷対策 2 ピークアクセス時もCDNによりワンストップで対策レートリミット対策ピークトラフィックが43％程度削減キャッシュによる静的化 10倍のピークトラフィックをカバー

Slide 49

Slide 49 text

まとめ近年、BOTや不正アクセスはより賢くなっており、見えない所で見えないコスト（人件費、広告費、インフラコスト）を発生させている。セキュリティ対策は予算が取りずらいが、 CDNを選ぶことでセキュリティ+Web高速化 + 負荷分散が同時に行えるためより検討しやすくなるのではないでしょうか。レッドボックスではWeb高速化、セキュリティ対策、突発的なアクセス対策をワンストップで可能なサービスを展開中。これからもお客様のご要望をシンプルに実現するべく、さくらのクラウドを活用してく予定です。 Web高速化セキュリティ突発的なアクセス対策

Slide 50

Slide 50 text

レッドボックスは純国産CDNのリーディングカンパニーです。レッドボックスお気軽にお問い合わせください！ 03 - 6431 - 0076 [email protected] https://www.redbox.ne.jp ブログはこちらから