BOTに立ち向かう！CDNで守る現代のWebセキュリティ

Transcript

1. BOTに立ち向かう！ CDNで守る現代のWebセキュリティ C D N で セ キ ュ リ

   テ ィ 対 策 WEB高速化 セキュリティ対策 負荷対策 合同会社レッドボックス https://www.redbox.ne.jp

2. セキュリティ対策していますか？ セキュリティといってもWAFや脆弱性チェックなど様々。 このような経験はないでしょうか？ それ、もしかしたら不正アクセス（BOT）かもしれません。 サ ー バ ー の 負

   荷 が 高 く 時 間 帯 に よ っ て 速 度 が 遅 い こ と が あ る 。 ア ク セ ス 数 や ト ラ フ ィ ッ ク が 急 増 し て い るが コ ン バ ー ジ ョ ン が 低 い 。

3. About me 01 ＮＡＭＥ | 小川かつひさ（Katsuhisa Ogawa) 所属会社 | 合同会社レッドボックス

   CEO Ｌｉｋｅ | キャッシュ・負荷分散・Web高速化！ | www.facebook.com/ogawaka | @ogawaka | https://blog.redbox.ne.jp 執筆・レビュー AWARD

4. レッドボックスについて 02 会社名 | 合同会社レッドボックス（RedBox LLC) 代表 | 小川 勝久（Katsuhisa

   Ogawa） 所在地 | 東京都渋谷区（本社）・サンフランシスコ（R&D） 設立 | 2015年3月 主な事業・サービス | 定額CDNサービス（国内・海外）※2015年 国内初の定額CDNを展開 CDNコンサルティング Web高速化事業 CDNに関するメディア展開 キャッシュに関わるあらゆる開発

5. Anniversary 10th 03

6. 目次 なぜ、いまセキュリティ対策が求められているのか ＣＤＮとは？基本機能と仕組み CDNで行う代表的なセキュリティ対策 さくらのクラウドで独自オプションの開発 さくらのクラウド導入のキメテ CDNがセキュリティ対策に選ばれる理由 レッドボックスCDNの効果 01 02

   03 04 05 06 07 CDNでおこなうセキュリティ対策

7. なぜ、いまセキュリティ対策が 求められているのか

8. パケットでみた場合 2015年：約632億パケット 2022年：約5,226億パケット（2015年比で約8.3倍） 2023年：約6,197億パケット（2015年比で約9.8倍） 総務省：第Ⅱ部 情報通信分野の現状と課題 ※出典： th第Ⅱ部 情報通信分野の現状と課題 https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06

   /html/nd21a210.html?utm_source=chatgpt.com NICTERでダークネット観測 NICTは2005年から大規模なダークネッ ト観測網「NICTER（ニクター）」を運 用している。 ダークネットとは企業や組 織に割り当てられているものの、実際に は使われていないIPアドレス群を指す。 NICTERは観測網用に約30万個のIPアド レスを用意し、そこに届くサイバー攻撃 関連のパケットを収集している

9. 世界のBOTアクセス状況 悪質なボットが生み出すトラフィックの増大 ついにインターネット全体の 30% を埋め尽くす （2023年） 悪意のある自動トラフィックは増加し続けている （人工知能（AI）や大規模言語モデル（LLM）の普及） 業界別の悪性ボットトラフィックは、 ゲーム業界が最も影響を受けている

   その他：電気通信・ISP業界 コンピューター・IT業界 悪質なボット・トラフィックの増大 Imperva（インパーバ）レポート ※出典： 2024 Imperva Bad Bot Report https://www.imperva.com/blog/five-key-takeaways-from-the-2024-imperva-bad-bot- report

10. 世界のBOTアクセス状況 ２０２３年 約１７.9％がフェイク・トラフィックである。 ２０２４年はオートメーションツールと ＡＩによる自動化で 更に増加していることが予想される。 CHEQ （チェク）The State of

    Fake Traffic 2024レポート ※出典： the-state-of-fake-traffic-2024 https://cheq.ai/

11. 攻撃の事例 1.大手ECサイトでキャンペーンを数回に分けて実施することになった。 2.キャンペーン当日、大量のアクセスが発生！！（これ嬉しいこと） 3.サーバー側のミドルウェア、ネットワーク負荷が高く表示速度低下、エラーレスポンス発生。 4.サーバースペック増強などを行いなんとか回避。ただしコンバージョンはあまりよくなかった。

12. 攻撃の事例 5. サーバー側のスペック問題だろうと判断し、次回キャンペーン時サーバーなど増強した状態 で挑んだ。 6. しかし、また負荷による遅延などが発生。アクセスはさらに多くなったがコンバージョンは 低かった。 実はこれ、 BOTによる正規ユーザーになりすましたアクセスや、 スキャン、攻撃によるもの。

13. 主なＢＯＴの攻撃 1.BOTによる大量アクセス（インフラの負荷・コストが増加） 2.TCP・ＵＤＰセッション増加（FWの上限やセッションの枯渇） 3.脆弱性を突いた攻撃（情報漏洩など） 近年では特に１，２が増加傾向にある。 悪性ボットはますます高度化しており、人間の行動を真似することで検知を回避。 （正規ユーザーと同じ振る舞いをするため、不正かどうか判断が難しい） 無駄なアクセスがインフラコストの増加や負荷に直結してしまう。 これらを適切に判断し防御する必要がある。

14. セキュリティ対策といえばWAF？ ＷＡＦの種類

15. WAF/FIREWALL/IPSの違い FireWallはネットワークレベルのセキュリティ対策で、ある IPアドレスからアクセスを許可・またはブロックするという ようにIPとポートをみて判断することしか出来ません。その 通信の中身が不正かどうかまでは判断出来ないため、 HTTP(s)で正常なリクエストを装った不正アクセスなのかど うか判別が難しいことになります。 IPS（Intrusion Prevention System）はOSやミドルウェ

    アのぜい弱性を悪用した攻撃やさまざまな種類の攻撃を シグネチャに基づいて防御を行ないます。異常が発見さ れた場合は通知・ブロックする必要があるため、ネット ワーク構成上は経路上に配置する必要があるという構成 上の制約があります。 Webアプリケーションへのリクエストに対してシグネチャ またはブラックリストに基づき防御を行ないます。レイ ヤーとしては下からFireWall→IPS→WAFというように一番 上のレイヤーでリクエストの中身をみてハンドリングでき ることが特徴です。 全てが統合されたWAFサービスもある。

16. WAFのタイプ •インストール型 サーバーにエージェントなどを直接インストールするタイプ。 サーバー内部で判定するため、判定制度の低下やサーバー側のリソースが増加する。 インストールやUpdate、ライセンスコストはサーバー台数分発生する。 DDOS対策はできない。 •Proxy型 DNSでWAFに向けるタイプ。 サーバー側は無加工で実装できること、サーバー側のリソース消費は少ない。 Proxy型なのでWeb表示速度などパフォーマンスDownは少なからず発生する。

    トラフィック量やアクセス数に応じた課金となり高額になりやすく予算も組みにくい。 どちらも一長一短があるため現状のインフラ構成にあわせて選択する必要がある。 ＣＤＮはProxy型と同様だが、WAF単体の弱点を総合的にカバーできるのがメリット！

17. CDNとは？ Content Delivery Network

18. 分散配置されたネットワーク上で アクセス元から近いサーバーに誘導し コンテンツを高速に配信するネットワーク What is CDN？(Content Delivery Network) 1 キャッシュ

    サイトアクセス Web高速化 突発的なアクセス対策 サーバー負荷対策 セキュリティ対策 Web高速化

19. CDNの概要 GSLB（Global Server Load Balancing) ANYCASTネットワーク 同一のIPアドレスを持ったエッジを分散配置し、 経路制御によりネットワーク的にもっとも近い エッジサーバにアクセスを誘導する ローカルDNSのIPアドレスに

    近いエッジに振り分ける 近いエッジに誘導する主な方法 主にGSLBタイプとANYCASTタイプの2通り存在する（P2PCDNやWeb RTC CDN等は除く）

20. CDNの概要（GSLBの仕組み） ・アクセス元（正確にはアクセスするクライアントで はなくローカルDNS）のＩＰアドレスをベースに位置 情報データベース等を用いて、近いエッジサーバーに 誘導する。 ・ローカルDNSとのRTT（DNSクエリ、TCPなど）を考 慮したIP応答を実施する。 GSLBは、ローカルDNSサーバーに近いエッジIPを返す。 ラウンドトリップタイムを考慮し最適なIPを返す。 GSLB

    EU エッジ ローカルDNS US エッジ ローカルDNS

21. CDN（ 統合セキュリティ）でおこなう 代表的なセキュリティ対策

22. CDNでおこなう様々なセキュリティ対策 •オリジンを簡易的に隠すことができる •クライアントIP制限 •プロトコルやHTTPの最新化！（HTTP/3やTLS1.3 安全なサイファースイート） •WAFサービスによるL7のカバー •BOT対策（不正IPブロックなど） •国ベース（ＧＥＯＩＰ）のアクセス制限 ＷＡＦでも可能 ロードバランサーなどでも可能

23. CDNでおこなう様々なセキュリティ対策 •DDOS対策（大規模なエッジサーバーでカバーする） •X-forwarded-forヘッダーの偽装防止（正規のクライアントIP判定） •レスポンスヘッダーを隠す、セキュリティ関連ヘッダーを付与する •CDNからのリクエストだけ許可するようセキュリティヘッダーによる制御 •レートリミット（ガンガンくるユーザーを独自ルールで排除できる） •L4防御（不正BOT IPからのブロックなど） •GSLBなどのルーティングの判定で、BOTや不正アクセスを誘導 ＣＤＮが得意としている項目

    特に この2つが強力

24. CDNでおこなう様々なセキュリティ対策 •DDOS対策（大規模なエッジサーバーでカバーする） •X-forwarded-forヘッダーの偽装防止（正規のクライアントIP判定） •レスポンスヘッダーを隠す、セキュリティ関連ヘッダーを付与する •CDNからのリクエストだけ許可するようセキュリティヘッダーによる制御 •レートリミット（ガンガンくるユーザーを独自ルールで排除できる） •L4防御 これ全部CDNでできます！ これらを全て１カ所で実装すると、パフォーマンスに影響がでてくるため、 弊社ではつぎのような工夫をしています。

    •オリジンを隠すことができる •クライアントIP制限 •プロトコルやHTTPの最新化！（HTTP/3やTLS1.3 安全なサイファースイート）） •統合WAFサービスによるL7のカバー •BOT対策（不正IPブロック） •国ベース（ＧＥＯＩＰ）のアクセス制限

25. レッドボックスではレイヤー毎に セキュリティ対策を分離し エッジのパフォーマンスを上げている

26. 1：フロントのエッジに機能を集中させる場合 フロントのエッジに負荷が集中し、さらにエッジ全体で負荷のばらつきが発生する 1カ所集中型の場合 GSLB エッジ高 エッジ低 オリジン 同じ判定、リクエストが各エッジで処理されるため非効率 エッジ中 クライアントIP制限

    ＨＴＴＰＳ通信 ＷＡＦ ＢＯＴ対策 ＧＥＯＩＰ ＤＤＯＳ Ｌ４防御 各種ヘッダー制御 レートリミット

27. 1：レイヤーによる処理の分散 フロントでは、低レイヤーの機能、集約したリクエストを元により高レイヤーの処理 レイヤー構造を用いた処理の分散 GSLB エッジ1 エッジ2 中間キャッシュ オリジン エッジ3 ＷＡＦ

    ＢＯＴ対策 各種ヘッダー制御 レートリミット ＤＤＯＳ Ｌ４防御 ＧＥＯＩＰ クライアントIP制限 同一リクエストは集約され中間キャッシュで1つの判定となる。 無駄な通信をバックエンドから守る 高レイヤーの集約されたリクエストだけ処理

28. エンハンスドLBを活用した振り分け フロント側でやばめなBOTを判定し、内容にあったバックエンドを選択 エンド ユーザー オリジン 443 TOKYO ISHIKARI フロントエッジ REDBOX

    DC 中間キャッシュ 共通化レイヤー ブリッジ 接続 エッジキャッシュ エッジキャッシュ エンハンスドLB HTTPヘッダーに振り分け用の識別 ヘッダーを送信。 エンハンスドで判定しサーバーグループに転送 REDBOX-BOT-S: yabaiBOT

29. さくらのクラウドで独自オプションの展開

30. CDNの課題（オリジン側のアクセス制限） CDNを入れていてもオリジンに直接アクセス可能な問題 公開FQDNからオリジンは見えないが、オリジンに直接アクセスするとセキュリティをスルーできる 外部からはオリジンは見えない 1 GSLB エッジ1 エッジ2 中間キャッシュ オリジン

    エッジ3 悪意のあるユーザーが直接アクセス aaa.bbb.ccc.ddd aaa.bbb.ccc.ddd

31. CDNの課題（オリジン側のアクセス制限） CDNからのアクセスのみ許可する方法 CDNが付与するHTTPヘッダーをオリジンで判断する 2 GSLB エッジ1 エッジ2 中間キャッシュ オリジン エッジ3

    悪意のあるユーザーが直接アクセス X-Forwarded-For：xxx.yyy.zzz.aaa X-Redbox-Auth：himitunomojiretu Block ・独自ヘッダーがないとアクセスを拒否 ・XFFによるクライアントIP判別 XFFは偽装される可能性あり

32. STATICバックエンドIPオプション 中間キャッシュ側で複数IP割り当てし、契約毎に決められたIPでオリジンへリクエスト エンド ユーザー オリジン 443 TOKYO ISHIKARI フロントエッジ REDBOX

    DC 独自にマルチIPを各テナント別にProxy エッジキャッシュ エッジキャッシュ エンハンスドLB SW Router SW Router 複数IP 複数IP 各契約毎に専用STATIC IPでフェッチ 動的IPアドレス zzz.xxx.yyy.aaa zzz.xxx.yyy.bbb

33. STATICバックエンドIPオプションの利点 CDN利用時、運用をかえることなく、IP判定ができるオプション アプライアンスなどHTTPヘッダーを識別できないインフラでも、 従来のIPアドレス判定方式がそのまま利用できる。 ピュアなIPアドレスによる送信で、XFFヘッダー偽装防止が可能。 ユースケース： ・WordPressなどのプラグインで管理画面アクセス制限 ・ネットワーク機器のためヘッダーの判別が不可 ・サーバー側の設定変更が難しい ・IPベースで判定するプログラムを組んでいる

    日本は、「固定ＩＰアドレスは安心」というイメージが強い。

34. <#> さくらのクラウド導入のキメテ 1. 隠れたコストゼロの料金 2. 国内で複数リージョン展開 3. 仮想アプライアンスが充実しIP追加が柔軟に対応できる

35. バーストという謎の制限事項 謎のリージョン間転送料金 一定以上使うと跳ね上がる料金 さくらのクラウド導入の決め手（料金） 時間ベースの単価課金 従量課金がない代わりに使用量目安がきっちり記載されている。 いつ利用して、いつ辞めても損する事がない。費用の算出と見積が簡単！ さくらは見えないコストゼロで分かりやすい料金 出典：https://cloud.sakura.ad.jp/payment/

36. さくらのクラウド導入の決め手（リージョン） 外資ベンダーでは東京リージョンに複数ゾーンのみ 早い段階からゾーンではなく東京以外の別リージョンがあった

37. さくらのクラウド導入の決め手（アプライアンスとIP） 価格・機能ともにバランスが良いLB、リージョンに依存することがないグローバルなもの エンハンスドLBの機能が結構強力

38. ＣＤＮがセキュリティ対策に 選ばれる理由

39. ＣＤＮがセキュリティ対策に選ばれる理由 CDNで防御する5つの利点 色々頑張らなくて良くなる 1 GSLB エッジ1 WAF エッジ2 WAF 中間キャッシュ

    オリジン エッジ3 WAF 悪意のあるBOT・ユーザー Block yyy.xxx.aaa.bbb aaa.xxx.aaa.bbb ccc.xxx.aaa.bbb 4：手軽にオリジンを隠せる 2：HTTP HTTPS以外開放しないためスキャンの影響が少ない 1：エッジが分散されるため、 一点集中攻撃がしにくい 攻撃を別ルートに誘導 3：動的コンテンツをキャッシュ（静的化する） 5：WAFとCDNが統合されているため、運用が簡略化され調査もしやすい

40. ＣＤＮがセキュリティ対策に選ばれる理由 CDN+WAFという選択肢はどうなのか 多段構成の難しさ、CDN側のキャッシュルールやブロック時の挙動の調整が必要 2 GSLB エッジ WAF オリジン 悪意のあるBOT・ ユーザー

    Block エラーレスポンスの調整必須 ヘッダーのカスタマイズ必須 CDNもWAFも別々に管理するため、管理コストが増加しトラブル時切り分けが大変になる。 正規ユーザー 403 HIT

41. エッジキャッシュCDNは、複数拠点に分散配置されたロケーションからコンテンツをコピーし 次回以降のアクセスをCDNで処理する次世代の負荷分散・高速化サービスです。 国内初！定額CDNサービスのご紹介 01 一歩先をゆく、日本初の月額定額CDNサービス。 エッジキャッシュCDN 国内初の 月額定額料金 ￥ POINT

    1 信頼の 高可用性 POINT 3 こだわりの サポート POINT 4 POINT 2 オーダーメイド オプション

42. <#> エッジキャッシュＣＤＮがセキュリティ対策に選ばれる理由 CDNベンダーの枠を越えたサービスの展開 エッジ1 WAF エッジ2 WAF キャッシュ・負荷対策 オリジン エッジ3

    WAF STATICコンテンツのみ オリジン直接ルート 既存のWAF １：定額であるため、リクエスト数や転送量課金がなく安心できる ２：セキュリティ対策以外にもWeb高速化、負荷分散が同時にできる ３：既存WAFの負荷、コスト削減ができる •スコアリングの調整 •ホワイトリスト化 •Webサイトや攻撃にあったルール作りのお手伝い ４：既に導入されているＷＡＦとの併用テスト ５：現在利用しているＷＡＦのコスト削減・負荷対策の支援 ６：あるリクエストだけ任意のWAFサービスを経由するように設定可能 WAF リクエスト数 転送量削減

43. レッドボックスCDNでの対策効果

44. レッドボックスCDNの対策効果 大手ECサイト様のその後・・・ 1.開発会社の指示のもとCDNサービスを導入しキャンペーンに挑んでいた。 2.キャンペーン当日、大量のアクセスが発生！！（これ嬉しいこと） 3.ネットワーク負荷は若干軽減されたが、サーバー側のミドルウェアの負荷は高い状況が続く。 4.何か対策方法はないのか、という相談が弊社にきた。

45. レッドボックスCDNの対策効果 １：Webサイトにあったキャッシュルールが設定されておらず、 ページ生成負荷が発生していた。（CDNは導入して満足してはいけない） ２：解析すると正常とは思えない機械的なアクセスが多かった。 ２つのチューニング・対策を行い導入後キャンペーン当日をむかえた。 しかし、 キャンペーン当日、トラフィックやアクセス数がかなり減った！と担当部署の偉いお方から緊急 連絡！弊社で調べても特に問題となる箇所は見つからず、WAFの誤検知もなかった。

46. レッドボックスCDNの対策効果 ・実際のキャンペーン時のコンバージョンは前回の1.3倍程度となり、 さらにインフラコストも削減できた。 ・１クリックあたりの広告効果も高くなった。 結論： １：多くのアクセスがBOTや攻撃によるアクセスであった。 ２：CDNを導入しただけで満足してしまい、負荷分散効果がでていなかった。

47. ＣＤＮがセキュリティ対策に選ばれる理由 BOTプロテクション、無料WAFによる攻撃防御 セキュリティ対策 1 サーバー側の転送量が削減され、スペックダウンも行うことができた。 WAFによる攻撃防御 トラフィックが20％程度削減 BOTプロテクション 不正トラフィックが13％削減

48. ＣＤＮがセキュリティ対策に選ばれる理由 レートリミット、キャッシュによる静的化 突発的な負荷対策 2 ピークアクセス時もCDNによりワンストップで対策 レートリミット対策 ピークトラフィックが43％程度削減 キャッシュによる静的化 10倍のピークトラフィックをカバー

49. まとめ 近年、BOTや不正アクセスはより賢くなっており、 見えない所で見えないコスト（人件費、広告費、インフラコスト）を発生させている。 セキュリティ対策は予算が取りずらいが、 CDNを選ぶことでセキュリティ+Web高速化 + 負荷分散 が同時に行えるため より検討しやすくなるのではないでしょうか。 レッドボックスではWeb高速化、セキュリティ対策、突発的なアクセス対策を

    ワンストップで可能なサービスを展開中。 これからもお客様のご要望をシンプルに実現するべく、 さくらのクラウドを活用してく予定です。 Web高速化 セ キ ュ リ テ ィ 突発的なアクセス 対策

50. レッドボックスは 純国産CDNのリーディングカンパニーです。 レッドボックス お気軽にお問い合わせください！ 03 - 6431 - 0076 [email protected]

    https://www.redbox.ne.jp ブログはこちらから