Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS DDoS攻撃防御の最前線
Search
R.Kondo
August 07, 2025
Technology
0
110
AWS DDoS攻撃防御の最前線
2025/8/7(木)CO-LAB Tech Night vol.2 Cloud Security Night #3 LT登壇資料
R.Kondo
August 07, 2025
Tweet
Share
More Decks by R.Kondo
See All by R.Kondo
カップ麺の待ち時間(3分)でわかるPartyRockアップデート
ryutakondo
0
250
面倒な議事録作成は Amazon Bedrockにおまかせ!
ryutakondo
0
240
簡単にWebアプリからS3にアクセス - AWS Transfer Family Web Apps
ryutakondo
2
210
GuardDutyで始める S3のマルウェア対策
ryutakondo
0
110
サービス新規利用終了!? Cloud9の代替選択肢
ryutakondo
1
480
Other Decks in Technology
See All in Technology
KubeCon + CloudNativeCon Japan 2025 Recap
donkomura
0
160
【CEDEC2025】現場を理解して実現!ゲーム開発を効率化するWebサービスの開発と、利用促進のための継続的な改善
cygames
PRO
0
720
Oracle Cloud Infrastructure:2025年7月度サービス・アップデート
oracle4engineer
PRO
1
110
金融サービスにおける高速な価値提供とAIの役割 #BetAIDay
layerx
PRO
1
720
LLMで構造化出力の成功率をグンと上げる方法
keisuketakiguchi
0
380
反脆弱性(アンチフラジャイル)とデータ基盤構築
cuebic9bic
2
160
20250728 MCP, A2A and Multi-Agents in the future
yoshidashingo
1
210
Lambda management with ecspresso and Terraform
ijin
2
130
オブザーバビリティプラットフォーム開発におけるオブザーバビリティとの向き合い / Hatena Engineer Seminar #34 オブザーバビリティの実現と運用編
arthur1
0
340
Claude Codeが働くAI中心の業務システム構築の挑戦―AIエージェント中心の働き方を目指して
os1ma
9
1.5k
20250807_Kiroと私の反省会
riz3f7
0
140
モバイルゲームの開発を支える基盤の歩み ~再現性のある開発ラインを量産する秘訣~
qualiarts
0
1.1k
Featured
See All Featured
Build your cross-platform service in a week with App Engine
jlugia
231
18k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Raft: Consensus for Rubyists
vanstee
140
7k
A designer walks into a library…
pauljervisheath
207
24k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
How GitHub (no longer) Works
holman
314
140k
Into the Great Unknown - MozCon
thekraken
40
2k
Side Projects
sachag
455
43k
For a Future-Friendly Web
brad_frost
179
9.9k
Visualization
eitanlees
146
16k
Transcript
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 本資料の内容は発表者の個⼈的⾒解であり、所属組織の公式⾒解を⽰すものではありません。 本資料に記載されている製品名、会社名、ロゴ等は、各社の商標または登録商標です。 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 2025.08.07 Thu. CO-LAB Tech Night vol.2 Cloud Security Night #3 伊藤忠テクノソリューションズ株式会社 近藤 隆太 – Ryuta Kondo
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
⾃⼰紹介 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 伊藤忠テクノソリューションズ株式会社(略称CTC) 広域・社会インフラ事業グループ ⻄⽇本技術統括本部 ⻄⽇本ソリューションビジネス部 近藤 隆太 Kondo Ryuta - 2024 Japan AWS Jr.Champion - 2025 AWS Community Builder (AI Engineering) - 2025 Japan AWS Top Engineers (Services) TechBlog:https://www.ctc-g.co.jp/solutions/cloud/column/ - 略歴 2022年に⼊社し、ネットワークセキュリティの設計および構築業務を経験。 現在は主にAWSを中⼼としたクラウドセキュリティ関連の設計構築や ソリューション企画・開発に従事。 オーストリアからこんにちは ▲ Expo 2025 Osaka,Kansai,Japan オーストリアパビリオンのドローイング
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Agenda Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ・DDoS攻撃の被害状況 ・AWSにおけるDDoS攻撃防御のアプローチ ・AWS WAFの活⽤ ・(おまけ)AWS WAFとAmazon Bedrockを組み合わせたセキュリティ運⽤
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
DDoS攻撃の被害状況 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 ⽇本国内での被害例 2024年12⽉26⽇ 航空会社 空港の⾃動⼿荷物預け機が利⽤不可に。⾶⾏機の遅延発⽣ 2024年12⽉26⽇ メガバンク インターネットバンキングの利⽤が不安定な状況に 2024年12⽉31⽇ メガバンク インターネットバンキングが断続的にアクセスできない状況に 2025年 1⽉ 2⽇ 通信会社 ⼀部サービスが利⽤しにくい状況に 2025年 1⽉ 9⽇ 気象会社 複数回に渡り被害。Web版サービスが利⽤しにくい状況に 2024-25の年末年始にかけてDDoS攻撃による被害が多発 DDoS攻撃とは︖ 複数のコンピュータから⼀⻫に⼤量の通信を送りつけ、サーバーやWebサイトをダウンさせる攻撃。
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
DDoS攻撃の被害状況 Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 IPA(独⽴⾏政法⼈ 情報処理推進機構)の「情報セキュリティ10⼤脅威 2025」に 5年ぶりに8位にランクイン 順位 「組織向け」脅威 1 ランサム攻撃による被害 2 サプライチェーンや委託先を狙った攻撃 3 システムの脆弱性を突いた攻撃 4 内部不正による情報漏えい等 5 機密情報を狙った標的型攻撃 6 リモートワークなどの環境や仕組みを狙った攻撃 7 地政学的リスクに起因するサーバー攻撃 8 分散型サービス妨害攻撃(DDoS攻撃) 9 ビジネスメール詐欺 10 不注意による情報漏えい等 出典︓独⽴⾏政法⼈ 情報処理推進機構「情報セキュリティ10⼤脅威 2025」 https://www.ipa.go.jp/security/10threats/10threats2025.html 事業(サービス)の継続性を維持するためにはDDoS攻撃への防御が不可⽋
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 話に⼊る前に・・・。 AWSが公開しているホワイトペーパーでDDoS攻撃に対するベストプラクティスが公開されています︕ https://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.html 本⽇はホワイトペーパーに則ったDDoS攻撃防御をお話しします︕
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 1 2 3 4 5 エッジロケーション サービスを利⽤する VPC内での オリジンの保護 AWS WAF を使⽤する スケーラブルな アーキテクチャ AWS Shield を使⽤する
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 AWS Cloud リージョン VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront AWS WAF Amazon Route 53 Amazon S3 AWS CloudTrail Amazon CloudWatch User
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 AWS Cloud リージョン VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront AWS WAF Amazon Route 53 Amazon S3 AWS CloudTrail Amazon CloudWatch User 1 3 3 4 2 5 5 5 1
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 1 エッジロケーションサービスを利⽤する AWS Cloud Amazon CloudFront AWS WAF Amazon Route 53 User •Route53を利⽤し、DNSサーバへの攻撃に備える ⾼可⽤性なDNSサービス(SLA100%)で ⼤量のDNSトラフィック処理が可能 •CloudFrontにてエッジロケーションで攻撃を防ぐ 1.CloudFrontのキャッシュ機能を⽤いて オリジンへの負荷を軽減 2.コンテンツの地域的ディストリビューション制限 によるアクセス元の地域制限 3.Slow攻撃の緩和 ⾃動的に接続を閉じる機能を保有している 4.AWS WAFの併⽤※後述
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 2 VPC内でのオリジンの保護 VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF Amazon CloudFront •オリジンの隠蔽(攻撃対象範囲の縮⼩) CloudFrontマネージドプレフィックスリストを ⽤いてセキュリティグループとネットワークACL でELBのアクセス元をCloudFrontのIPアドレス に制限する
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 3 AWS WAFを使⽤する AWS WAF •Webアプリケーションファイアウォールの使⽤ CloudFrontやELBに適⽤する CloudFrontのダッシュボード画⾯から 簡単にAWS WAFの適⽤が可能
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 4 スケーラブルなアーキテクチャ VPC Private subnet Public subnet Instance Elastic Load Balancing AWS WAF •ELBとAutoScalingで負荷に対応 ELB+AutoScalingを利⽤した スケーリング+負荷分散で 突然の急激な負荷に対応する
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWSにおけるDDoS攻撃防御のアプローチ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 5 AWS Shieldを使⽤する AWS Shield AWSにおけるDDoS攻撃防御の代表 • AWS Shield Standard 無料で設定されているL 3,L4層の DDoS緩和サービス • AWS Shield Advanced ⽉額3000ドル(年間契約) L7の攻撃まで防御可能 予算があれば⼀番強⼒なDDoS対策 DDoS対策の専⾨チームが24/365で対応 (AWSのSRTチーム) AWS WAFの運⽤も⾏なってくれる DDoS攻撃時に増加したCloudFrontや Route53の利⽤料⾦の返⾦
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) レートベースルール(カスタムルール) 1 Amazon IP評価リストマネージドルールグループ 2 匿名IPリストマネージドグループ 3 AWS WAF Bot Controlルールグループ(追加料⾦) 4 AWS WAF DDoS防⽌ルールグループ(追加料⾦) 5
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) レートベースルール(カスタムルール) 1 ⼀定時間内のリクエスト数をカウントし、閾値を超えた場合にトリガーされるルール •通常時のトラフィック量を元に、リクエストの閾値を設定 AWS公式ブログでは基本的なレートベースルールとして 「5分間に2000リクエスト」のルールを最も価値のあるルールの1例として HTTPフラッド攻撃への防御策として提⽰している。 通常時のトラフィック量が設定した閾値を上回っていないか精査が重要
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
Amazon IP評価リストマネージドルールグループ 2 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •AWSManagedIPReputationList 悪意のあるアクティビティに積極的に関与していると特定された IP アドレスを検査 •AWSManagedReconnaissanceList AWS リソースに対して偵察を実⾏している IP アドレスからの接続を検査 •AWSManagedIPDDoSList DDoS アクティビティにアクティブに関与していると識別された IP アドレスを検査 ルール単体ではブロックを⾏わずルールにマッチしたリクエストに ”awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList”という タグが付与される(タグを元にカスタムルールでするなど⼯夫が必要)
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
匿名IPリストマネージドグループ 3 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •AnonymousIPList クライアントの情報を匿名化することがわかっているソース の IP アドレスのリストを検査 •HostingProviderIPList エンドユーザートラフィックのソースになる可能性が低いウェブホスティングプロバイダーと クラウドプロバイダーの IP アドレスのリストを検査
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAF Bot Controlルールグループ(追加料⾦) 4 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •Commonレベル ⼀般的なBot攻撃を防御 •Targetedレベル 標的型Bot攻撃を防御
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAF DDoS防⽌ルールグループ(追加料⾦) 5 AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) •ChallengeAllDuringEvent DDoSイベントを検知したリクエストの中でチャレンジ可能と判断されたリクエスト •ChallengeDDoSRequests チャレンジ感度設定を満たすか超えるリクエスト •DDoSRequests ブロック機密性設定を満たすか超えるリクエスト 各リクエストに対してラベリングを⾏う
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
AWS WAFの活⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 DDoS対策におけるAWS WAFの設定(⼀部抜粋) レートベースルール(カスタムルール) 1 Amazon IP評価リストマネージドルールグループ 2 匿名IPリストマネージドグループ 3 AWS WAF Bot Controlルールグループ(追加料⾦) 4 AWS WAF DDoS防⽌ルールグループ(追加料⾦) 5
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
(おまけ)AWS WAFとAmazon Bedrockを組み合わせたセキュリティ運⽤ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 Amazon IP評価リストマネージドルールグループのAWSManagedIPDDoSListで 検知したリクエストをカスタムルールで即ブロックは必要なリクエストまでブロックする可能性 カウントされたリクエストを収集し、 WAFのログを解析する(Athenaで解析が⼀般的) AWS WAF + Amazon Bedrock + DynamoDB + Lambda + EventBridge で 攻撃ログの収集+AI分析を⾏い攻撃検知の通知や週次レポートで WAF設定の改善提案を作ってみた •リアルタイム検知︓WAF攻撃検知 → EventBridge → Lambda → DynamoDB保存 → AI分析 → 通知 •週次レポート︓EventBridge(cron) → Lambda → DynamoDB集計 → AI分析 → 週次レポート通知
Copyright © 2025 ITOCHU Techno-Solutions Corporation Challenging Tomorrow’s Changes 変わっていく。挑んでいく。
まとめ Challenging Tomorrow’s Changes 変わっていく。挑んでいく。 増加するDDoS攻撃への防御として今⼀度アーキテクチャを⾒直しましょう •セキュリティグループおよびネットワークACLによる攻撃対象範囲の縮⼩ •ELB+AutoScalingで攻撃による負荷増加に対応できるスケーラブルな設計 •エッジロケーションサービスの活⽤ •AWS WAFのDDoS攻撃防御のためのルール活⽤ → WAFの運⽤はそこそこ難しい。⽣成AIなどの⼒を借りるのも⼿ •(予算が許せば)AWS Shield Advancedの利⽤