目次
DDoS攻撃に対処するためにAWS Shield Advancedを利用
参考になった
1
会員限定コンテンツです。無料登録すると制限なしでお読みいただけます。
レビュー投稿日の情報になります
株式会社ココナラ / Yuta Kawasaki(ゆーた)
開発部長 / EM / 従業員規模: 101名〜300名 / エンジニア組織: 51名〜100名
最終更新日投稿日
| 利用プラン | ツールの利用規模 | ツールの利用開始時期 | 事業形態 |
|---|---|---|---|
AWS Shield Advanced | 10名以下 | 2021年11月 | B to C C to C |
| 利用プラン | AWS Shield Advanced |
|---|---|
| ツールの利用規模 | 10名以下 |
| ツールの利用開始時期 | 2021年11月 |
| 事業形態 | B to C C to C |
アーキテクチャ
アーキテクチャの意図・工夫
- 一番インターネットに近いALBアタッチしたWAFに、AWS Shield Advancedを設定することで、外からの攻撃に対する対処ができるようにしている。
- DDoS攻撃はトップページに対してアクセスされることがほとんどなので、そこに対しての守りを強化する必要がある
導入の背景・解決したかった問題
導入背景
ツール導入前の課題
- AWS WAFは2018年に導入していたが、DDoS攻撃の対策が薄く、攻撃を受けた際にプロダクトに影響が発生することがあった。
- 何も運用していないわけではなく、AWS WAFの運用をWafCharmで自動化していたり、AWSマネージドルールとカスタムルールを併用して運用していた
- 一部のDDoS攻撃を防ぐことはできていたが、網羅的な対策としては不十分さを感じていた
- アプリケーション / インフラ双方で自分たちでは対応が難しいことから手段を模索していた。
どのような状態を目指していたか
- DDoS攻撃を受けても、しっかり受け流すことができて、プロダクトに影響が発生せず、ユーザーが利用できる状態。
- 一方でコストコンシャスな運用が求められるので、費用対効果の高い対処ができている状態。
比較検討したサービス
- Akamai
- Cloudflare
- Fastly
- 攻撃遮断くん
比較した軸
- 導入が容易であること。
- ベンダーの伴走が十分に得られること。
- 近しい規模感の会社で取り組んでいるような事例があること。
選定理由
- AWSの中に閉じており、設定が容易なこと。
- AWS社が十分に伴走してくれること。
- そのうえでコストが比較的安価だったこと。
導入の成果
改善したかった課題はどれくらい解決されたか
- AWS Shield AdvancedにてDDoS攻撃をうまくいなすことができたと言える。AWS WAFの対策と組み合わせることで多段防御を実現でき、ユーザーに安心してプロダクトを利用してもらえる状態にできたのは成果。
どのような成果が得られたか
- AWS Shield Advancedの管理画面から「いま、この瞬間に、DDoS攻撃を受けているかどうか?」が可視化できるようになった。
- Amazon CloudWatchと連携させて、Slackにアラート通知をすることもできる
- そして、可視化された情報をもとにプロアクティブな対策を講じたり、PDCAサイクルを継続的に回せる状況を実現できた。
- 何と言っても 「L7緩和機能」にて、プロダクトへの影響を局所化する ことができた。
AWS Shield Advancedに関しては以下の記事も参考にしていただきたい。
導入時の苦労・悩み
- 環境構築や運用設計で苦労した点は特になし。
- どのWAFにアタッチするかを選択して、GUI上で設定するだけなので、迷うところはないと言える
- 設定内容・手順に関するドキュメントも整備されている
- 実際に運用をはじめて、「本当に費用対効果が見合っているのか」「この設定・運用で防御が十分と言えるのか」がわからなかったことは悩んだ。
- DDoS攻撃が来るまで効果を実感できないところは悩みどころ
- ただし、本質的にはDDoS攻撃が来ない方が好ましいが自分たちで効果測定をコントロールできないので、難しい(特に経営層への説明では困ることもあると思われる)
導入に向けた社内への説明
上長・チームへの説明
- DDoS攻撃対策を導入していないことで「いま、この瞬間に、プロダクトに攻撃されたときの対処ができないかもしれない」リスクを説明。
- 前述の通り、「費用対効果はやってみないとわからないが、現状のリスクを低減できるだけでもメリットがある」と説明。
活用方法
- AWS Shield Advanced自体は24/365でプロダクトへの攻撃を対処している。
- AWSのSRTがモニタリング等も対応してくれており、DDoS攻撃を検知した際はサポートケースの作成や対処の示唆を能動的に動いてくれる
- モニタリングは定時と随時でセキュリティエンジニアが実施している、詳細は以下の資料参照。
よく使う機能
- ダッシュボード
- DDoS攻撃の発生状況やDDoS攻撃を受けた場合の傾向(IPアドレス、アクセスの多い国やパス、など)を可視化している
- AWS WAFの管理画面も併用し、ルールに合致したサンプルリクエストを見ることも可能
ツールの良い点
- AWSを使っている環境であれば、導入がスムーズ。
- 公式ドキュメントやAWS Well-Architected Toolが充実しているので、導入のハードルはほぼないと言える。
- AWSのSRTが専属で24/365の対応をしてくれ、DDoS攻撃発生時に問い合わせするとAWS WAFのルールのチューニングを行ってくれるのも強み。
- 自分たちでDDoS攻撃の対処をしながら傾向分析などに時間を使うのは体制的に難しい場合がある
ツールの課題点
- 費用は決して安くない。
- (これは致し方ないが)実際にDDoS攻撃を受けるまで、効果が実感できない。
ツールを検討されている方へ
- AWS WAFを導入している環境で一定数のユーザーがついているプロダクトでは導入した方が好ましいと言える。
- よっぽどAWS WAFのルールをDDoS攻撃対策用にチューニングしている環境以外では導入すべき
- 傾向分析等を行うためにも必要となるが、年間契約となるので、相応のコストを支払う覚悟も必要
- ただしAWS Shield Advancedを導入しているだけでは攻撃対策として不十分で、しっかりアクセス状況 / ブロック状況をモニタリングし、AWS WAFのチューニングを都度行うことが重要。
- 特にL7レイヤーに対する攻撃は「緩和機能」として提供されているので、絶対に防げるわけではない
- たとえば、DDoS攻撃が来続けている状況だと、ベースのアクセス数が増加してしまうため、検知が遅れる or されないケースも散見される
今後の展望
- DDoS攻撃は多様化しており、頻度も増えてきているので、決して対岸の火事と思わず、自分たちで運用していくことが必須となる。
- そこをSRE / PCSIRTなどの組織が担当することになるが、役割分担を行う必要がある。
- 夜間休日にDDoS攻撃が発生する場合、いつも対応しているメンバーが不在の可能性があるので、どこまではオンコール担当者で対応して、どこからはいつも対応しているメンバーにのみ権限を付与するかなど、オンコール運用と合わせて検討が必要になる
株式会社ココナラ / Yuta Kawasaki(ゆーた)
開発部長 / EM / 従業員規模: 101名〜300名 / エンジニア組織: 51名〜100名
2020年にココナラへジョイン、Head of Informationとして、プロダクトインフラ・SREと社内情報システム / セキュリティを管掌している。 2024年からココナラテックの執行役員 情報基盤統括本部長を兼任。 2025年からココナラのDev Enabling室 室長を兼任し、技術広報を中心とした開発の進化を進めている。
株式会社ココナラ / Yuta Kawasaki(ゆーた)
開発部長 / EM / 従業員規模: 101名〜300名 / エンジニア組織: 51名〜100名
2020年にココナラへジョイン、Head...
もっとみる
レビューしているツール
目次
- アーキテクチャ
- 導入の背景・解決したかった問題
- 活用方法