Webinar - Cyber Security basics in Japanese

2020年に向けたセキュリティ対策はお済みですか？
Nov 2019

Agenda
2
● クラウドフレアのサービス概要
● セキュリティ導入事例
● DDoS攻撃及び対策
● 多重セキュリティによるレイヤ７攻撃の対策
● ダッシュボードデモ
● Q&Aセッション

We are building a
Global Cloud Network
to help the Internet be faster, more secure,
and more reliable.
インターネットをもっと速く、もっとセキュアに、そしてもっと安
心して
利用するためのグローバルクラウドネットワークを構築中。

194
Cities
90+
Countries
8,000
Interconnects
99%
Of the Internet-connected developed
world population is located within 100
milliseconds of our network
Note: Data as of June 28, 2019. 4
Global Cloud Network

“Network Edge” as a service

BETTER INTERNETBAND-AID BOXES
● 簡単設定、フレキシブル、スケーラブ
ル
● 統合管理コンソール
● サーバレスクラウドアーキテクチャ
● クラウド、ハイブリッド、オンプレミ
ス、SaaSアプリケーション
● 広範な機能を統合化したプラットフォ
ーム
● 高価、複雑
● 特定のウェブ機能に依存
● 専用のハードウェア
● オンプレミス専用
● 一時的ソリューション
Global Cloud Platform
Next-Gen Infrastructure
エンドレスに続くハードウェアへの投資から解放！
6

Multi-Cloud made simple
定額料金可用性
パフォーマン
ス
セキュリティ
インテリジェン
ト
ネットワーク
On Premise/Other
エンドユーザー環境

20M+
Internet properties
~10%
Fortune 1000 are paying customers
1B+
Unique IP addresses pass through
Cloudflare’s network every day
Protecting & accelerating Internet applications
across verticals
Confidential. Copyright © Cloudflare, Inc.

9
Domain Name
System (DNS)
DNS Resolver
Always Online
Firewall
Bot
Management
DDos
Protection
Zero Trust
Security
AnalyticsCloudflare AppsEdge Compute
PERFORMANCESECURITY RELIABILITY
PLATFORM
IoT Security
SSL/TLS
Secure Origin
Connection
Rate Limiting
Cache
Intelligent
Routing
Content
Optimization
Mobile
Optimization
Image
Optimization
Mobile SDK
Load Balancing
Anycast
Network
Virtual
Backbone

全インターネットユーザーのためのクラウドネットワーク基盤
を提供!

ScaleCustomers. Compute. Connectivity. Data.

スケールによるDDoS攻撃への対峙と有効性の根拠
ネットワークスケール：
地球上のインターネットユーザーがいる領域全体に対してデータセンターを構築し続けており、全イ
ンターネットユーザーに最も近い地点で、10ms以下で通信できる全サービス基盤を配置しています。
これは全インターネット上の攻撃者にも一番近い地点という意味にもなり、大規模な分散型攻撃に対
しても有効な攻撃緩和基盤として機能します。
データスケール
既存顧客2000万以上のドメインに対して発生する、月間1.3兆回を超える攻撃をWAFでブロックして
います。当社は、ここで得られる攻撃者情報をリアルタイムに解析、脅威度のスコアリングを実施、
IPレピュテーションテーブルの更新、WAFルールへの適用などをバックエンドで実施しています。

ネットワークエッジ市場での圧倒的なシェア
Cloudflare
Fastly
Others
AWS
79.4%
5.9%
4%
10.7
%

パブリック IX (Internet Exchange) との高い接続性
Source: Hurricane Electric Inc

固定料金サービス
● 隠れたコストは一切なし。
プロフェッショナルサービ
スとしての課金はなし。
Traffic/Bandwidth
Time
固定料金
● トラフィックのスパイクによる
予期せぬコストからの解放
● 正常及び攻撃トラフィックが発
生した場合でも固定料金でご請
求いたします。

DNS DDoS FirewallTLS CDNRate
Limiting
WAF Argo
ワールドワイドで約10%のHTTPインター
ネットトラフィックと39%のDNSクエリ処
理。
194+箇所のデータセンターで
30TB+のキャパシティを提供。
Cloudflare Datacenter
• 簡単導入と設定。
• 予測可能な固定料金。
• 全インターネットユーザー向けにサービスプランを提供
。
• 巨大グローバルネットワークとスケール。
• パフォーマンス & セキュリティの統合ソリュー
ション。
• ネットワーク脅威データのインテリジェンス。
Origin Server
2,000万+の顧客基盤と月間１兆5,000億 PVを支えるトラフィックのルー
ティング。
最後に・・・ここが凄い!!

Cloudflareのグローバル
ネットワーク
攻撃者
訪問者
ボット
マルチ
クラウド
オンプレミス
ハイブリット
クラウド
SaaS
Cloudflareのアーキテクチャ

クラウドフレアが導入されていない場合
オリジンサーバーは訪問者と攻撃者にさら
されている状態となっています
Origin ServerVisit/User 1.2.3.4
クラウドフレアが導入されている場合
全てのリクエストはエニキャストDNSで
プロキシされ最寄りのデータサーバー経
由でオリジンサーバーに到達します
Origin ServerVisit/User
104.x.x.x
Nearest
Cloudflare
Data center
1.2.3.4
DNS変更でWeb高速化及びセキュアなソリューション

● 初期設定はすぐに設定完了
可能
● 既存のホスティングプロバ
イダーの維持
● アプリ側の変更は不要
● 変更管理はダッシュボード
、API及びTerraform
● 新しい設定変更は全てのPoP
に瞬間に適用
簡単導入及び設定

セキュリティパフォーマンス
DDoS攻撃
攻撃トラフィックにより可用性やパフォ
ーマンスが低下し、インフラストラクチ
ャ費用の想定外の急騰が発生
データの盗難
攻撃者が、ユーザーの資格情報、クレジ
ットカード情報、その他PIIといった顧
客データを侵害
悪意のあるボット
悪意のあるボットがコンテンツスクレイピ
ング、アカウントの乗っ取り、決済詐欺に
よってお客様のアプリケーションを乱用
利用できないアプリケーション
インフラストラクチャの高負荷や利用不可状態
により、ユーザーがアプリケーションにアクセ
スできなくなります
低速インターネットアプリケ
ーションおよびAPI
ページが重かったり、配信元から遠い距離で
読み込むため、Webページ、アプリケーショ
ン、APIが低速に
低速のモバイルサイトやアプリ
モバイルクライアントによってパフォーマンス
やコンテンツ配信が制約を受け、ユーザー体験
が損なわれます
お客様の課題とニーズ

セキュリティ脅威の例
1 - DDoS 攻撃
2 - Web application 攻撃
3 - Bots

Rate
Limiting
SSL
L3/4 DDoS
保護
`
セキュリティサービス一覧
Request Passed!
Bot
マネージメント
WAFDNS/DNSSEC
Argo
トンネル
23
Orbit Spectrum
EXTEND
WorkersAccess
CONTROL
23
L7 DDoS
保護
2-5 ms
TCP/UDPIoT
Client TLS
VPN Replacement Custom Logic

DDoS 攻撃
は交通渋滞
のよう

Volumetric DNS Flood攻撃
Bots
DNS Server
DNS Server Server
アンプリフィケーション攻撃
(レイヤー 3 & 4)
HTTP GET/POST Flood攻撃
(レイヤー 7)
1
2
Bots
3
Bots
Degrades availability and performance of applications, websites, and APIs
HTTP
Application
Application/Login
DDoS攻撃の種類

DDoS攻撃例: Telegram (2019/06)
Source: https://twitter.com/durov/status/1138942773430804480

The Daily DDoS:
感謝祭に起こった10日間に
も及んだ非常に大きな
DDoS攻撃
8時間以上継続的な攻撃
480+ Gbps Size
200 Mpps
お客様の被害
• 8-24時間毎日継続し攻撃を受ける
• 広範囲に渡る TCPへのDDoS攻撃
• 集中的に攻撃を受け続ける
CLOUDFLARE のソリューション
• クラウドフレアのシステム上で全攻撃に対して自動的に排除し続けた
攻撃の統計値
攻撃は約8時間ほど続き、ピーク時には200Mpps と
480Gps以上にも及んだ
3日目
Attack traffic in gigabytes per second
10日間に渡る継続的な攻撃
攻撃の推移(単位: Mpps)
ユースケース例:
サンクスギヴィングデー（感謝祭）攻撃

近年のDDoS攻撃の傾向
DDOS攻撃の高度化：
レイヤ−７に対して攻撃が高度化が増加して、
既存DDOS保護の方法ではバイパスされ、
有効ではないのも確認されています。

Webinar - Cyber Security basics in Japanese

DDoS攻撃防御ソリューション
スケーラブル、簡単に導入可能、可用性に優れたハイパフォーマンスなソリューション
攻撃の規模に関わらず、課金計測なしの無制限でDDoS攻撃からの保護を提供します。
オンラインの維持
193拠点以上のデータセンタ
ーとグローバルエニーキャス
トネットワークにより、高度
に分散されたDDoS攻撃のト
ラフィックを吸収し顧客サイ
トの継続稼働を支援。
オリジンインフラストラクチ
ャーの保護
エッジでのボリューメトリック攻
撃をL3,4,7で検出し遮断。
異常なトラフィックを特定
HTTPリクエストからフィンガープ
リントを採取して、自動緩和ルー
ルを使用し既知のボットネットや
新たに出現したボットネットから
サイトを保護。
コントロールによる
アプリケーションを保護
Rate Limitingのきめ細やかな
コントロールによって、検出の
難しいアプリケーション層の攻
撃をブロック。
Origin Server
DDoS attack
攻撃の予測
2,000万のウェブサイトで共
有している情報により、き
ちの不正なシグネチャを事
前にブロック。
オリジンサーバーへの攻撃防
御
Argo トンネルがPop-オリジン間
をTLSで暗号化して通信を行い、
攻撃者からのアタックを防ぎます
。

アプリケーション及びAPIの脆弱性
Fake Website
Visitors
1DNS Spoofing
Malicious Payload
eg: SQLi that ex-filtrates PII
and credentials
3
Attacker
Bots Brute Force
4
Data Snooping
2

多重防御によるDDoS攻撃緩和の一覧
35
自動化個別設定が可能
レイヤー 7
Advanced DDoS (L7) Rate Limiting –Volume based
WAF – Signature based
レイヤー 3/4
Advanced DDoS (SYN / ACK)
IP Reputation / Security Level
IP Firewall
DNS
Advanced DDoS (DNS) Virtual DNS Rate Limits

36
共有されたインテリジェンス、自動アップデート、WAFルールの伝搬は15秒以内に完了
Automatic WAF Updates
• Cloudflareのセキュリティエンジニアは、2,000
万ユーザーの大部分に新しい脅威が該当すると
判断した場合、WAFルールを自動で適用します
。
Collective Intelligence
• Cloudflareは毎秒600万件のリクエストを監視し
ており、WAFは潜在的な脅威を継続的に特定し
ブロックしています。
Built for Performance
• CloudflareのWAFルールセットの遅延は1ms以内
です。ルールセットの更新をグローバルで15秒以
下で完了。
新しいカスタムWAFルー
ルが設定・変更されると
、15秒以下で世界中の
PoPで有効になります。
クラウドフレアネットワーク上の
全ドメイン名が保護される
WAFのインテリジェンス

OWASP ModSecurity ル
ールセット
Cloudflare WAF
ルールセット
カスタム WAF
ルールセット
● Joomla, Drupal, Wordpressなど
一般的なコンテントを保護
● XSS, SQLi, LFI, DDoS, RCE, spam
に対しても対応
● 新しいゼロデイ攻撃の脆弱性に
対して即日にルールセット可能
● “オン/オフ”設定のみで
ルール適応可能
● 全てのルールに対し細かな
調整をしながらスコアリン
グ
● SQLインジェクションとク
ロスサイトスクリプティン
グの脆弱性に集中した対応
● OWASPは米国に本部を持つ
非営利でオープンな組織
● ログや詳細な記述を参考にしに
ユーザごとに特別なルールを作
成
● サポートリクエストが必須
● ユーザーエージェント, URL, リ
ファラー, クライアントIP, 国別
など、個別に対応
● ビジネスプランとエンタープラ
イズプランのみに対応
Cloudflare WAF ルール一覧

ゼロデイ脆弱性の対応例
1. Microsoft SharePointの脆弱性 CVE-2019-0604 (2019年5月)
2. TCP SACK PANIC - Linuxカーネルパニック脆弱性(2019年6月) 3. Drupalの脆弱性SA-CORE-2019-003 (2019年3月)

ダッシュボードデモ (WAF, FW, Analytics)

Cloudflare
Botマネージメント
悪いボットの検知及び検査は2,000万ドメインのインテリ
ジェンスを使用して、ワンクリックで設定可能

Cloudflare Botマネージメントの違い
41
透明性及び管理簡単な導入及び運用
お客様側でBotマネージメントの設定及び
運用状況の確認可能
● Bot マネージメントのルール設定はFirwallル
ールから柔軟な細かい操作で設定可能
● Javascript、ユーザーの振る舞い分析又は
機械学習のルールが一致した場合、ダッシ
ュボードのアナリティクス画面やログで確
認可能
● お客様側で全てのルールに対して定義可能
及び他のセキュリティ機能と組み合わせ可
能。ノンブロッキングモード、Captchaモ
ードやブロッキングモードの運用又は Rate
LimitやWAFなどと組み合わせて適用可能。
お客様は複雑な設定を行わなくても、こちらのソ
リューションを簡単に導入可能。
● Javascriptのエージェントを必要なく、
ワンクリックでお客様のWebアプリケーショ
ン、APIやWebサイトの保護が可能
● こちらのソリューションでWebスクレイピン
グ、クレデンシャルスタッフィング、スパム
ボット、不正な購入やクレジットカードの不
正利用から保護可能。
スマートデータ
Cloudflare Bot マネージメントは毎日2,000万以
上のサイトの保護にあたり、兆を超えるトラフィ
ックのリクエストのスコアリングや検知を行って
いる。
● 機械学習で日々２億以上のリクエストから脅
威な情報の学習やスコアリングを行い、高度
なBot攻撃にも対応可能
● データセットには237 カ国から平均 3百万
以上の Captchasチャレンジでブロックを行
っています
● １つのWebサイトで確認出来た脅威の情報は
即時にグローバルのお客様のサイトに対して
適用可能。

ユースケース例
不正入手したパスワー
ドを使用して、自動
ログインにより機密情
報の悪用.
Webサイトに公
開されてる情報
の取得
掲示板や記入フォ
ームに攻撃ペイ
ロードの投稿
クレデンシャル・
スタッフィング
Webスクレイピングスパムボット
ユーザーのアカウン
トを利用して不正購
入又はグッズを
高額転売
不正な高額転売や
購入
クレジットカー
ドの不正利用
ギフトカードの不
正入手やクレ
ジットカードなど
の不正利用

脅威データーの
インテリジェンス
ネットワークスケール
クラウドフレアの優位性
簡単導入及び設定パフォーマンス及びセキュリティの
統合ソリューション
DEVELOPERフレンドリーマルチクラウドの対応

Webinar - Cyber Security basics in Japanese

More Related Content

Webinar - Cyber Security basics in Japanese