【セッションレポート】AWS 環境におけるサイバーレジリエンスの実現 ~ DDoS 攻撃とランサムウェアへの防御戦略 ~(AWS-11) #AWSSummit
2025.06.25はじめに
AWS Summit Japan 2025 に参加しました。
「AWS 環境におけるサイバーレジリエンスの実現 ~ DDoS 攻撃とランサムウェアへの防御戦略 ~のセッションレポートです。
セッション概要
ミッションクリティカルなワークロードのクラウド移行が進む中、事業継続性を確保するためには、AWS 環境における DDoS 攻撃やランサムウェア攻撃への対策が不可欠となっています。本セッションでは、AWS 環境において DDoS 耐性を強化するベストプラクティスや、ランサムウェア対策として有効な予防策、効果的な検知の仕組み、インシデント発生時の影響を最小限に抑えるための対応・復旧方法について解説します。
セッションスピーカー: 飯島 卓也 氏
所属:アマゾン ウェブ サービス ジャパン合同会社 プロフェッショナルサービス シニアデリバリーコンサルタント
セッションレポート
本セッションについて
対象者
- セキュリティ担当者
- インフラエンジニア
ゴール
- AWS環境のシステムをDDoS攻撃から保護する方法を理解する
- AWS環境におけるランサムウェア対策の実践的なアプローチを理解する
期待される効果
- 組織のサイバーレジリエンス強化
アジェンダ
- 事業性の確保とサイバーレジリエンス
- DDoS攻撃に対する防御
- ランサムウェア攻撃に対する防御
- まとめ
事業性の確保とサイバーレジリエンス
可用性に影響を与えるDDoS攻撃とランサムウェアへの防御は不可欠である。
DDoS攻撃とランサムウェアは、10大脅威での取り扱いでベスト10に選出されている。
サイバーレジリエンスとは、サイバー環境のシステムにおいて、負荷、攻撃、侵害を予測し、それに耐え、回復し、適用する能力。
DDoS攻撃に対する防御
DDoS攻撃に対する洞察
- AWS Shield Advancedでは、2024年にDDoS攻撃が75万件を観測
- 標的レイヤー
- アプリケーション49%
- 特にお客様側で対策が必要
- インフラ51%
- アプリケーション49%
アプリケーションに対するDDoS耐性向上のベストプラクティス
- エッジロケーションで動作するAWSサービスを利用
- Route53は、大量のDNSクエリに耐えうる
- CloudFrontは、エッジロケーションでブロック
- オリジンを保護
- EC2やS3などをCloudFront経由に限定
- スケーラブルなアーキテクチャを設計
- ALBはAutoScalingと組み合わせて、EC2を自動でスケーリングし急激な負荷に対応
- 適切なモニタリングとアラートを設定する
- Shield Advancedでは保護対象(Route53,CloudFront,ALB)をモニタリングし、通知可能
- Webアプリケーションファイアウォールを利用
- AWS WAFをCloudFrontやALBに適用する
DDoS防御に効果的なAWS WAFの設定
- AWSマネージドIPDDoSリスト
- 脅威インテリジェンスに基づくIPリストで防ぐ
- AWSManagedIPDDoSList
- 検証後、アクションをブロックに設定することを推奨
- レートベースルール
- レート制限を超える同一IPのリクエストをブロックする
- URLに対して検査範囲を狭めるなど条件も設定可能
- カスタムルール
- カスタムルールできめ細やかな対策を講じる
- WAFのログで分析後、カスタムルールを作成してもよい。
- 自動緩和ルール
- アプリケーションレイヤーDDoS自動緩和
- Shield Advancedで使用可能
- Shield AdvancedでDDoS攻撃を検知すると、WAFに対して自動緩和ルールを適用する
- AWS WAF Anti-DDoSマネージドルールグループ
- 数秒でDDoS攻撃を検知可能
- 機械学習モデルを活用して異常トラフィックを検出
- 容易に設定可能
- アプリケーションレイヤーDDoS自動緩和
- ルールの順序
- ルール特性を踏まえた効果的な順序設計を行う
- ルールの順序
- 信頼されるIPは優先的に許可し、その後、ブロックアクションのルールを適用するなど、考慮する必要がある。
ランサムウェア攻撃に対する防御
概要
- ランサムウェアとは、不正ユーザーが組織や個人から金銭を強要するために使用する攻撃手法
- データを暗号化し、所有者がアクセスできないように制限したり、脅迫したりする
イベントチェーン
- 攻撃の全体像を把握することが大切
- 初期アクセス
- 脆弱性を悪用し、外部からアクセス
- 認証情報へのアクセス
- ファイル内の認証情報へアクセス
- 探索
- インフラを探索
- 影響
- データの破壊
- RDSのスナップショットを削除など。
- データ持ち出し
- スナップショット共有
- データ暗号化
- DBやファイルシステム
- データの破壊
効果的なセキュリティ対策には包括的なアプローチが不可欠。以下の4つの観点で解説
- 防御
- 検知
- 対応
- 復旧
防御
- 長期的な認証情報の削除
- IAMユーザーとアクセスキーの作成を制限する
- IAMロールを使用する
- 監視とモニタリング
- IAMユーザーとアクセスキーの棚卸し
- アクセスキーのローテーション
- IAMポリシーの最小権限の原則に従う
- S3における防御策
- MFA認証
- オブジェクトロック
- オブジェクトバージョニング
- アクセスログの有効化
- バックアップと災害復旧
- RDSにおける防御策
- ポイントタイムリカバリ
- 監査ログとデータレベルのログ記録の有効化
- 最小権限のIAMポリシー
- バックアップと災害復旧
- EC2における防御策
- 脆弱性管理やパッチ管理
- OSやインストールされたソフトを定期的にチェックする。Inspectorなどを活用する
- パブリックIPアドレスを付与しない
- バックアップと災害復旧
- 脆弱性管理やパッチ管理
検知
脅威に対して、GuardDutyで検出され、CloudTrailでイベントログを分析する。
データ破壊の検知と分析
- S3ではバケットの異常な削除
- RDSではDBへのブルートフォースログイン
- EC2ではシステム内部の不審なアクティビティ
データ持ち出しの検知と分析
- S3では悪性IPアドレスからのS3 API呼び出し
- RDSではDBへのブルートフォースログイン
- RDSの監査ログを有効化しておくことで、イベント発生時、いつどこからどのユーザーでログインしたか確認可能
- EC2では通常とは異なる大量のトラフィック送信
対応
インシデント対応プレイブックとして、対応手順を用意し、シミュレーションを行う。
プレイブックフレームワークは、AWSで用意されている。
復旧
AWS Backupは、AWSリソースのバックアップを一元管理可能なサービス。
AWS Backup論理エアギャップボールトでは、アカウント間でバックアップを安全に共有し、ランサムウェアなどからの復旧時間を短縮可能。
- 変更不可なバックアップコピー
- 強化された暗号化
- 簡略化されたバックアップ共有プロセス
- 復旧時間の大幅な短縮
サイバーインシデント向け災害復旧アーキテクチャ
- 各ワークロードアカウントでは、通常のバックアップボールトでバックアップを保存し、データバンカーアカウントにコピーする(変更不可)
- キーボールドアカウントでは、KMSキーを管理
- 委任管理アカウントでは、AWS Organizationsのバックアップポリシーを作成し、各アカウントのバックアップポリシーを一元管理
まとめ
- DDoS攻撃に対する防御
- DDoS耐性向上のベストプラクティスに基づいたアーキテクチャ設計
- DDoS防御のためのWAFルール
- ランサムウェア攻撃に対する防御
- 長期的な認証情報の排除。棚卸し
- 複数のセキュリティ対策による防御
- GuardDutyによるアラート監視、CloudTrailでログの分析
- インシデント対応プレイブックの準備
- AWS Backup論理エアギャップボールトの活用
感想
DDoS攻撃とランサムウェアという重要な脅威に対して、AWS環境において、防御・検知・対応・復旧の4つの観点でのアプローチが実践的で参考になりました。
AWS WAFの設定順序やルール設計の重要性、AWS Shield Advancedの自動緩和機能など、具体的な設定方法やベストプラクティスが豊富に紹介されました。
ランサムウェア対策における長期的な認証情報の排除や、AWS Backup論理エアギャップボールトを使った復旧戦略は、従来のバックアップ戦略を見直すきっかけになると感じました。
AWS WAF Anti-DDoSマネージドルールグループやAWS Backup論理エアギャップボールトなど、触れていなかった新機能についても実際に検証してみたいと思う、非常に実用的なセッションでした。
