×

コンテンツ配信を活用した 包括的サイバーセキュリティ

概要

サイバー犯罪はますます高度になり、ターゲットを絞って攻撃してきます。企業のウェブサイトのセキュリティ担当者は、以下のようなセキュリティインシデントを目の当たりにして落ち着いてはいられないでしょう。
• Sabre Systems – この予約ソフトウェアの会社は、Hard Rock Hotels、Google、Loewsなどのデータを保有していましたが、システム侵害によりデータを盗まれました。1
• CIA – ウィキリークスはこの諜報機関が行っていたハッキング活動について詳述した文書を公表しました。1
• Virgin America – 数千人の従業員および契約社員のログイン情報が侵害されました。1
• Equifax – この信用格付機関では、143万人分の機密性の高い個人情報(ほとんどはアメリカのコンシューマについてのも
の)が侵害の影響を受けました。1
• 大学や連邦政府機関 – 60以上の大学や米国の連邦政府機関が、SQLインジェクションによる攻撃を受けました。1
これらのインシデントから学ぶべき教訓は数多くあります。顧客情報を侵害する攻撃が大きなダメージを与えたというニュースがこれだけ流れ、売上の減少とブランド価値への重大な影響をもたらしているにも関わらず、多くの組織が適切なセキュリティ対策を十分に行っていないことは驚くべきことです。本ホワイトペーパーでは、組織がサイバー脅威に対抗するための方法を(基本的な保護から今後ますます高度化する防御ソリューションまで)詳細に解説します。

 

はじめに 

議論のための前提

 

本ホワイトペーパーは、コンシューマとのエンゲージメントにおいて最も重要な、一般的なデジタルコンテンツ配信のユースケースに関するリサーチをまとめたものです。ユースケースには、オンラインビデオ配信、eコマース、およびソフトウェアやファイルのダウンロードが含まれます。各リサーチでは、サイバー脅威に関する考察と、ウェブインフラストラクチャとアプリケーションを適切に防御しなかった場合のリスク、攻撃から守るための防御手段についても検討しています。プロアクティブな保護には、コンテンツやデータを盗難から守り、デジタル資産へのアクセスを制御し、ウェブサイトを常にユーザーからアクセス可能な状況に維持することが含まれます。

 

 

セキュリティ対策の3つの主要な領域

 

包括的なセキュリティ対策は以下の様にグループ化することができます:
アクセス制御 – ウェブインフラとコンテンツへのアクセスをリクエストしてくるユーザーを識別し、認証します。
具体的な対策としては、IPアドレスのホワイトリスト/ブラックリスト、ジオロケーションおよびトークン化が含まれます。
コンテンツセキュリティ – コンテンツオーナーとライセンス保有者は、TLSなどの暗号化を使用して、通信中のコンテンツを盗難から守らなければなりません。
コンテンツの可用性 – ウェブサイト全体をダウンさせようとするDDoS (Distibuted Denial of Service: 分散型サービス妨害)攻撃や、データを盗もうとするウェブアプリケーションへの攻撃の両方からウェブインフラストラクチャを保護しなければなりません。DDoS攻撃緩和とWAF(Web Application Firewall)などの製品やサービスは、ユーザーがいつでもアクセスできるようインフラを維持し、データを盗難から守るために重要です。

 

 

セキュリティ対策を配備するためのオプション

 

企業には、セキュリティソリューションを実装するための様々なオプションがあります。もし社内に適切なスキルを持った人材がいるのであれば、その人材の活用が一番の近道です。しかし、Forbesの最近の記事によると、2019年までにおよそ200万人のサイバーセキュリティの専門家が世界的に不足するだろうということです。このため、多くの企業が一部またはすべてのセキュリティ対策のために、外部のクラウドサービスを使うことになると言われています。攻撃の高度化と規模の拡大により、企業が常に最新の防御戦略を維持することは困難になっており、オンプレミスのセキュリティアプライアンスが処理できる攻撃トラフィックにも上限があります。組織は今後ますます、セキュリティ専門家によってサポートされ攻撃規模の拡大に対抗できる大きなキャパシティを提供可能なグローバル規模のクラウドサービスに頼るようになっていくでしょう。

 

 

オンラインビデオとオーディオ配信のユースケース

 

 

オンラインのコンシューマ向けビデオおよびオーディオコンテンツは急速に普及しており、Ciscoの VisualNetworking Index3によると、ビデオコンテンツの配信は2021年までにインターネットトラフィックの半分以上を占めるようになると予想されています。コンシューマエンターテイメントやeコマースにおけるデジタルコンテンツの重要性を考えると、企業の売上げのかなりの部分が、コンシューマに届けるエクスペリエンスの品質に左右されると言って良いでしょう。このユースケースは、ビデオコンテンツのライブストリーミングだけでなく、オンデマンドのビデオとオーディオも含んでいます。オリジンからコンシューマへの道のりを追いかけ、その途中で直面するオンラインサイバー脅威、そしてコンテンツをそれらから保護するためのセキュリティ対策を考えて行きましょう。
一般的なオンラインビデオ配信のワークフローは以下の様なものです:

 

図1: ビデオ配信のワークフロー

 

ライブかオンデマンドかに関係なく、オンラインビデオまたはオーディオを配信する組織の大半が、CDNを利用しています。なぜなら、世界規模のカバレッジ、統合されたコンテンツ管理サービス、スケーラビリティ更には包括的なクラウドセキュリティサービスとの相性がとても良いからです。配信するメディアコンテンツの多くは、第三者からライセンスを受けたコンテンツであれ、独自のコンテンツであれ、配信権を維持するために保護する必要があります。
ビデオワークフローの各々のステップは、固有のセキュリティ上の課題を持っています – CDNへのコンテンツのアップロード、安全な配信、アクセスの制御、そして配信用のウェブサーバーへの攻撃からの保護などです。

 

 

通信中のコンテンツを保護

 

CDNへのアップロードから視聴者が居る場所まで、CDN内をコンテンツが移動する間、コンテンツを盗聴や改ざんから保護する必要があります。これは、HTTP通信をTLSやその後継技術であるSSLを使って暗号化することで、つまりHTTPS化することで可能となります。HTTPS通信での、最大のメリットはウェブサイトを認証し、プライバシーとデータの完全性を保護できることです。まず始めに、ユーザーが確実に正規のウェブサイトにアクセスできるようにします。これは、ユーザーがアクセスしているサイトの所有者を確認する為の信頼できる証明書を使うことで実現しており、ユーザーは誰と通信しているかを確認することで、安全なオンラインエクスペリエンスを得ることができます。HTTPS通信の第二の役割は、ユーザーと配信ウェブサーバー間のTLS接続を確立することです。このセキュアな接続を確立すると、回線上を移動するすべてのコンテンツをTLS(ウェブサーバーとブラウザの間でオンライン通信を暗号化するための標準的なセキュリティプロトコル)を使用して暗号化することができます。
TLS暗号化は、デジタルコンテンツの制作に関わる組織の内部でメディアが転送される場合にも、重要な役割を果たすことができます。例えば、映画やテレビ番組の制作において、デジタルメディアは多くの場合、撮影現場から編集が行われる場所に転送されます。メディアが転送されている間TLSを使用して通信を暗号化することで、これらの貴重な資産の盗難を防止することができます。

 

 

デジタル著作権管理(DRM)でコンテンツアクセスを保護

 

Online TV Piracy Forecasts Report Nov. 20174によると、テレビ番組や映画のオンライン著作権侵害のために失われる収益は、2016年から2020年の間に516億ドルへほぼ倍増すると予測されています。権利保護されているビデオを配信するOTTおよび他のビデオ配信サービスは、正規のユーザーのみにコンテンツへのアクセスを許可する必要があります。そのための保護は、プロプライエタリおよび著作物の利用を制限するアクセス制御技術の集合であるデジタル著作権管理(DRM)によって実現可能です。DRMは、不正アクセスを防止するためにコンテンツを暗号化します。ライセンスポリシーを設定し、共有・記録・または閲覧のみなど、ユーザーに付与されたアクセス権を定義します。コンテンツへのリクエストがあると、DRMサーバーがそのユーザーのライセンスが有効であるかをチェックし、認証されると、ビデオプレーヤーが暗号化を解除し、コンテンツを再生します。DRMのワークフローでは、ビデオファイルをHLSやDASHなどのストリーミング形式にエンコードするときに、同時にエンコーダがDRMサーバーから供給されるメディアキーを使ってファイルを暗号化します。DRMには複数の暗号化形式がありますが、最も広く使用されているのはGoogle Widevine、icrosoft PlayReadyとApple FairPlayです。これらのフォーマットのそれぞれは、特定のデバイス、オペレーティングシステム、およびブラウザをサポートしています。可能な限り幅広い視聴者にコンテンツを提供するためには、これらのフォーマットの3つすべてを用意しておくべきで、これがマルチDRMという考え方です。ビデオオンデマンド(VOD)ライブラリに、3つすべてのDRM形式で事前に暗号化されたファイルを保存し、リクエストに備えます。しかし、複数の異なるストリーミングやDRM形式のファイルを保存するためには、単一のファイルよりもはるかに多くのストレージを必要とします。オンザフライソリューションならもっとコスト効率が良くなります。ライムライトのMMD OD Multi-DRM On the Flyソリューションであれば、あらかじめエンコードして複数のバージョンを用意するのではなく、視聴者からのリクエストに応じて適切なストリーミング形式とDRM暗号化でリアルタイムにエンコードし、配信することが可能です。各々のビデオのための単一のマスターファイルだけを格納すればよく、ストレージのコストは大幅に削減されます。

 

 

地域によるコンテンツへのアクセス制限

 

第三者のビデオコンテンツをライセンスしたり、特定の場所でサービスを提供する場合、特定の地域からのリクエストを制限するよう求められることがあります。一般的なユースケースとしては、ある地域で開催されるイベントに地元住民を誘導するために、その地域においてイベントの中継を行わない、といったものです。ユーザーがどこに居るかを知るためには、ユーザーのリクエストに含まれるIPアドレスを利用します。ビジネス・ルール・エンジンが、世界の地域、国、都市、および郵便番号を網羅するジオロケーションデータベースを使ってIPアドレスから場所を特定し、この情報に基づいてアクセスが承認または拒否されます。IPデータベースを使った別の有用な機能もあり、それはユーザーの位置を偽装するためのVPNやアノニマイザーを検出できることです。アノニマイザーからの要求はすべて拒否されます。

 

 

DDoS攻撃からの保護

 

しかし、ウェブサイトをダウンさせる目的で行われる攻撃に対しては、暗号化とアクセス制御を伴う盗難防止措置は役に立ちません。DDoS攻撃は高度化し、頻度も規模も増加しています。攻撃の影響を軽減するためのセキュリティ層を、ウェブサイトの前面に配備することが重要です。
DDoS攻撃は、複数のアクセス元から膨大なトラフィックを送り込むことにより、サーバーや回線を過負荷に陥らせ、オンラインサービスを使用できないようにしようとする攻撃です。攻撃者は、電子メール、ウェブサイトやソーシャルメディアを通じて悪意のあるソフトウェアを拡散し、感染した大量のデバイスやコンピュータを使ってネットワーク(ボットネット)を構築します。これらのデバイスやマシンは、その所有者が知らないうちに攻撃者によって遠隔操作され、軍隊のように一斉に任意の標的に対する攻撃を開始します。ボットネットは、トラフィックの巨大な洪水を生成して標的を圧倒します。これらのトラフィックの洪水はいくつかの方法で生成することができ、たとえば標的となったサーバーが処理できる以上の接続リクエストを送信するなどの方法があります。最近の大規模攻撃の多くに使用されている「Mirai」ボットネットソフトウェアは、IPカメラや家庭用ルータなどのコンシューマ向けデバイスを遠隔操作可能な「ボット」に変身させるマルウェアです。ボットネットやDDoS攻撃をサービスとして提供するオンライン市場が存在し、これらのサービスが売買されています。
DDoS攻撃からインフラを守るためには、複数の方法があります。インターネットサービスの通信経路にインラインで設置するオンプレミスのDDoS攻撃防止アプライアンスは、小規模な攻撃に対しては有効です。しかし、攻撃規模は拡大しており、これらのソリューションに潜在する問題が表面化する可能性があります。大規模なDDoS攻撃はオンプレミスのセキュリティデバイスでは対応しきれず、ウェブサイトが応答しなくなり、正当なユーザートラフィックをサポートすることができなくなります。大規模なDDoS攻撃を防御するためには、それとは異なるアプローチが必要です。
CDNは本質的には巨大なグローバルネットワークで、世界中に分散して配置されたPoP(大規模配信拠点)により、レイヤー3および4(DDoS攻撃でよく使われる2つの経路)の大量のトラフィックを吸収することができ、小さい攻撃に対しては受動的に影響を緩和できます。より大規模な攻撃については、アクティブなDDoS攻撃の緩和を行います。
最も効果的かつスケーラブルなDDoS攻撃の検出および緩和のソリューションは、ネットワーク内での検出および攻撃緩和を行うCDNの利用です。DDoS攻撃は分散型であるため、単一のターゲットに対して複数のソースからの悪意のあるトラフィックが集中することで、複数の地域を監視しているCDNは攻撃を迅速に検出することが可能です。迅速に攻撃を検出することにより、影響の緩和も即座に行え、サイトのダウンタイムを最小限に抑えることができます。また、ライムライトでは、CDNトラフィックを配信するためのPoPと同じ場所に大容量のスクラビングセンターが配備されているため、トラフィックのスクラビング(洗浄)のためにトラフィックをCDNから外に出してまた戻す必要がなく、高いスケーラビリティとパフォーマンスを維持することが可能です。

 

図2: 先進的な検知およびスクラビングのシステム

 

この図は、ライムライトのスケーラブルなクラウドベースのアーキテクチャが、如何にして高いパフォーマンスを実現しているかを示しています。ネットワークエッジに分散された高度な検出システムが、常に悪意のあるトラフィックを監視しています。ひとたび攻撃が検出されると、攻撃トラフィックのみを最寄りのスクラビングセンターへ送り、フィルタリングします。そのため正当なトラフィックのみがウェブサーバーに送られることになり、悪意のあるトラフィックが帯域幅を食い潰すことを防ぎます。

 

 

ウェブインフラストラクチャおよびアプリケーション保護

 

TLS暗号化が通信中のデータを保護し、DDoS攻撃緩和で悪意のあるトラフィックによりサイトがダウンすることを防ぎますが、これらはウェブアプリケーションへの攻撃に対する保護までは至りません。それは、ウェブサイトが常に公開されている必要があるためです。ウェブアプリケーションは多くの場合、貴重な顧客データベースなどのバックエンドデータへの直接アクセスを行うため、安全を確保することは非常に困難です。
DDoS攻撃の検出と緩和と同様に、ウェブアプリケーションのセキュリティは、グローバルに分散したインフラストラクチャを用いることで最も効率よく達成できます。このソリューションでは、ウェブサイトを保護するためにCDNを活用しています。以下の図に示すように、WAFノードはオリジンサーバーとCDNとの間に配備されています。

 

図3: WAFとCDNの統合でパフォーマンスへの影響を最少

 

WAFを使用する場合の懸念の一つは、トラフィックに悪意があるかどうかを判断するためにウェブインフラストラクチャに着信するすべてのリクエストを検査しなければならないことで、パフォーマンスに影響が出ることです。しかし、WAFをCDNに統合することにより、パフォーマンスへの影響を軽減することが可能です。
CDNは、ウェブサーバーへのリクエストを最小限に抑えるために、静的コンテンツをキャッシュしますが、WAFはCDNとオリジンのウェブサーバーとの間に配備されているため、CDNによってキャッシュされていないコンテンツへのリクエストのみがWAFに送られます。これにより、WAFによってフィルタリングするトラフィックの量を減少さ
せ、パフォーマンスへの影響を最小限にし、潜在的なボトルネックを低減させます。
WAFは、Open Web Application Security Project (OWASP)が定義した10個の重要なウェブアプリケーションのセキュリティリスク(OWASP Top 10)に従ってトラフィックをフィルタリングすることにより、攻撃を検知します。OWASP Top 10は、ライムライトではユーザーが特定のウェブサイトに向けたカスタムルールを定義することも可能です。新たな攻撃の脅威が発見された場合のために、WAFルールは継続的に更新することができ、新しい脆弱性が特定された場合には新しいセキュリティルールが作成され、すべてのWAFノードにプッシュされます。「ゼロデイ」攻撃(以前に見られなかった新しい攻撃)であっても、迅速に識別し、新しいWAFルールを作成し、緩和することができます。

 

 

ボットの管理

 

WAFは悪質なボットのトラフィックに対しても、ウェブアプリケーションを保護するための重要で追加的な役割を果たすことができます。ボットは、自動的にインターネット上で反復的なタスクを実行するように設計されたソフトウェアで、インターネットのトラフィックを大量に生成します。悪意を持った多くのボット(バッドボット)は存在しますが、すべてのボットが悪いわけではありません。バッドボットは、脆弱性を見つけ出し、脆弱なマシンに感染してコントロールし、DDoS攻撃を仕掛け、データを盗み、詐欺を働きます。一方で、検索エンジンを助けるボット、ウェブサイトの健全性を監視するボット、脆弱性をスキャンしたり舞台裏で働くデジタルアシスタントなどの有益なボット(グッドボット)も多く存在します。
バッドボットを阻止し、グッドボットを活用することは、eコマースやその他のサイトを安全に稼働させ続け、収益を生み出すトラフィックを維持するために重要です。ボット管理により、悪意を持ったボットがウェブサイトに到達しないようトラフィックを遮断し、グッドボットには本来の仕事をさせ、機密データを盗むよう設計された攻撃に対抗してウェブサイトを守り、高品質なカスタマーエクスペリエンスを維持することができます。

ライムライトのAdvanced Bot ManagerはWAFのオプションとして選択することが可能で、バッドボットからグッドボットを分離するために、Human Interaction Challenge(CAPTCHA、Behavioral Usage Pattern)だけでなく、Machine Base Challenge(JavaScript、Device Finger Printing、Traffic Shaping)など、ボット検出のためのさまざまなメカニズムを用意しています。ボット管理とLimelight Web Application Firewall Advanced Bot Managerの詳細については、こちらをご覧ください。

 

 

まとめ

 

コンテンツとウェブインフラストラクチャを守るためには、ウェブアプリケーションやコンテンツ配信のパフォーマンスに影響を与えずに実装でき、悪質なウェブサイトへの攻撃や不正なコンテンツへのアクセスに対抗するための多層防御が必要です。TLS暗号はデータを守り、通信中の傍受を防ぎます。また、ジオフェンシングやDRMなどのコンテンツセキュリティ手法は、許可されたユーザーだけにコンテンツにアクセスさせることが可能です。DDoS攻撃の緩和は、悪意のある大量のトラフィックでオンラインサービスをダウンさせることを意図した攻撃からウェブサイトを保護します。また、WAFやボット管理は、ウェブサイトを侵害しデータを盗むことを意図している悪質なHTTPアプリケーション層の攻撃から、ウェブサイトやウェブアプリケーションを保護します。

 

 

提言

 

• 引き続きサイバー攻撃の頻度が増え、高度化しています。これの傾向は今後も続くでしょう。実際の攻撃に先立ち、狙ったウェブインフラストラクチャへの偵察攻撃が多くなることが予想されます。手遅れになる前に、ビジネスモデルに合わせた防衛策を実施する必要があるでしょう。

• コンシューマがオンラインで買い物するとき、ハイエンドのモバイルマルウェアが彼らを脅かすことが予想されます。eコマース業者は、eコマースウェブインフラに防御措置を講じ、ビジネスとコンシューマを守る必要があるでしょう。

• 対策が正常に動作することを前提としないでください。外部からの攻撃をシミュレートして、サイバーセキュリティ対策が十分であるか検証しましょう。セキュリティ対策の有効性をテストするスペシャリストに依頼をすることも一つの方法です。

• インシデント対応計画を策定し、定期的にテストをしてください。

• 災害復旧手順や事業継続計画を用意し、定期的に研修を実施しましょう。

 

 

Limelight Orchestrate Platformについて

 

Limelight Orchestrate Platformは、現代の視聴者が望むエクスペリエンスを提供するための速度、機能、安定性を併せ持った世界規模のプライベートネットワーク上に構築されています。この業界をリードするプラットフォームには、コンテンツ配信、ウェブ高速化、オリジンストレージ、ビデオ管理、クラウドセキュリティ、そしてサポートサービスが含まれています。世界規模のプライベートネットワークと先進的ソフトウェア、そしてエキスパートサービスというユニークな組み合わせは他のCDNを凌駕し、ワークフローを改善してエンドユーザーのエクスペリエンスを第一に考える「Experience First」を実現します。

 

 

Limelight Networksについて

 

デジタルコンテンツ配信の世界的リーダーである Limelight Networks Inc. (lNASDAQ:LLNW) は、デジタルコンテンツを安全に管理し、あらゆるデバイスへ向けてグローバルに配信できるようにすることで、オンライン視聴者との繋がりを深めるお手伝いをします。数々の賞を受賞した Limelight Orchestrate Platform は、デジタルコンテンツを保護し、様々なデバイスに優れたエクスペリエンスを提供し、ブランド認知度を高め、収益を上げ、顧客関係を強化するためのコンテンツ配信技術とサービスを提供します。詳細については www.limelightnetworks.jp をご覧頂ください。

 

 

1 http://www.zdnet.com/pictures/biggest-hacks-leaks-and-data-breaches-2017/
2 https://www.forbes.com/sites/jeffkauflin/2017/03/16/the-fast-growing-job-with-a-huge-skills-gap-cyber-security/#21d1902f5163
3 https://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/complete-white-paper-c11-481360.pdf
4 https://www.digitaltvresearch.com/products/product?id=190
5 http://dc.bluecoat.com/Cyberthreat_Defense_Report_Download?src=GoogleAdwords_BC_CyberEdgeReport_Feb16&gclid=CJ2qs9js59ICFYcBaQodr5gHgQ