米国戦争省がWebサイトの保護を強化

状況

米国連邦政府が、国の最も重要なシステムとデータを危険にさらすことなく、セキュリティ上の弱点と脆弱性を発見するためには、どのような方法を採ればよいでしょうか。その答えは、主要なテクノロジー企業の先例に倣うことです。このような企業は、Akamaiのサービスを使用してアップタイムとセキュリティを確保しながら、クラウドソーシングを通じて脆弱性の発見と開示を行っています。これは、ホワイトハウスのU.S. Digital Serviceの戦争省（DoW）部門であるDefense Digital Service（DDS）が提案したアイデアです。

DDSは、DoWにおけるテクノロジーの構築および適用方法を変革するために、当時国防長官であったAsh Carter氏が設立した組織です。DDSは、民間部門の人材やベストプラクティスを活用することで連邦政府の最も重要なサービスを改善することを任務としています。隠ぺいによるセキュリティ（Security Through Obscurity）は現実的でも実現可能でもないとの認識のもと、DDSは2016年始めにDoWを説得し、DoW初のバグバウンティ、Hack the Pentagonの実施にこぎつけました。同省は、民間セクターの特長ともいえるイノベーションや新しい考え方を活用すれば、コスト効果の高い方法で、省内のサイバーセキュリティ担当者をサポートし、システムとネットワークの防御策を改善できることに気づいたのです。

課題

バグバウンティは民間セクターでは一般的に行われていますが、当時、連邦政府にはこのアプローチの実施経験がありませんでした。とはいえ、考え方は比較的単純です。報奨を用意して外部のリサーチャー、つまりホワイトハットハッカーに組織内のネットワークとアプリケーションのセキュリティをテストさせ、結果を報告してもらうことで、脆弱性に対処できるようにするというものです。このケースでは、米国連邦政府はサードパーティであるHackerOneを雇い、脆弱性の特定を試みる「ハッカー」の統括管理を委託しました。

プログラムを確実に成功させるため、DDSはDefense Media Activity（DMA）と緊密に連携しました。DMAはDoWにエンタープライズ規模のクラウドサービスを提供する機関ですが、そのクラウドサービスは、単一のWebベースコンテンツ管理システムで軍およびDoWの一般向けWebサイト700以上を管理しています。DDSとDMAはいずれも、このプログラムに伴うリスクを理解したうえで、参加するハッカーの数が多いほど発見されるバグも多くなると考えていました。また、経験豊富な研究者とハッカー初心者の両方に有意義な課題を提供するために、重要な標的サイトやDoW境界外のサイトを含める必要があることも知っていました。さらにDDSとDMAは、プログラム全体を効果的に開始し管理するだけでなく、プログラムのあらゆる側面に関するプレスとの対外コミュニケーションをすべて管理する必要がありました。

目標

DDSがその目標を達成するためには、以下の2つの主要な要件を満たす必要がありました。

• インターネットベースの攻撃の阻止：DoW関連のサイトは注目度の高い標的であるうえ、このプログラムによってメディアの関心が高まるため、攻撃の可能性が拡大します。
• 可用性の確保：ハッカソンから最大限の価値を引き出すためには、脆弱性テスト用に提供されるサイトが常にオンライン状態になっている必要があります。

実証済みの防御策を活用する

defense.govにはすでにAkamaiによる保護が適用されていたため、DMAは当初からこのサイトをハッカソンに含めることを推奨していました。DDSもイベント中の不正行為を阻止するために、他のセキュリティ対策を講じました。

これらに加え、DMAはAkamaiのProfessional Servicesを利用してプログラムに備えました。Akamaiにはすでにバグ・バウンティ・プログラムが用意されていたため、Akamaiのエキスパートは、プログラム全体を考慮して貴重な知見や助言を提供しました。さらに、DMAは追加のセキュリティレイヤーとしてAkamaiのClient Reputationサービスも導入しました。Client Reputationは高度なアルゴリズムを活用することで、Akamaiネットワーク全体で観察された過去のふるまいからリスクスコアを算出し、攻撃、クライアント、アプリケーションのふるまいについてプロファイリングを行います。Akamaiはこの情報に基づいて各クライアントIPアドレスにリスクスコアを割り当てるとともに、Akamaiのセキュリティサービスに実行させるアクションをDMAが選択できるようにしています。Client Reputationを使用したDMAは、プログラムの初日から、defense.govを狙おうとする約54,000のユニーククライアントIPアドレスに関する実用的なインテリジェンスを得ることができました。

トラフィックの急増に耐える

このプログラムはわずか3つのサイトで開始され、そのうち、当時Akamaiによる保護が適用されていたのはhttp://www.defense.gov/だけでした。しかし、ハッカーコミュニティーからの関心が高まり、登録ハッカー数が1,400人を超えたため、DDSはサイトの範囲を広げる必要がありました。DMAは、2つのサイトを追加して多様性を拡げるとともに、スキルの低いハッカーでも脆弱性を発見できるように、時代遅れで設定が不十分なWebドメインを含めることを提案しました。

合計5つのサイトのうちの2つ（defense.govとdodlive.mil）はすでに十分に強化されていました。この2つのサイトにはDMAが以前からAkamaiのAlways-onのWeb Application Firewall（WAF）、Site Shield、Client Reputationのサービスによる保護を適用していたからです。しかし、3番目のサイトが1日もたたないうちにトラフィックの急増に耐えられなくなったため、DMAはAkamaiのWAFによる包括的な保護を提供しました。WAFソリューションは、分散型サービス妨害（DDoS）、SQLインジェクション、クロス・サイト・スクリプティングなど、アプリケーションレイヤー攻撃やボリューム型攻撃を常時拒否できるように設計されています。このソリューションの適用後、同サイトは攻撃の襲来やテストトラフィックの殺到に耐えられるようになり、再びエンドユーザーに対応できるようになりました。

DoWのサイバーセキュリティをテストする

Hack the Pentagonプログラムは、2016年4月18日から5月12日まで実施され、その間に252人のハッカーが少なくとも1件の脆弱性レポートを提出。レポート総数は1,189件に上りました。ハッカーからレポートが提出されると、DDSはHackerOneのサポートを利用しながらリアルタイムで修正を進めていき、このパイロットプログラムの終了後1か月あまりで、報告された各脆弱性の修正を終えました。

138のレポートが報奨金に値するとみなされ、1,410人の登録ハッカーのうち58人が100ドルから15,000ドルの報奨金を受け取りました。報奨金を含めてこのプログラムには合計約15万ドルの費用がかかりました。しかし、国防長官の見積では、従来どおりに外部企業を利用してセキュリティ監査や脆弱性評価を行っていたとしたら、DoWは今回と同様の脆弱性を発見するために100万ドルを費やすはずでした。

潜在的な侵害をすべて阻止する

プログラム期間中、Akamaiは5つの参加サイトのうち3つに中断なくサービスを提供し、セキュリティを保護しました。2億1,300万件のヒットと10テラバイトのデータを処理し、1秒あたり約2,000ヒットにも上るトラフィックの急増を吸収しました。当然のことながら、このバグ・バウンティ・プログラムは、攻撃者の関心も引き付けました。実際、Akamaiは1,920万を超える悪性リクエストを拒否し、55件の巧妙な攻撃からdefense.govを保護しました。そのなかには、注目を集めた2件のDNSドメインフラッド攻撃や、83か国250のIPアドレスから発信されたDDoS攻撃も含まれています。また、DMAはAkamai Client Reputationを使用して、100万を超えるリクエストが悪性なものであると予測しました。その結果、重大な既知の脅威を、DMAのWebサーバーインフラから遠く離れたインターネットエッジで自動的に拒否することができました。

DMAは、このチャレンジの最中やその前後に、Webサイトアクティビティのベースライン評価を行いましたが、その結果、Akamaiが保護しているサイトではスキャニングや調査活動が他サイトよりも多く実施されていることがわかりました。

プログラムの拡張

HackerOneはこのイベントを記念して、成功したハッカーにHack the Pentagonチャレンジコインを贈りました。Carter長官はこのプログラムの成功に満足し、DoWの他の部分にもバグ・バウンティ・プログラムを拡大すると決めました。すでに詳細な計画が発表されています。

「多くのDoW資産にこのようなセキュリティプログラムを実施することで、脆弱性の発見を合理化して時間を節約するとともに、内部チームが修正に集中できるようにしたいと考えています。バグバウンティの範囲を拡大するにあたっては、このチャレンジを価値あるものとするために、参加サイトが脆弱性の観点から十分に試されるようにする必要があります。このビジョンを実現するために最もよいのは、Akamaiのような商用ソリューションを導入することです」Defense Digital Serviceのデジタル・セキュリティ・リードであるLisa Wiswell氏はこのように締めくくりました。

Defense Media Activity（DMA）は、ニュースや情報を世界各地の米軍に直接伝える役割を果たし、ラジオ、テレビ、インターネット、印刷メディア、新しいメディアテクノロジーなど、さまざまなメディアプラットフォームでニュース、情報、エンターテインメントを提供しています。米国内外の何百万人もの現役軍人、州兵および予備役、軍属（民間人）、業務委託先、軍退役者およびその家族がDMAの情報を利用しています。