国防総省が Web サイトの保護を強化

国防総省、サイトのアップタイムおよび保護対策に Akamai を導入することで、First Bug Bounty プログラムの成功を確実なものに

状況

米国連邦政府が、国の最も重要なシステムとデータを危険にさらすことなく、セキュリティ上の弱点と脆弱性を発見するためには、どのような方法を採ればよいでしょうか。その答えは、主要なテクノロジー企業の先例に倣うことです。このような企業は、Akamai のサービスを使用してアップタイムとセキュリティを確保しながら、クラウドソーシングを通じて脆弱性の発見と開示を行っています。実はこの考えを提案したのは、ホワイトハウスの U.S. Digital Service で国防総省(DoD)を担当する Defense Digital Service(DDS)です。

DDS は、DoD におけるテクノロジーの構築および適用方法を変革するために、当時国防長官であった Ash Carter 氏が設立した組織です。DDS は、民間部門の人材やベストプラクティスを活用することで連邦政府の最も重要なサービスを改善することを任務としています。曖昧さのあるセキュリティは現実的でも実現可能でもないとの認識のもと、DDS は 2016 年始めに DoD を説得し、DoD 初のバグバウンティ、Hack the Pentagon の実施にこぎつけました。同省は、民間セクターの特長ともいえるイノベーションや新しい考え方を活用すれば、コスト効果の高い方法で、省内のサイバーセキュリティ担当者をサポートし、システムとネットワークの防御策を改善できることに気づいたのです。

課題

バグバウンティは民間セクターでは一般的に行われていますが、当時、連邦政府にはこのアプローチの実施経験がありませんでした。とはいえ、考え方は比較的単純です。報奨を用意して外部のリサーチャー、つまりホワイトハットハッカーに組織内のネットワークとアプリケーションのセキュリティをテストさせ、結果を報告してもらうことで、脆弱性に対処できるようにするというものです。このケースでは、米国連邦政府はサードパーティーである HackerOne を雇い、脆弱性の特定を試みる「ハッカー」の統括管理を委託しました。

プログラムを確実に成功させるため、DDS は Defense Media Activity(DMA)と緊密に連携しました。DMA は DoD にエンタープライズ規模のクラウドサービスを提供する機関ですが、そのクラウドサービスは、単一の Web ベースコンテンツ管理システムで軍および DoD の一般向け Web サイト 700 以上を管理しています。DDS と DMA はいずれも、このプログラムに伴うリスクを理解したうえで、参加するハッカーの数が多いほど発見されるバグも多くなると考えていました。また、経験豊富な研究者とハッカー初心者の両方に有意義な課題を提供するために、重要な標的サイトや DoD 境界外のサイトを含める必要があることも知っていました。さらに DDS と DMA は、プログラム全体を効果的に開始し管理するだけでなく、プログラムのあらゆる側面に関するプレスとの対外コミュニケーションをすべて管理する必要がありました。

目標

DDS がその目標を達成するためには、以下の 2 つの主要な要件を満たす必要がありました。

  • インターネットベースの攻撃の阻止 - DoD 関連のサイトは注目度の高い標的であるうえ、このプログラムによってメディアの関心が高まるため、攻撃の可能性が拡大します。
  • 可用性の確保 - ハッカソンから最大限の価値を引き出すためには、脆弱性テスト用に提供されるサイトが常にオンライン状態になっている必要があります。

実証済みの防御策を活用する

defense.gov にはすでに Akamai による保護が適用されていたため、DMA は当初からこのサイトをハッカソンに含めることを推奨していました。DDS もイベント中の不正行為を阻止するために、他のセキュリティ対策を講じました。

これらに加え、DMA は Akamai の Professional Services を利用してプログラムに備えました。Akamai にはすでにバグ・バウンティ・プログラムが用意されていたため、Akamai のエキスパートは、プログラム全体を考慮して貴重な知見や助言を提供しました。さらに、DMA は追加のセキュリティレイヤーとして Akamai の Client Reputation サービスも導入しました。Client Reputation は高度なアルゴリズムを活用することで、Akamai ネットワーク全体で観察された過去のふるまいからリスクスコアを算出し、攻撃、クライアント、アプリケーションのふるまいについてプロファイリングを行います。Akamai はこの情報に基づいて各クライアント IP アドレスにリスクスコアを割り当てるとともに、Akamai のセキュリティサービスに実行させるアクションを DMA が選択できるようにしています。Client Reputation を使用した DMA は、プログラムの初日から、defense.gov を狙おうとする約 54,000 のユニーククライアント IP アドレスに関する実用的なインテリジェンスを得ることができました。

トラフィックの急増に耐える

このプログラムはわずか 3 つのサイトで開始され、当初 Akamai が保護していたのは http://www.defense.gov/ だけでした。しかし、ハッカーコミュニティーからの関心が高まり、登録ハッカー数が 1,400 人を超えたため、DDS はサイトの範囲を広げる必要がありました。DMA は、2 つのサイトを追加して多様性を拡げるとともに、スキルの低いハッカーでも脆弱性を発見できるように、時代遅れで設定が不十分な Web ドメインを含めることを提案しました。

合計 5 つのサイトのうちの 2 つ(defense.gov と dodlive.mil)はすでに十分に強化されていました。この 2 つのサイトには DMA が以前から Akamai の Always-on の Web Application Firewall(WAF)、Site Shield、Client Reputation のサービスによる保護を適用していたからです。しかし、3 番目のサイトが 1 日もたたないうちにトラフィックの急増に耐えられなくなったため、DMA は Akamai の WAF による包括的な保護を提供しました。WAF ソリューションは、分散型サービス妨害(DDoS)、SQL インジェクション、クロス・サイト・スクリプティングなど、アプリケーションレイヤー攻撃やボリューム型攻撃を常時拒否できるように設計されています。このソリューションの適用後、同サイトは攻撃の襲来やテストトラフィックの殺到に耐えられるようになり、再びエンドユーザーに対応できるようになりました。

DoD のサイバーセキュリティをテストする

Hack the Pentagon プログラムは、2016 年 4 月 18 日から 5 月 12 日まで実施され、その間に 252 人のハッカーが少なくとも 1 件の脆弱性レポートを提出。レポート総数は 1,189 件に上りました。ハッカーからレポートが提出されると、DDS は HackerOne のサポートを利用しながらリアルタイムで修正を進めていき、このパイロットプログラムの終了後 1 か月あまりで、報告された各脆弱性の修正を終えました。

138 のレポートが報奨金に値するとみなされ、1,410 人の登録ハッカーのうち 58 人が 100 ドルから 15,000 ドルの報奨金を受け取りました。報奨金を含めてこのプログラムには合計約 15 万 ドルの費用がかかりました。しかし、国防長官の見積では、従来どおりに外部企業を利用してセキュリティ監査や脆弱性評価を行っていたとしたら、DoD は今回と同様の脆弱性を発見するために 100 万ドルを費やすはずでした。

潜在的な侵害をすべて阻止する

プログラム期間中、Akamai は 5 つの参加サイトのうち 3 つに中断なくサービスを提供し、セキュリティを保護しました。2 億 1,300 万件のヒットと 10 テラバイトのデータを処理し、1 秒あたり約 2,000 ヒットにも上るトラフィックの急増を吸収しました。当然のことながら、このバグ・バウンティ・プログラムは、攻撃者の関心も引き付けました。実際、Akamai は 1,920 万を超える悪性リクエストを拒否し、55 件の巧妙な攻撃から defense.gov を保護しました。そのなかには、注目を集めた 2 件の DNS ドメインフラッド攻撃や、83 か国 250 の IP アドレスから発信された DDoS 攻撃も含まれています。また、DMA は Akamai Client Reputation を使用して、100 万を超えるリクエストが悪性なものであると予測しました。その結果、重大な既知の脅威を、DMA の Web サーバーインフラから遠く離れたインターネットエッジで自動的に拒否することができました。

DMA は、このチャレンジの最中やその前後に、Web サイトアクティビティのベースライン評価を行いましたが、その結果、Akamai が保護しているサイトではスキャニングや調査活動が他サイトより優れていることがわかりました。

プログラムの拡張

HackerOne はこのイベントを記念して、成功したハッカーに Hack the Pentagon チャレンジコインを贈りました。Carter 長官はこのプログラムの成功に満足し、DoD の他の部分にもバグ・バウンティ・プログラムを拡大すると決めました。すでに詳細な計画が発表されています。

「多くの DoD 資産にこのようなセキュリティプログラムを実施することで、脆弱性の発見を合理化して時間を節約するとともに、内部チームが修正に集中できるようにしたいと考えています。バグバウンティの範囲を拡大するにあたっては、このチャレンジを価値あるものとするために、参加サイトが脆弱性の観点から十分に試されるようにする必要があります。このビジョンを実現するために最もよいのは、Akamai のような商用ソリューションを導入することです」Defense Digital Service のデジタル・セキュリティ・リードである Lisa Wiswell 氏はこのように締めくくりました。

Defense Media Activity(DMA)は、ニュースや情報を世界各地の米軍に直接伝える役割を果たし、ラジオ、テレビ、インターネット、印刷メディア、新しいメディアテクノロジーなど、さまざまなメディアプラットフォームでニュース、情報、エンターテインメントを提供しています。米国内外の何百万人もの現役軍人、州兵および予備役、軍属(民間人)、業務委託先、軍退役者およびその家族が DMA の情報を利用しています。



関連するお客様事例

Retail and Consumer Goods

Mitsui Home

三井ホームグループ約5,000人のリモートアクセス環境。
Read More
Enterprise Application Access

Skylark Group

Skylark Group helps restaurant employees focus on great customer service by simplifying application access with Akamai.
Read More
Media and Entertainment

Cloud WrapperとCloud Interconnectの導入により、 オフロード率を劇的に向上し、オリジントラフィックコストの80%低減を実現

Cloud WrapperとCloud Interconnectを導入により、 オフロード率を劇的に向上し、オリジントラフィックコストの80%低減を実現
Read More