この記事ではAlibaba CloudのチーフセキュリティリサーチャーであるWu Hanqing氏が、W11ショッピングフェスティバル(独身の日)を成功させるための様々なセキュリティ対策について語っています。
Alibabaが毎年開催している「W11ショッピングフェスティバル(独身の日)」のような大規模なEコマースイベントをサポートするために必要な、驚異的なコンピューティングパワーについて時々話題になっています。
講演者について
Wu Hanqing氏は、Alibaba Cloudのチーフセキュリティリサーチャーです。2000年からセキュリティ技術に携わり、それ以来、中国のセキュリティコミュニティで活躍しています。2005年にAlibabaに入社し、Alibabaのセキュリティに早くから貢献してきた一人です。Alibaba.com、Taobao、Alipay、Alibaba Cloudのアプリケーションセキュリティシステムを設計しました。2012年から2014年にかけては、Anquanbao社のパートナーとして活動する一方、自身のビジネスを立ち上げ、より優れたクラウドセキュリティ製品とサービスの提供に尽力しました。そして2014年にAlibabaに戻り、Alibaba Cloud securityの責任者に就任しました。彼は「ホワイトハットハッカーによるウェブセキュリティのレッスン」という本を書き、「Brother Dao's News」という個人のWeChatアカウント/公開Zhihuアカウントを開設しました。
読者に向けて、Alibaba Cloud securityを簡単に紹介していただけますか?
Alibaba Cloud security は、ユーザーのセキュリティを確保するための製品・サービスです。攻撃に対する基本的な防御やセキュリティサービスのほかに、フルスタックのセキュリティソリューションも提供しています。現在、Alibaba Cloud securityには10以上のセキュリティ製品があり、ネットワークセキュリティ、サーバーセキュリティ、アプリケーションセキュリティ、ビジネスセキュリティのさまざまな側面に関わっています。Alibaba Cloud securityのビジネスは非常に急速に成長しています。現在、中国のウェブサイトの37%以上を保護し、毎日50%のDDoS攻撃から中国のインターネットを守っています。これは、セキュリティ分野におけるSaaSの真の意味で実現性を証明するものです。
Alibaba Cloud Securityはどのような産業分野を対象としていますか?
Alibaba Cloudは、さまざまな分野の大企業、中小企業をターゲットにしています。それはインフラであり、クラウド・コンピューティングが電気や水道、石炭の供給のような公共サービスになればいいと思っています。発電所は電力を供給する際にお客様を業種で区別しませんが、クラウドコンピューティングも同様であるべきです。Alibaba Cloud Securityは、お客様の規模に関係なく、すべての業界を対象としています。お客様によってサービスのニーズや基準が異なることがありますが、電力供給も家庭用電力と産業用電力に分かれているのと同じことです。サービス基準は異なりますが、製品は同じです。
Alibaba CloudがAlibabaグループのエコシステムを守っていることは知っていますが、代わりに誰がそれを守るのでしょうか?
Alibaba Cloudを守るために、Alibaba Cloud Securityの技術も使われています。私たちの技術はすべてAlibaba社内でテストされ、成熟させてから製品としてお客様に提供されます。そのため、製品は実用的な効果を特に重視しています。Alibaba Cloud独自のセキュリティシステムについては、「赤軍青軍」の対決思想を重視し、業界全体のホワイトハットを招いて製品のセキュリティテストを実施します。このプロセスでは、状況認識(Situation Awareness)の「見える化」機能を頼りに、各攻撃の試みを察知し、最終的にはセキュリティイベントや抜け穴の全体数を制限します。予知知性や状況認識など、これらの機能はすべてAlibaba Cloud Securityの製品エコシステム内の製品やサービスとして提供されています。
オンクラウドの顧客を保護することの難しさは何ですか?
クラウドコンピューティングは、大規模なコンピューティング活動です。どんな取引でも、規模が大きくなれば複雑になり、処理が難しくなります。しかし、これはイノベーションのチャンスでもあります。例えば、通常のウェブサイトでは、1年のうち1回でもDDoS攻撃を受けることはありませんが、Alibaba Cloudでは、毎日何千ものDDoS攻撃を防御しなければなりません。このような規模の攻撃を受けた場合、手作業に頼って対処するのは現実的ではありません。そのため、技術的な工夫が必要になります。その結果、人手を一切必要としない完全自動のDDoS攻撃対策を実現しました。どんなDDoS攻撃に対しても、検知、対応、防御のすべてのプロセスを1秒以内に完了させることができます。
シチュエーションアウェアネスとは何か、説明していただけますか?
シチュエーションアウェアネスは、2つの重要な点で従来のSIEMとは異なります。現在、多くのセキュリティメーカーがシチュエーションアウェアネスに取り組み始めていますが、そのほとんどがSIEMの名前を変えているだけです。これはシチュエーションアウェアネスを誤解しています。
セキュリティ分野でシチュエーションアウェアネスをカバーする最も早いアプリケーションは、私が2015年7月の「Alibaba Security Summit」でAlibaba Cloud Security Situation Awareness製品を正式に発表した後に提案されました。2016年4月には、習主席がスピーチを行い、ネットワークセキュリティのシチュエーションアウェアネスに関する優先順位を明確に指摘しました。シチュエーションアウェアネスによって強化された可視性は、セキュリティ分野全体の基盤を構成しています。
シチュエーションアウェアネスには、他のセキュリティ製品とは異なる2つの重要な特徴があります。1つ目は、生のデータに基づいており、元のデータを完全に尊重することです。現在、Alibaba Cloud Securityは毎日500T以上のインクリメンタルデータを分析しており、そのデータストックは100P以上にもなります。これにより、サードパーティのセキュリティ機器から中古の資料を入手するのではなく、生データを分析することで生の情報を得ることができます。最も価値のある情報は、すべて生データの中に眠っているのです。アルゴリズムが更新されても、古い生データをもとに新しい値を算出することができます。
どのようにしてフルチェーンでの監視・警告を実現しているのか説明してください。
ネットワーク、サーバー、データベース、レイヤー4、レイヤー7、操作ログ、システムログなど、さまざまな次元のセンサーからデータを収集しています。Alibaba Cloud Securityは、フルネットワークスキャナだけでなく、アプリケーション層のトラフィック解析やデータ解析、サーバーエージェントなど、チェーン全体に展開されているからです。これらのおかげで、異なる現象を異なる視点から観察することができます。同時に、Alibaba Cloudは様々な次元のAPIを提供しています。RAM認証により、クラウドコンピューティング自体が提供するデータを呼び出し、すべてのデータを統合して総合的な診断を行うことができます。
Alibaba Cloud Securityが現在取り組んでいる最先端の新技術とは?
私たちは、Alibaba Cloudの強力なコンピューティング能力を、私たちのセキュリティ分野で存分に発揮したいと考えています。また、コンピューティング能力の解放が、ディープラーニングやAIに大きなチャンスを生み出していることを知っています。
例えば、セキュリティの専門家をコンピュータに置き換えて、結果分析の評価、戦略の維持、対応など、すべてのマニュアル作業を行う方法を研究しています。高度な思考や経験を必要とするこれらの仕事は、これまで専門家が手作業で行っていたものを、すべて機械が自動的に行うことができます。機械に任せることは実現可能であり、場合によっては人間以上の仕事をすることも可能だと考えています。
これは、私たちが取り組みを強化している一大プロジェクトです。このAIプロジェクトを 「Cloud Security Junior 」と名付けました。
W11ショッピングフェスティバル(独身の日)のようなイベントをどのように守るのか?
O&Mと同様に、セキュリティもサポートサービスのひとつです。あらゆる事態を想定した上で、しっかりとしたセキュリティ対策を行っても、普段は気づかれないものです。G20サミットを守ったように、ここ数年のW11ショッピングフェスティバル(独身の日)は、Alibaba Cloud securityのサポートのおかげでスムーズに行われてきました。W11ショッピングフェスティバルの課題は、膨大な量のアクセス要求にあり、このようなシナリオでは多くのソリューションに厳しい要件が課せられます。
例えば、W11ショッピングフェスティバル(独身の日)では、セキュリティチェックや対応のために、国内や海外のゾーンへの1秒あたりのトラフィックを集中的に統計・分析する必要があります。これは、地域をまたぐ数TBのトラフィックを分析するという非常に大きな課題であり、高い安定性とリアルタイム性が求められます。また、チェック機能を1分間だけ無効にした場合、バックエンドサーバーに大きな負荷がかかり、W11 (独身の日)のパフォーマンスが全体的に低下してしまう可能性があります。
さらに、前回のW11ショッピングフェスティバル(独身の日)で初めてWAF技術を適用しましたが、今年も引き続き適用します。つまり、W11の期間中、すべてのリクエストがWAFのセキュリティチェックを受けることになります。これには強力な検知能力と伸縮性のある技術アーキテクチャが必要です。WAFは、他のセキュリティ施設では経験したことのない、100万以上のポリシーを同時に発信することをサポートしています。
最後になりましたが、W11ショッピングフェスティバル(独身の日)の際に「ロスレストラフィック制限」技術を採用したことで、お客様に存在感を感じていただけたのではないかと思います。W11のピーク時のトラフィックは誰にも予測できませんし、バックエンドサーバーの数も十分ではないかもしれませんので、セキュリティ制御のためのシステム負荷を超えるリクエストに対しては「キューイングメカニズム」を採用しています。このメカニズムでは、接続が切断されることはありませんが、システム処理のためにリクエストの順番が来るまで待たされます。
緊急時にはどのような対策をとっていますか?
当社には専門の緊急対応チームがあり、製品の抜け穴、クラウド上のセキュリティインシデント、外部から報告された問題、お客様から報告された深刻なケースなど、あらゆる危機的状況に対応できるようになっています。事前に広く情報を収集し、プロセス中に当直者を指定して、すべての有能なチームが対応するように動機づけ、事後の観察と効果の再生を組織します。
クラウドコンピューティングでは、何十万人ものユーザーに影響を与えるような重大なセキュリティ上の脆弱性に直面することがよくあります。私たちは、いくつかの高度な脅威がどのように拡散していくのか、社内ではこのことを「セキュリティ・エピデミック」と呼んでいます。実際、この拡散を1時間でも早く食い止めることができれば、何万人ものユーザーが損害を被らずに済むかもしれません。ですから、当社の緊急対応チームはハッカーと競争しているのです。すべての緊急対応には前提条件があります。それは、問題を観察することです。ここで「シチュエーションアウェアネス」能力が発揮されるのです。
W11のショッピングフェスティバル(独身の日)では、専門のサポートチームが、さまざまなセキュリティ上の緊急事態を想定した数十種類の事前計画を作成しました。W11の数ヶ月前からリハーサルを開始し、実効性のあるプランを作成しています。彼らは W11のショッピングフェスティバル(独身の日)の期間中、24時間体制で勤務しています。
Alibaba CloudがW11のショッピングフェスティバル中にどのように脅威を根絶するか説明してください。
例えば、W11ショッピングフェスティバルの期間中、一部のモバイルメーカーは大規模なプロモーション(フラッシュセールなど)を行います。多くのダフ屋は通常、このようなプロモーションを利用して商品を購入し、備蓄するため、市場の秩序が乱れることになります。そのため、私たちは、脅威情報といくつかの闇市場の分析を通じて、全体的な状況を把握します。この作業は、当社の専門のインテリジェンスチームとデータ分析チームが行います。W11ショッピングフェスティバルの期間中は、収集した情報をWAFに適用し、重要なプロセスにおけるこれらの行動を阻止します。一方で、アタッカーはしばしば攻撃ソースやツールを変更し、我々のポリシーに立ち向かってきます。そのため、私たちのポリシーの有効性をリアルタイムで観察する必要があります。この作業は、サポートチームとデータ分析チームによって行われます。
過去のW11ショッピングフェスティバルで経験した緊急事態を覚えていますか?
昨年のW11では、多くのダフ屋がフラッシュセール商品を奪おうとしました。しかし、スレットインテリジェンスにより、全国のダフ屋の大まかな分布と、彼らが使用するツールやリソースを分析することができました。W11の前には、アクセス数の多い主要なWebサイトにおいて、ダフ屋のツールやリソースをブロックするポリシーを迅速に導入し、通常のビジネスサービスを確保しました。私たちのリスクコントロール戦略は、非常に頻繁に対立しています。30分に1回、アルゴリズムの更新が必要になることも珍しくありません。
今年のW11ショッピングフェスティバルでは、ライブ中継が追加されたと聞きましたが。Alibaba Cloudでは、この機能に対する追加サービスのサポートはありますか?
ライブ放送ビジネスには、2つの大きなセキュリティ問題があります。1つは、DDoS攻撃によるライブ放送の中断で、これまでのマーケティング努力が水の泡になってしまう可能性があります。そのため、DDoS対策プランを用意し、ネットワーク品質の振動を除外する必要があります。もう1つは、ライブ映像の中の弾幕には、違法・不正な情報が含まれている場合があり、社会的に悪影響を及ぼす可能性があることです。そのため、ライブビデオのUGCコンテンツをチェックする必要があります。Alibaba Cloud securityのAliGreenNetは、これらのチェックとブロックのサービスを提供するために作られました。
Alibabaグループのエコシステム以外に、W11ショッピングフェスティバルを実現した責任者は他にいますか?
Alibabaは大きなエコシステムです。W11ショッピングフェスティバルの期間中、アリババ傘下のTmallやAlipay以外にも、エクスプレスデリバリー業界やEコマースのサポートを提供するISVも、直接的なトラフィック増加のストレスを処理する必要があります。
当社のAliexpressは、国際的なC2Cサービスであり、ロシア最大のEコマースプラットフォームです。Aliexpressのプロモーション活動により、ロシア郵便が配送サービスに対する需要の急増に対応できなくなったこともありました。同様の問題は中国でも発生しており、AlibabaグループがCainiao物流サービスを開始したのもそのためです。グローバルな物流システムを最適化したいと考えています。
淘宝(タオバオ)や天猫(Tmall)の企業は、W11ショッピングフェスティバルの間、何十倍もの注文を処理する必要があり、ISV(CRMシステム、在庫管理システム、コメントシステムなど)に大きな負担がかかります。Alibabaが提供するJushitaは、これらのISVをAlibaba Cloud上に移し、より強力なセキュリティ保護を提供することを目的としています。実際に、Alibaba W11ショッピングフェスティバルの期間中の注文の90%は、これらのISVに流れます。
今年、Alibaba Cloud SecurityはJushitaと協力して、これらのEコマースISVに統合的なセキュリティサポートを提供し、W11ショッピングフェスティバルがスムーズに行われるようにします。
W11はもうすぐです。読者にメッセージをお願いします。
W11は、中国だけでなく、世界にとっても奇跡的な出来事です。すべてのW11トランザクションの背後には、大規模なコンピューティングリソースと検証、そしていくつかのビッグデータアプリケーションとセキュリティ技術があります。これはビジネス上の成功であると同時に、技術的にも偉大な偉業です。皆さんには、楽しいW11を過ごしていただきたいと思いますが、同時にこの技術的な奇跡にも目を向けていただきたいと思います。
本ブログは英語版からの翻訳です。オリジナルはこちらからご確認いただけます。一部機械翻訳を使用しております。翻訳の間違いがありましたら、ご指摘いただけると幸いです。
アリババクラウドは日本に2つのデータセンターを有し、世界で60を超えるアベラビリティーゾーンを有するアジア太平洋地域No.1(2019ガートナー)のクラウドインフラ事業者です。
アリババクラウドの詳細は、こちらからご覧ください。
アリババクラウドジャパン公式ページ