これは、IBM Cloud Advent Calendar 2019 7日目の記事です。
こちらの動画、視たことはありますか?
これは、公開と同時に「IBMっぽくない」「カッコイイ」「映画かと思った」「今までのセキュリティじゃだめなんだっていうのが分かった」などご好評いただいている動画です。IBM Cloudで選べる機能のひとつで、セキュリティ強化とWebのパフォーマンスアップのためのサービス「IBM Cloud Internet Services(CIS)」のマーケティング映像です。
本記事では動画のラフストーリーをご紹介しながら、「ウフフ」な情報を一挙に公開しちゃいます。
何やら重々しい効果音とともに始まる、とある街の一角。
手にマスクをもち、あやしげな男が仁王立ちしています。
実はこちらのロケ地、日本IBMの本社前なんです。カメラの後ろにはスタッフや見物人がズラーっと並んでいます。この後、動画に乱入してくる車の運転手と助手席に座るひとに注目してみましょう。お面、かぶっているのに気づきました?このシーンは数回撮影し、その度に白いバンは1区画ぐるっと回ってました。きっと対向車線の運転手は驚いたでしょうね(^^;
場面は一転、オフィスらしきところに。なんかヤバそうなひとが武器をもって歩いてます。
PCの隙間から人影が見えます。
IBM社員が扮する「人質」が2名エキストラで登場します。日本IBMの本社23階の一角を撮影用にセッティングしました。まさか自分のオフィスで人質役になるなんて、ですよね。知っている人かも?というかたは、ぜひフル動画にてご確認ください。ちなみにこの二人、迫真の演技が撮影スタッフにも高評価でした。
セキュリティリスクは常に考えないといけない。想定外のことが起こりつつある、と認識しながらも、脅威はすでにさまざまなところに顕在化している、というシーンに切り替わります。
このハックされたPCを操作しているのも、IBM社員、です。IBM社員、いろんなことやります(笑)ちなみにこの「画面」を「映画マトリックスみたいなの」と表現して、相手に伝わらないときの脱力感は...orz
IBM Cloud Internet Services のヒーローたち
脅威に「備え」「対抗する」ために6人のヒーローたちが招集されます。
動画ではなんだかチームプレイできるのか?みたいな感じのスナップが次々と流れてきます。これまではセキュリティの機能って単独で利用されてきたものが多いですからでしょうか。どうなるんだ、ヒーローズ!
どんなヒーローたちなのか、キャンペーンサイトの説明をベースにちょっと解説してみましょう。
DNS/グローバルロードバランサー
内田裕也さん扮するDNSは、「サイバー空間のリーダー」という設定です。コードネームは1.1.1.1…とくるとマニアな方にはピンときます。そう、言わずと知れた世界最速のDNSですね。CISを利用するとこの「最速DNS」が使えるようになっちゃうのが注目ポイント。アドレス変換が速いと、Webサイト全体のパフォーマンスも上がる、というのはご想像いただけるかと思います。もちろんDNSをターゲットにした攻撃にも万全な対策済、です!
TLS
ジェリー・ピーチさん扮するTLSは、「暗号のヒロイン」という役回り。わたしたちが普段使っているブラウザも、TLS対応していますね。安心です。意識せずとも通信そのものの秘密を守ってくれるのは便利ですね。CISでは証明書をユーザーが指定することも、自分で生成することもできます。もちろん、「お任せ」モードもあり大変便利です。古い仕組みを排除してくれるので脆弱性ある通信相手とはやりとりしません。
ファイアウォール
ニヒさんはファイアウォールとして登場です。インターネットが張り巡らされ、eビジネスが盛り上がってきた時代からセキュリティを守る生きる伝説。CISではIPアドレス制御、国IP制御、ドメインロックダウン(全部防いじゃうシールド)など結構いろんな機能を担っています。利用者がマシンではないことをテストするCAPTCHAも一発で利用できるようになります。
CDN
申大樹さんはデータ拡散の天才役CDNです。世界194か所(2019/12/7時点)のエッジ拠点にユーザー指定のWebサイトの静的コンテンツをキャッシュしているので、世界中からアクセスしても、それぞれのユーザーは最寄りのエッジ拠点からデータを受信できる、といった優れものです。企画当初は「スパイ」という設定もありましたが、最終的に「天才」という肩書に。
DDoS防御
服部賢一さんはDDoS防御役です。撮影時は結構な時間を筋トレされてました。昨今の攻撃者は一か所からではなく、無数ともいうべき端末から一斉に攻撃してきます。これを防ぐのです。すべてのトラフィックの傾向を分析し、怪しいアクセスを事前に防ぐ、という機能です。CISを申し込むと、皆さんのサイトがこの防御対象に含まれます。細かい設定は不要です。当初タンク役、という肩書にしてましたが分かりにくいということでボツに...
WAF
ジュリアーノ熊代さん扮するWAF。昨今のWebアプリの仕様書には必ずと言っていいほど追加されている機能要件ですね。CISのWAFは、毎秒数百万件のアクセス情報を分析し、防御ルールが自動でアップデートされるようになっています。新規の脆弱性にも迅速に対処できるし、どういうルールを採用するかしないか、を設定画面で選ぶだけ、というのはこれこそ Simple is the best!
IBM Cloud コンソール
コンソール司令官は山口馬木也さんです。眼帯をつけた強面を演じていただいています。司令官IBM Cloudが活躍する世界6か所というのは、アベイラビリティ・ゾーンが展開されている地域ですね。ヒーロー起動の合図は、そう「ワンクリック」です!
CISでどれくらい速くなるのか?
東京リージョンにテスト用のWebサイト(2コア、4GBメモリ、帯域1Gbps)を立て、1秒ごとに100ユーザーのアクセスを10秒間(つまり1000ユーザーが五月雨式にアクセス)するという負荷をかけてみました。
CISの無し(左)と有り(右)で顕著な結果になっているのがお分かりいただけるでしょうか。
違いはCISがあるかないか、それだけです。それだけなのに、この圧倒的なパフォーマンスの差が出るんです。
すごいと思いませんか?
オートスケールさせてWebサーバーを増やそうか?とか考えちゃうようなレスポンスタイムですが、CISを被せるだけですべてサクサク動くWebに早変わりしています。
こちら、前述したDNSとCDNの効果が端的に表れている例です。
じゃあそのWebのパフォーマンスを別視点で数値化してみよう
このWebサイトは東京リージョンで動いています。
なら地球の反対側(ブラジルのサンパウロ)からアクセスしてみたらどうなるのか?
東京-サンパウロは直線距離で18520km、飛行機だと北米経由で25時間、という遠さにあります。
ping飛ばすとだいたい 270-285 msec の間をうろうろするような遠さです。
100MBのファイルのダウンロードにも10秒程度かかる、といったパフォーマンスです。
これがCISを使うと、ping は 2msec程度、ファイルのダウンロードも1秒未満といった脅威の結果となります。
察しの良い方ならもうお気づきでしょう。CISなし、だとブラジルから東京に直接アクセスしています。しかし、CIS有り、では東京にアクセスしていないのです。pingの応答を返しているのはサンパウロ最寄りのCISのサービスであり、ファイルのダウンロード元も、東京のWebサイトではなく、サンパウロ最寄りのCISのサービスなのです。いわゆるCDNとして機能している、ということなのです。
便利ですよねー。
CISのWAFがどう簡単設定なのか?
もうひとつ「便利さ」をセキュリティの観点で見てみましょう。
どのWAFルールを採用し設定するか、どうやってそのルールを最新のものに維持するか、という点をきちんと考えていくと、WAFの機能はCISで使えるようなマネージドのサービスに行きつきます。
CISでのWAFの設定は①「ON/OFF選択」と②「細かなルールの選択」の二段階になってます。
これが例えばオンになっていると、Webアプリケーション上のアプリ側で例えば「SQLインジェクション攻撃」の対策をしていなくても、CISで防いでくれるんです。うっかり対策洩れ、も防いでくれるんです。
さらに、OWASPルールセットにだけ対応している類似サービスとは違い、クラウドで利用される様々なモジュールのWAFルールについても「CISルール・セット」としてあらかじめ設定されているのが便利な点です。例えばPHPとかFlashとかのWAFルール、常にメンテナンスする手間を考えるの悩みますよね?それよりは、CISにしてしまったほうが、遥かに手間なく簡単で安全でしょう。
われわれはCIS
CISのサービスが異色なのは、このサービスはGlobal IPを対象にしている、という点です。これはつまり、守る対象がIBM Cloudじゃなくてオンプレでも、どこかのクラウドでもどこでも守っちゃうよ!パフォーマンスアップしちゃうよ!ということです。こんな柔軟なクラウド・サービス聞いたことありません。
動画の最後のシーンのこちらのショットもなんと日本IBMの本社内です。ロビー奥に2階に上がる階段があり、その踊り場で撮影されました。
今回ご紹介した CISのキャンペーンサイト も立ち上がってます。フル動画もこのサイトからお楽しみください!