©2024 Akamai Technologies
状況
米国連邦政府が、国の最も重要なシステムとデータを危険にさらすことなく、セキュリティ上の弱点と脆弱性を発見するためには、どのような方法を採ればよいでしょうか。その答えは、アカマイのサービスを利用してアップタイムとセキュリティを確保しつつ、脆弱性の発見と開示をクラウドソースで行なう大手テクノロジー企業の例に倣うことです。これは、ホワイトハウスの U.S. Digital Service の国防総省 (DoD) 部門である Defense Digital Service (DDS) が提案したアイデアです。
DDS は、国防総省におけるテクノロジーの構築および適用方法を変革するために、当時国防長官であった Ash Carter 氏が設立した組織です。DDS は、民間企業の人材とベストプラクティスを活用して、連邦政府の最も重要なサービスを改善することを使命としています。曖昧さのあるセキュリティは現実的ではなく、実現不可能であることを認識しているDDS は、 2016 年初頭に 国防総省を説得し、「Hack the Pentagon」と呼ばれる史上初のバグバウンティを開始しました。同省は、民間企業の特徴であるイノベーションと新しい考え方を活用することで、内部のサイバーセキュリティ専門家を支援し、システムやネットワークをよりよく保護するためのコスト効率のよい方法を見つけました。
課題
バグバウンティは民間企業では一般的に行われていますが、当時、連邦政府ではこれまで実施されたことはありませんでした。とはいえ、考え方は比較的単純です。外部の研究者(ホワイトハットハッカー)に組織内のネットワークとアプリケーションのセキュリティをテストさせ、その結果を報告してもらうことで、脆弱性に対処できるようにするというものです。今回のケースでは、米国連邦政府は、脆弱性を発見しようとする「ハッカー」を組織・管理するために、第三者であるHackerOne社を雇いました。
プログラムを確実に成功させるため、DDS は Defense Media Activity(DMA)と緊密に連携しました。DMA は DoD にエンタープライズ規模のクラウドサービスを提供する機関ですが、そのクラウドサービスは、単一の Web ベースコンテンツ管理システムで軍および DoD の一般向け Web サイト 700 以上を管理しています。DDS と DMA はいずれも、このプログラムに伴うリスクを理解したうえで、参加するハッカーの数が多いほど発見されるバグも多くなると考えていました。また、経験豊富な研究者とハッカー初心者の両方に有意義な課題を提供するために、重要な標的サイトや DoD 境界外のサイトを含める必要があることも知っていました。さらにDDSとDMAは、プログラム全体を効果的に立ち上げて管理することに加えて、プログラムのあらゆる側面に関する報道機関との対外的なコミュニケーションを管理する必要がありました。
目標
DDS がその目標を達成するためには、以下の 2 つの主要な要件を満たす必要がありました。
- インターネットベースの攻撃の阻止 - DoD 関連のサイトは注目度の高い標的であるうえ、このプログラムによってメディアの関心が高まるため、攻撃の可能性が拡大します。
- 可用性の確保 - ハッカソンから最大限の価値を引き出すためには、脆弱性テスト用に提供されるサイトが常にオンライン状態になっている必要があります。
実証済みの防御策を活用する
defense.gov にはすでに Akamai による保護が適用されていたため、DMA は当初からこのサイトをハッカソンに含めることを推奨していました。DDS もイベント中の不正行為を阻止するために、他のセキュリティ対策を講じました。
これらに加え、DMA は Akamai の Professional Services を利用してプログラムに備えました。Akamai にはすでにバグ・バウンティ・プログラムが用意されていたため、Akamai のエキスパートは、プログラム全体を考慮して貴重な知見や助言を提供しました。さらに、DMA は追加のセキュリティレイヤーとして Akamai の Client Reputation サービスも導入しました。Client Reputation は高度なアルゴリズムを活用することで、Akamai ネットワーク全体で観察された過去のふるまいからリスクスコアを算出し、攻撃、クライアント、アプリケーションのふるまいについてプロファイリングを行います。Akamai はこの情報に基づいて各クライアント IP アドレスにリスクスコアを割り当てるとともに、Akamai のセキュリティサービスに実行させるアクションを DMA が選択できるようにしています。Client Reputation を使用した DMA は、プログラムの初日から、defense.gov を狙おうとする約 54,000 のユニーククライアント IP アドレスに関する実用的なインテリジェンスを得ることができました。
トラフィックの急増に耐える
このプログラムはわずか 3 つのサイトで開始され、当初 Akamai が保護していたのは http://www.defense.gov/ だけでした。しかし、ハッカーコミュニティーからの関心が高まり、登録ハッカー数が 1,400 人を超えたため、DDS はサイトの範囲を広げる必要がありました。DMA は、2 つのサイトを追加して多様性を拡げるとともに、スキルの低いハッカーでも脆弱性を発見できるように、時代遅れで設定が不十分な Web ドメインを含めることを提案しました。
合計 5 つのサイトのうちの 2 つ(defense.gov と dodlive.mil)はすでに十分に強化されていました。この 2 つのサイトには DMA が以前から Akamai の Always-on の Web Application Firewall(WAF)、Site Shield、Client Reputation のサービスによる保護を適用していたからです。しかし、3 番目のサイトが 1 日もたたないうちにトラフィックの急増に耐えられなくなったため、DMA は Akamai の WAF による包括的な保護を提供しました。WAF ソリューションは、分散型サービス妨害(DDoS)、SQL インジェクション、クロス・サイト・スクリプティングなど、アプリケーションレイヤー攻撃やボリューム型攻撃を常時拒否できるように設計されています。このソリューションの適用後、同サイトは攻撃の襲来やテストトラフィックの殺到に耐えられるようになり、再びエンドユーザーに対応できるようになりました。
DoD のサイバーセキュリティをテストする
Hack the Pentagon プログラムは、2016 年 4 月 18 日から 5 月 12 日まで実施され、その間に 252 人のハッカーが少なくとも 1 件の脆弱性レポートを提出。レポート総数は 1,189 件に上りました。ハッカーからレポートが提出されると、DDS は HackerOne のサポートを利用しながらリアルタイムで修正を進めていき、このパイロットプログラムの終了後 1 か月あまりで、報告された各脆弱性の修正を終えました。
138 のレポートが報奨金に値するとみなされ、1,410 人の登録ハッカーのうち 58 人が 100 ドルから 15,000 ドルの報奨金を受け取りました。報奨金を含めてこのプログラムには合計約 15 万 ドルの費用がかかりました。しかし、国防長官の見積では、従来どおりに外部企業を利用してセキュリティ監査や脆弱性評価を行っていたとしたら、DoD は今回と同様の脆弱性を発見するために 100 万ドルを費やすはずでした。
潜在的な侵害をすべて阻止する
プログラム期間中、Akamai は 5 つの参加サイトのうち 3 つに中断なくサービスを提供し、セキュリティを保護しました。2 億 1,300 万件のヒットと 10 テラバイトのデータを処理し、1 秒あたり約 2,000 ヒットにも上るトラフィックの急増を吸収しました。当然のことながら、このバグ・バウンティ・プログラムは、攻撃者の関心も引き付けました。実際、Akamai は 1,920 万を超える悪性リクエストを拒否し、55 件の巧妙な攻撃から defense.gov を保護しました。そのなかには、注目を集めた 2 件の DNS ドメインフラッド攻撃や、83 か国 250 の IP アドレスから発信された DDoS 攻撃も含まれています。また、DMA は Akamai Client Reputation を使用して、100 万を超えるリクエストが悪性なものであると予測しました。その結果、重大な既知の脅威を、DMA の Web サーバーインフラから遠く離れたインターネットエッジで自動的に拒否することができました。
DMA は、このチャレンジの最中やその前後に、Web サイトアクティビティのベースライン評価を行いましたが、その結果、Akamai が保護しているサイトではスキャニングや調査活動が他サイトより優れていることがわかりました。
プログラムの拡張
HackerOne はこのイベントを記念して、成功したハッカーに Hack the Pentagon チャレンジコインを贈りました。Carter 長官はこのプログラムの成功に満足し、DoD の他の部分にもバグ・バウンティ・プログラムを拡大すると決めました。すでに詳細な計画が発表されています。
「多くの DoD 資産にこのようなセキュリティプログラムを実施することで、脆弱性の発見を合理化して時間を節約するとともに、内部チームが修正に集中できるようにしたいと考えています。バグバウンティの範囲を拡大するにあたっては、このチャレンジを価値あるものとするために、参加サイトが脆弱性の観点から十分に試されるようにする必要があります。このビジョンを実現するために最もよいのは、Akamai のような商用ソリューションを導入することです」Defense Digital Service のデジタル・セキュリティ・リードである Lisa Wiswell 氏はこのように締めくくりました。
Defense Media Activity(DMA)は、ニュースや情報を世界各地の米軍に直接伝える役割を果たし、ラジオ、テレビ、インターネット、印刷メディア、新しいメディアテクノロジーなど、さまざまなメディアプラットフォームでニュース、情報、エンターテインメントを提供しています。米国内外の何百万人もの現役軍人、州兵および予備役、軍属(民間人)、業務委託先、軍退役者およびその家族が DMA の情報を利用しています。