CDNのトレンド2017　セキュリティCDNとマルチCDN

© J-Stream Inc. All Rights Reserved.
July Tech Festa 2017
[E50]
CDNのトレンド2017
セキュリティCDNとマルチCDN
株式会社Ｊストリーム
CDNext推進室
佐藤太一
2017.8.25版

2© J-Stream Inc. All Rights Reserved.
目次
 会社紹介＆自己紹介
 CDNのトレンド2017
 セキュリティCDN ～Imperva Incapsula～
 マルチCDN ～Cedexis～

会社紹介 (株式会社Ｊストリーム)
自己紹介

会社概要
社名株式会社Ｊストリーム(J-Stream Inc.)
代表者代表取締役社長石松俊雄
設立 1997年5月29日
証券コード 4308（東京証券取引所マザーズ）
本社東京都港区芝2-5-6 芝256スクエアビル6階
TEL：03-5765-7000 ／ FAX：03-5765-3520
西日本営業所大阪府大阪市北区堂島2-4-27 新藤田ビル5階
TEL：06-4796-6160 ／ FAX：06-4796-6166
福岡ラボ福岡県福岡市中央区天神1-12-7 福岡ダイヤモンドビル5階

 CDNサービス事業者としての 20年にわたる数多くの実績をもとに、
ネットワークを通じた企業のコミュニケーション活動をサポート
人的サポート・制作/運用体制
アカウント営業＋専任スタッフによるサポート
CDN/配信インフラ
24/7での有人監視
自社保有CDN/配信サーバー
 お取引企業様は年間800社以上
Ｊストリームとは

自己紹介
• 経歴
• 1980/09 山口県光市生
• 2003/03 鹿児島大学卒
• 2003/04 Jストリーム（AS24253）に入社
～新卒で入社してそのまま、現在も在籍
• 業務内容
• セールス兼インフラエンジニア
• CDNのインフラ全般の構築・運用・管理
• CDN情報サイト： https://tech.jstream.jp/
• その他
• インターネットコミュニティ活動も積極的に実施中
JANOG38 Meeting 実行委員長（2016/7/6-7/8@沖縄）
• 趣味：楽器(ファゴット)

tech.jstream.jp
も併せてご参照下さい！
CDNのトレンド 2017

CDNとは
▶インターネットコンテンツを快適に閲覧･利用できるよう、
配信の｢遅い｣｢中断する｣｢アクセスできない｣を防止する仕組み
▶CDNはContent Delivery Networkの略で、多数のコンテンツ配信サーバーで構成された
ネットワークのことです。貴社コンテンツのデータを、CDNが一時的に保存(キャッシュ)し、
お客様のサーバーにかわってエンドユーザーへ最短経路で効率的に配信します。
エンドユーザー
お客様サーバー
CDNの配信サーバー
にデータを一時的に
記憶（キャッシュ）
多数の配信サーバーで構成された
CDN エンドユーザーへ、
最短経路で効率的に
コンテンツを配信
▶ J-Stream CDNソリューションは分散されたアクセスポイントによる効率的なネットワークを提供し、
アクセス集中を伴うコンテンツ配信の高速化・安定化を実現します。

CDNの基本ニーズ：ピーク対策
 Yahooトピックス、テレビ放送、LINE告知等は通常時の数十倍～数
百倍のアクセスが発生します。いわゆるオートスケール機能では、
対策が完了するまでに数十分が必要となり、アクセス集中が発生し
ている＝本当に誘導を行いたい間での対応が完了しません
LINEプッシュ通知時のデータ
アクセス数
2,300,000req/min
(peek 380,000/sec)
ピークは数分
トラフィック
18.2Gbps

CDNの歴史
 誕生から約20年
第1次ブーム
2000年ごろ
第2次ブーム
2006年ごろ
第3次ブーム
2016年～
トピック
CDN登場
・大手企業向け単純
配信
CDN黒字化
VoD黒字化
領域拡大
・セキュリティ、HTTP/2
・定額、無料
・マルチ、自社
CDN配信比率
（対全Internet)
？ 50%程度 80%以上
国内CDN 8社程度
半分程度に減少
勝ち組は粗利50%
10社程度（クラウド事
業者、ISPが開始）
地上波サイマル
東京オリンピック

CDNサービスの領域拡大
機能
単純配信
付加価値配信
(セキュリティ、プロトコル変換）
大企業
(コミット)
中堅企業
(従量)
中小企業
(定額、無料)
単独CDN
マルチCDN
自社CDN
ユーザ(課金)
使用形態

機能
単純配信から付加価値提供
セキュリティ
WAF、DDoS対策
プロトコル変換
SSL化、HTTP/2、WebSocket
Incapsulaの絵

ユーザ
大企業から中小企業そして個人へ
大企業コミット課金
中堅企業 (完全)従量課金
中小企業定額課金
$20、$200
SNSプラン（加入者）、地方自治体プラン(住民数)
中小企業・個人：無料(フリーミアム)
流量が増えると有料プランへの移行が必須
定額・無料CDNの背景(前提：1ページ2MB、GB単価20円)
1万PVのサイト＝流量20GB/月程度＝利用料400円/月

使用形態
 単独CDN利用からマルチCDNそして自社CDNへ
 単独CDN
OTTにおいては少数派
 マルチCDN：複数CDNの利用
 自社CDN
米国トラフィックの半分は自社CDNが配信
サービス別トラフィック出典：Sandvine Global Internet Phenomena 2016H2
https://www.sandvine.com/trends/global-internet-phenomena/
出典：OTT Video Services (2017)
http://www.streamingmedia.com/Research/7064-OTT-VIDEO-
SERVICES-INNOVATION-OPPORTUNITY-MATURATION--
TECHNOLOGY-TRENDS-IN-OTT-DELIVERY.htm

セキュリティCDN
～Imperva Incapsula～

2016年のサイバー攻撃トレンド①
 大容量化：2016年は1Tbpsを超えるDDoS攻撃元年
 Incapsulaの保護対象に対しても瞬間的に約650Gbpsの攻撃を観測
参照：https://www.incapsula.com/ddos-report/ddos-report-q4-2016.html

2016年のサイバー攻撃トレンド②
 高トランザクション化：瞬間的に300Mppsを超える
攻撃通信を観測
参照：https://www.incapsula.com/blog/2015-16-ddos-threat-landscape-report.html

2016年のサイバー攻撃トレンド③
 DDoS攻撃の多くは１時間未満
 短期バースト攻撃の多くはDDoSerやBooterと呼ばれる攻撃サービ
スによって、botnetを用いて繰返し行われる大規模DDoS攻撃
 徐々に長期間化の傾向あり
 約20%の被害者は５日以内に再度被害にあう
 約47%の被害者は60日以内に再度被害にあう
参照：https://www.incapsula.com/resources/infographics.html
https://www.incapsula.com/ddos-report/ddos-report-q4-2016.html
2016/10～2016/12 DDoSの攻撃期間割合

2016年のサイバー攻撃トレンド④
 攻撃の複雑化
 複数のプロトコルによる攻撃
 マルチベクトル型攻撃の増加
参照：https://www.incapsula.com/ddos-report/ddos-report-q4-2016.html

2016年のサイバー攻撃トレンド⑤
 国内の状況
 2017/6/1-2 InternetWeekショーケース
 企業のDDoS対処戦略 Reloaded
 改めて考える適材適所のDDoS対策～まだDDoSで消耗しているの？～より
 参照 https://internetweek.jp/sc-program/day2-nakashima.pdf
 事業者A（大手ISP/IDC）
 20Gbps ～ 30Gbpsが定常化
 30分以内＆同じ顧客がほとんど
 一部顧客で対策としてCDNを導入していたが
オリジンネットワークが狙われた
 事業者B（大手IDC/ホスティング）
 20Gbps ～ 30Gbpsが定常化
 30分以内＆同じ顧客がほとんど
 最大90Gbpsを観測
 事業者C（中堅NIer/SIer）
 1Gbps以上経験なし
 DNSへのDDoSを観測

2016年のサイバー攻撃トレンド⑥
 Mirai/Bashlite 狙われたIoTデバイス
 2016年8月に出現後、デジタルビデオレコーダや監視カメラなど最大約50万台に
感染を拡散
 複数種のDDoS攻撃を実行可能な能力を持ち、その攻撃トラフィック容量は
1.5Tbps を観測
 2016/8/17 Incapsula の顧客を狙ったMIRAIによる攻撃を初観測
マルウェアの高度化
近年の2大巨頭 2012年 Nitol / 2016年 MIRAI を比較
NITOL MIRAI
出現年代 2012年 2016年
Botネットの規模 350,000＋IPs 100,000＋IPs
感染先 Windos OS端末 Linux IoT端末
拡散方式偽装されたEXEファイル辞書攻撃
DDoS攻撃手法 SYN/ACK/UDP/ICMP/HTTP HTTP/GRE/DNS/UDP/
SYN/ACK/VSE/STOMP
潜伏先ファイルシステムメモリ
感染目的の明確化

Imperva Incapsula サービスの概要
現在のWebサイトが抱える課題 All-In-OneのCloudサービスで解決

Imperva Incapsulaのサービス構造
 Incapsula ネットワークを経由させることで、不正なトラフィックを排除し、
正規利用者のユーザビリティを向上
Incapsulaネットワーク Webサイト
ハッカー
ボット
DDoS
スパム
正規の利用者
WAF
ロード・バランス
パフォーマンス DDoS
Mitigation
All-in-Oneサービス

なぜIncapsulaなのか？
著名な研究チーム161,000 以上
の顧客サイト
3.5Tbpsネットワーク
37のデータセンター
Best DDoS Mitigation Service
Top Ten Reviews 2013 – 2014
Best Web Security and
Performance Service
Top Ten Reviews 2012 – 2014
Security Innovator of the Year
Cloud Awards.com 2014
Readers choice: DDoS
Protection Solution of the Year
Search Security 2014
North America Top 10
Red Herring – 2011
Gartner MQ Leader for Web
Application Firewalls 2014, 2015
Forrester Wave Leader, DDoS
Service Providers 2015
先端ソリューション
26
 ソリューションの大きな３つの特徴

導入前と導入後の防御イメージ
Webサイト
After
一般ユーザー悪意ある
ユーザー
DNS解決
悪意あるアクセスを阻止
DNS
DNS解決
DNS
Webサイト
Before
一般ユーザー悪意ある
ユーザー
 世界規模のクラウド型リバース･プロキシ・ネッ
トワークシステム
 エンドユーザーサイドのハードウェアおよびソフ
トウェアに依存しない
 DNS設定の変更のみで導入が可能
 すべてのトラフィックがWebサイト
を直撃

Imperva Incapsulaが提供する３つのDDoS対策ソリューション
 Imperva Incapsula DDoS対策ソリューションのタイプ
 Website DDoS Protection
 Name Server DDoS Protection
 Infrastructure DDoS Protection (BGP routing / Protected IP)
DNS
Web
UDP, TCP
SSH, FTP, Telnet
SMTP
SIP
DDoS Protection Service DDoS攻撃対象
Website
Protection
Name
Server
Protection
Infrastructur
e
Protection
レイヤ
3, 4
3, 4, 7
3, 4, 7HTTP/S
DNS
SSH, FTP, Telnet,
SMTP, 他.
Webサーバー
保護対象
DNSサーバー
• 1Tbps超の保有帯域を活用した緩和機能
• 対策規模は無制限（あらゆる攻撃規模）
インフラストラクチャ
＋
その他のサーバー
• 独自技術（ソフトウェア、ハードウェア、アルゴリズム）
• 24x7 SOC – 経験豊富なセキュリティ専門家

Incapsula Website DDoS Protection
 WebサーバーへのDDoS攻撃から保護
 Cloud WAF Incapsula 基本契約には1GbpsのDDoS Protectionが
バンドルされています
• アップグレードプラン（有償オプション）
～10Gbps / ～50Gbps / Unlimited（無制限）※1
Website DDoS Protection の
有償アップグレードオプション
10Gbps (5,000,000 PPS)※2
50Gbps (25,000,000 PPS)※2
無制限DDoS Protection
※1
※2 PPS（Packet Per Second）

Appendix:
各DDoS攻撃と考慮すべき対策ポイント

導入事例①
 法人A様
 2016/12下旬に約10Gbps程度のDDoSを受け数日間
Webサイトがダウン
 数日間ダウンしたところで弊社宛に連絡あり
Imperva Incapsulaのトライアルアカウント即日発行
Webサイト防御を実施
 契約内容
ベースプラン Enterprise 20M
オプション：FQDN追加 +1FQDN
オプション：DDoS防御拡張 10Gbps

導入事例②
 法人B様
 現在のWebサイトがCentOS5+PHP5.1系で運用中
CentOS5は2017/03末でサポート終了
 リプレースの検討は行っているが、アプリケーショ
ンの改修等を実施しなければならずかなりの費用が
必要なため、対応に苦慮していた
 Impreva Incapsulaを導入し一旦の対策を実施
 契約内容
ベースプラン Enterprise 20M
オプション：FQDN追加 +1FQDN

WordPressの脆弱性について(2017/02/06)
セキュリティCDN
～Imperva Incapsula～

WordPressのシェア①
 全世界のWebサイトのうち、28%はWordPressで出来ています
出典：https://w3techs.com/technologies/history_overview/content_management/all/y

 CMSを利用したサイトに限定すると、60%近くがWordPressを利用してい
ます。逆に他のCMSはシェアを落としています。
出典：https://w3techs.com/technologies/history_overview/content_management/ms/y
WordPressのシェア②

WordPressの脆弱性(2017/2/6) 概要
 概要
 WordPress.org が提供する WordPress は、オープンソースのCMS（コン
テンツマネジメントシステム）。
 WordPress には、REST API の処理に起因する脆弱性が存在
 本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上でコンテン
ツを改ざんされる可能性がある
 対象バージョン
 WordPress 4.7及び4.7.1
 対応
 暫定：REST API機能をOFF
プラグイン orプログラム書替が必要
 恒久：WordPress 4.7.2にアップデート
 発表日
 2017/02/06 (JST)
 参考
 IPA "WordPress の脆弱性対策について"
http://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

年月日内容
2016/12/06 WordPress 4.7.0リリース
REST-API コンテンツエンドポイントの導入
2016/12/12 CVE-2017-5487報告
WordPress の REST API の実装における重要な情報を取得される脆弱性
参考：WordPress の REST API の実装の wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
は、投稿作成者のリストを適切に制限しないため、重要な情報を取得される脆弱性が存在。
2017/01/11 WordPress4.7.1リリース
CVE-2017-5487の修正他
2017/01/18 詳細情報の公開
2017/01/20 REST API の処理に起因する脆弱性が発見される
2017/01/26 WordPress4.7.2リリース
この時点ではまだ上記の脆弱性情報は隠されたまま
（影響の大きさ考慮、恐らくオートアップデート待ち）
2017/02/06
10:00-11:00
昼頃
実際に改ざんされたWebサイトの報告が出始める
脆弱性情報がIPA、JPCERT/CC等より公表
※各WAFベンダーは～翌日に対応済
時系列の状況まとめ

参考：Incapsulaには事前に情報を通達
 WordPressコミュニティか
らIncapsulaには事前に情
報が通達されていました。
 参考：
Disclosure of Additional
Security Fix in WordPress
4.7.2
https://make.wordpress.org/cor
e/2017/02/01/disclosure-of-
additional-security-fix-in-
wordpress-4-7-2/

正規
トラフィック
オリジン
Webサイト
Incapsula
ネットワーク
参考：Incapsula 動作デモ
①オリジンサーバーを
直接攻撃しページ改ざん
②Incapsula経由で
攻撃しブロックされる
wp-val.cdnext-demo.com
210.224.185.183

マルチCDN
～Cedexis～

マルチCDNとは？
 コンテンツ配信のパフォーマンスを計測し、複数のCDNから最適なものを自動
で選択するマルチCDNサービス
<特長>
全ての CDN やクラウドサービスのパ
フォーマンスを計測・可視化し、障害の発
生を把握することができます。さまざまな
Webページにスクリプトを埋め込み、実
ユーザーからのトラフィックを計測してい
るため、公平な計測データをご提供できま
す。
コンテンツ配信のパフォーマンス
状況をリアルタイムに可視化
リアルタイムに計測したデータをもとに、
あらかじめ設定した基準（最速化・最安
化・障害時のバックアップ等）により最適
なCDNを選択します。Webサイトの表示
速度低下やアクセス障害を防止し、低い離
脱率と高いコンバージョンを実現します。
複数の CDN の中から最適な CDN を
自動で選択
Cedexisは2010年の設立以降、全世界で
1,000社以上が導入しています。特にコン
テンツの配信量が多く、信頼性が求められ
るグローバル企業やメディア企業を中心に
高い評価を得ています
グローバル企業を中心に、1,000社
以上が導入
www.stream.co.jp/service/cdn/cedexis/

マルチCDNの切替方法
１）DNS （用途：一般WebなどショートセッションでのCDN切り替え）
最適なCDNをDNS(CNAME)で返す。
例：www.example.jp www.example.jp.multi-cdn.jp www.example.jp.cdn-1.jp
２）API （用途：動画配信などロングセッション中のCDN切り替え）
最適なCDNをAPIで返す。
例：https://multi-cdn.jp/api/best-cdn.cgi?www.example.jp www.example.jp.cdn-1.jp
CNAME CNAME
CDN-1 CDN-2 CDN-1
API確認 API確認API確認
【API切り替えイメージ】
API
API確認
▶CDNの切り替えは、用途に応じて以下2つの方法があります。

マルチCDNが注目される背景
コスト
ベンダーロックインを排除により価格
交渉力を強化し、必要に応じてCDN
を柔軟に使い分けられます
速度
国やAS(ISP)で生じるCDNの速度差
を解消し、地域別に最適化させます
耐障害性
配信キャパシティの強化や冗長化目的
として、CDNの切り替えを行います
▶｢速度｣｢耐障害性｣｢コスト」における以下のような課題を解決し、
配信ネットワークのカバレッジを広げ、より最適な配信を実現します。

マルチCDNのユースケース
ユースケース概要
１パフォーマンス最適化レイテンシ、配信速度を基準として、地域別・AS(ISP)別に最速で配信できる
CDNを選択します
２ラウンドロビン複数のCDNをある割合で使用します。単独CDNでは配信キャパシティが不足する
場合や、災害対策に有効です
３バックアッププライマリCDNがダウンした場合に、事前に設定したバックアップCDNを選択し
ます
４オーバーフロープライマリCDNの利用量が一定以上になった場合に、事前に設定したセカンダリ
CDNを選択します
５バーストトラフィック定常的に利用している自社設備の配信帯域が一定以上になった場合に、CDNを利
用します
６最小コスト費用を優先し、一定条件(最低速度)のもとで最小コストのCDNを選択します
7 国別切り替え国別に使用するCDNを切り替えます。法規制がある場合や配信先規制がある場合、
簡易な地理分散に有効です
※切り替えは、複数CDNの場合とオンプレミス/CDNの場合のいずれでも対応可能です
▶ベンダロックインの排除、CDNの冗長化、一時的な配信強化、
地理的分散の強化などの目的で利用されています。

Web管理画面デモ
▶Cedexis Portal
https://portal.cedexis.com/
▶計測：”Rader”はどなたでも無償で閲覧可能です
ー統計値の見方は以下をご参照ください
https://tech.jstream.jp/blog/cdn/cedexis-radar/
▶負荷分散：“Openmix”は有償

2017/8/25 昼間のこと ①
 日本の各ISPからの接続性情報

2017/8/25 昼間のこと ②
 OCN(AS4713)抜き出し

2017/8/25 昼間のこと ②
 KDDI(AS2516)抜き出し

マルチCDNとトラフィックコントロール①
▶CDN事業者をシングルで使っている場合
▶ 該当FQDNの名前解決をすると大体どの事業者か分かった
▶ 基本的にはその事業者のASに対してケアをしておけば良かった(Akamai/Jst除く)
$ dig www.fujitv.co.jp +norec cname
;; QUESTION SECTION:
;www.fujitv.co.jp. IN CNAME
;; ANSWER SECTION:
www.fujitv.co.jp. 419 IN CNAME a10729a9b07315883400515ac8c78bf2.cdnext.stream.ne.jp.
$ dig www.nhk.or.jp cname
;www.nhk.or.jp. IN CNAME
;; ANSWER SECTION:
www.nhk.or.jp. 300 IN CNAME www.nhk.or.jp.edgekey.net.
$ dig www.tv-asahi.co.jp cname
;www.tv-asahi.co.jp. IN CNAME
;; ANSWER SECTION:
www.tv-asahi.co.jp. 300 IN CNAME nonssl.global.fastly.net.

マルチCDNとトラフィックコントロール②
▶マルチCDNを利用中の場合
▶ DNSの名前解決をして出てきた結果のCDN”のみ”を使っているかは分からない
＝どこからトラフィックが流入してくるかが判断し辛い
▶ トラフィックをどのCDNから流すかは、コンテンツホルダーの気分次第
$ dig www.accorhotels.com @8.8.8.8
;www.accorhotels.com. IN A
;; ANSWER SECTION:
www.accorhotels.com. 786 IN CNAME 2-01-2770-000c.cdx.cedexis.net.
2-01-2770-000c.cdx.cedexis.net. 19 IN CNAME www.accor.com.edgesuite.net.
www.accor.com.edgesuite.net. 4095 IN CNAME a1052.b.akamai.net.
a1052.b.akamai.net. 19 IN A 23.32.241.161
a1052.b.akamai.net. 19 IN A 23.32.241.160
$ dig www.accorhotels.com @198.153.192.1
;www.accorhotels.com. IN A
;; ANSWER SECTION:
www.accorhotels.com. 1862 IN CNAME 2-01-2770-000c.cdx.cedexis.net.
2-01-2770-000c.cdx.cedexis.net. 20 IN CNAME wac.9E15.edgecastcdn.net.
wac.9E15.edgecastcdn.net. 3600 IN CNAME gs1.wac.v2cdn.net.
gs1.wac.v2cdn.net. 1386 IN A 152.195.32.39
名前解決をおこなう
DNS(=一般的には
エンドユーザのISP)
によって返答する
CDNが異なる
名前解決をおこなう
DNS(=一般的には
エンドユーザのISP)
によって返答する
CDNが異なる

マルチCDNとトラフィックコントロール③
マルチCDNの状況
▶国内ではまだそれ程
▶CDNを複数使い分けしている事業者はいくつかあり(静的切替)
▶メディア系、ゲーム系等、ミッションクリティカルなところに多い
▶海外では動的なCDN切替が流行り始めている
▶日本に来る日もそう遠くない

アクセス集中、CDN、動画
Webサイトセキュリティ、DDoS対策
といった単語が出てきたら！
CDNext推進室佐藤太一
スポンサーブース、懇親会でぜひお話させて下さい！

CDNのトレンド2017 セキュリティCDNとマルチCDN

More Related Content

What's hot

Similar to CDNのトレンド2017 セキュリティCDNとマルチCDN