別紙1 ホームページレスポンス観測事業詳細 2015年6月 地方公共団体情報システム機構 情報化支援戦略部 セキュリティ支援担当 目次 1.「ホームページレスポンス観測」について …3p 2 2.登録いただく情報の詳細 …9p 3.観測データ提供画面イメージについて …13p 4.FAQ …19p 1.「ホームページレスポンス観測」 について どのような事業であるか説明します。 何故観測が必要なのか? 近年、DoS/DDoS攻撃の発生とその影響が顕著になってきましたが、これに対応することは容易ではあり ません。なぜなら、インシデントの発生に伴い、自身の管理するサイトの状況に関する情報は得られますが、 他の地方公共団体や他事業者、インターネット全体で、何が発生しているのかを正確に知るための手段は なく、契約しているISP(インターネットサービスプロバイダー)等から情報を得る以外に方法がありません。 しかし、ISPも他契約者の情報を開示することは基本的にできません。そのため、ISP同士の情報共有も思 うように進まないのが現状です。 このような背景から、インシデント状況は当事者にとっても、ISPにとってもインターネット全体で俯瞰した状 況把握が非常に困難となっています。 そのため、もし、 DoS/DDoS攻撃と考えられる事象が発生した場合に、他の地方公共団体や他事業者、イ ンターネット全体で、何が発生しているのかを正確に知ろうとする場合、多くの人的・時間的コストをかけて 調査する必要があり、団体が眼前の事象に対して何らかの対処を検討する場合の合理的な判断のために は多くの時間的コストを浪費することとなります。 本事業は重要インフラ事業者(電気、ガス、金融、放送等、セプターカウンシルに属する重要インフラ事業 者約600団体)が情報を共有し、各事業者が不利益にならないように加工した情報を共有することで、有事 の際に、より正しいインシデントの発生状況を正確に把握することを支援し、対処が促進・加速する効果を 期待するものです。 また、本事業は、当事者である地方公共団体にインシデントの発生状況を知らせるとともに、ISPにおける 同時多発的なDoS/DDoS攻撃発生時の情報通信事業者間における対処ノウハウを蓄積することも提供事 業者側の目的として含んでいます。 次ページでは、本事業の実施する目的を理解いただくため、本事業の役割を天気予報に例えて説明しま す。 4 ホームページレスポンス観測とは?(イメージ) 情報の収集 情報の集約・解析 情報の解釈 行動の決定 天気予報の場合 帰ってるころには雨 が降っていそうだから、 傘を持ってでかけよう。 気圧、温度、風向き 雲の動きなどの観測 天気図の作成 天気予報の作成 0.01 msec 0.02 msec ・・・ 本事業の場合 ? …この大量トラフィック は××を狙った攻撃 の可能性が高い? 次のターゲットは…? 様々な行動決定 担当のISPに相談しよう! 今回は静観してよさそうだ! Webサイト応答時間を計測 HPレスポンス観測 最終的に「予報 可能」となること が目標(現状不可) 観測データの提供 本事業の提供範囲 5 状況把握と予測 今後に備えてXX 施策を検討しよう! 様々な行動決定 各団体の施策 事業全体イメージ ①Webサイトを 定期的に観測 ②レスポンス計測と 計測結果の蓄積 ③時系列、セプター別、IPアドレス別 の情報分析・表示 HPレスポンス 観測センター DB 重要インフラ観測システム(※) ④インシデント発生 ⑤情報収集 (Webサイト経由) Dos攻撃! 重要インフラ 事業者HP 大量アクセス 他団体HP 自団体HP 団体 ・状況の把握 ・解決のための検討 6 (※)重要インフラ観測システムの画面イメージ(取得できる情報のイメージ)は 3.観測データ提供画面イメージについて を参照してください。 ホームページレスポンス観測で実施していること 『①HTTPリクエスト(又はHTTPSリクエスト)の発信』から 『②サーバ内処理』を経て、 『③HTTPレスポンス』が返ってくるまでの一連の時間を計測します。 ①∼③以上のことは実施していません。これを、15分に1回(※)実施し、結果を蓄積します。 ①HTTPリクエスト(HEAD) HTTP/1.1 ②サーバ 内処理 ③HTTP レスポンス (「HTTP 200 OK」等ステータスコード) HPレスポンス 観測センター 観測対象 Webサイト (観測における方法の詳細) HEADメソッドを使った観測のため、コンテンツ(メッセージボディ)を取得しません。また、複数回繰り返すことにより、平常 時のレスポンススピードが推定されます。これを、異常時判定(平常時よりもレスポンスが悪化している状態)の基準に 利用します。なお、レスポンスエラー発生時は、3回までリトライし、その結果を用いています。 また、観測は複数のISPの契約回線をランダムに使用して行われるため、観測元のIPアドレスはランダムに変化します。 以上のような観測方法により、Webサイトのパフォーマンスや、コンテンツ容量、平常時負荷状況、回線速度、観測元の 場所(一般利用者のアクセス元)等の個別システムに係る事情によらない計測結果(平常状態か、平常時比で悪化して いる状態かまた、どの程度悪化しているか)情報を取得し、提供します。 7 (※) 観測対象の増加等により、予告なく変更することがあります。 2.登録いただく情報の詳細 申込みにあたって登録いただく情報の詳細をお知らせします。申込み方 法等については「ホームページレスポンス観測事業のご案内」を参照して ください。 登録情報について(1/3) 本事業を利用する場合、次の情報を申込み時に送付してください。 (1)地方公共団体コード (2)団体名 (3)代表者情報 ア 所属名 イ 氏名(かな、漢字) ウ 連絡先住所(団体所在地) エ 電話番号 オ メールアドレス(インターネット) (4)観測実施希望Webサイトに係る情報 ア 観測対象サイト名(必須) イ 観測対象サイトURL(必須) ウ 観測対象サイトIPアドレス(任意) エ 稼働状況告知サイトURL(任意) オ 稼働状況告知サイトIPアドレス(任意) 9 登録情報について(2/3) 前ページの「(4)観測実施希望Webサイトに係る情報」 について補足します。 イ 観測対象サイトURL(必須) 観測対象のURLを記入してください。 ウ 観測対象サイトIPアドレス(任意) イの観測対象サイトにおいて、アカマイサービス、クラウドサービス等のコンテンツ配信サービスを受けて いる場合(下図参照)で、特定のキャッシュサーバ(下図①)又はオリジナルサーバ(下図②)を指定して、 観測を行いたいときは、特定のIPアドレスを指定してください。 ※指定しない場合は、サービス全体の計測(下図③)がなされます。 コンテンツをキャッシュ アカマイ、クラウドサービス等 オリジナル サーバ ①IPアドレスを 指定して観測 ②IPアドレスを 指定して観測 10 ③IPアドレスを 指定しないで観測 =その都度割り当てられる キャッシュサーバが異なる。 一般ユーザのアクセスは、オリジナルサーバ に行かず、キャッシュサーバー群に分散され ている。(③の状況と同じアクセス) 登録情報について(3/3) エ 稼働状況告知サイトURL(任意) イで示したサイトに障害が発生したり、定期メンテナンスや災害発生時等にその告知を掲載するサイトの URLを記入してください。なお、告知サイトは観測対象とは別サイトが望ましいですが、同じサイト内であっ ても結構です。なお、そのようなサイトがない場合は記入不要です。 これは、観測対象が「正常稼働している中での大量アクセスによる接続しにくい状態」なのか、それとも 「何らかの理由があって接続しにくい状態」なのかについて、運用側(委託事業者、当機構)で把握するた めのものです。なお、稼働状況告知サイトは、観測対象となります。 注意)URLが変わることがあるため、Facebook、Twitterの公式アカウントのページは稼働状況告知サイトと して登録受付をしていません。(観測対象外) オ 稼働状況告知サイトIPアドレス(任意) ウと同様、エのサイトがアカマイサービス、クラウドサービス等のコンテンツ配信サービスを受けている場 合で、特定のキャッシュサーバ又はオリジナルサーバを指定して、観測を行いたいときに、特定のIPアドレ スを指定してください。 11 3.観測データ提供画面イメージ について 観測データを閲覧するためのサイト「重要インフラ観測システム」の画面 イメージを紹介します。 1.重要インフラ観測システム -ログイン画面 サイトURL : https://www.mjk.telecom-isac.jp/ 配付された、ユーザID、パスワー ドを入力します。 配付されたID・パスワードで初めてログイン する際は、パスワード変更をしてください。 ID/PWに加えて、画面に表示さ れている文字を読み、そのとお りに入力します。 表示された文字がわかりにくい 場合は、 を押し、画面表示さ れる文字を変えます。 ログインするためには、「ユーザID」「パスワード」「画面に表示されている文字の入力」の3点 が必要です。ID、パスワードはお申し込み後、委託事業者からメールにて仮パスワードが配付 されます。 13 2.重要インフラ観測システム -ログイン後トップ画面 画面操作方法の詳 細は、ログイン後の こちらにてマニュアル を配付します(事前 配付なし)。 閲覧したいメニューを選択します。 現在提供されているのは、次の3種類です。 ・レスポンス観測推移(IPアドレスマップ) ・個別観測情報 ・セプター別レスポンス状況 次のページから、メニューごとに概要を説明します。 14 ※画面はデモイメージです。 3.重要インフラ観測システム -レスポンス観測推移(IPアドレス単位) 本システムの全ての観測対象サイトのIPアドレスの上位2オクテット(※)を横軸に、 下位2オクテットを縦軸に取り、プロットされた図が閲覧できます。 (注意) IPv6アドレスのみのサイトは 表示されません。 日時指定をすれば、過去の情報も閲覧できま す。 異常(レスポンス停止や遅延)が発生した場合、赤、黄等の警 告色が表示されます。 自団体のサイトの状態表示にのみ、サイト名称が付きます。 本表示により、アドレス帯ごとの異常発生状況の概要を把握することができます。 15 ※1オクテットは8ビットに相当しますので、IPアドレス(IPv4)の場合次のようになります。IPアドレスが、「aaa.bbb.ccc.ddd」とすると、 「aaa.bbb」が上位2オクテットにあたり、「ccc.ddd」が下位2オクテットにあたります。IPv4アドレスにおいて、aaa、bbb、ccc、ddd は、 それぞれ0∼255までの値を取ります。 ※画面はデモイメージです。 4.重要インフラ観測システム -レスポンス観測推移(個別観測情報) 自身の観測対象サイトの観測状況です。日次(15分間隔の計測のリアルタイム更新)観測 結果のほか、週次、月次の観測結果を閲覧することができます。 通常時を“0”とし、通常時比でレスポンス悪化状況を表示し ます。(レスポンススピードの絶対値比較ではなく、過去の 自サイトとの相対比較でご覧ください) 平常運転時は左グラフのように、地を這ったようなグラフ形 状(グラフ色:青)となります。 サイト名をクリック すると、各サイトの 結果を出力。 レスポンス 悪化 異常発生時はこのように、通 常時比でどの程度レスポン スが悪化したかを 緑∼黄∼赤のグラフで表示 します。 本表示により、自団体に発生した異常を第三者視点で見た場合の 発生日時、状況、頻度、異常の程度等を把握することができます。 16 ※画面はデモイメージです。 5.重要インフラ観測システム -レスポンス観測推移(セプター別レスポンス情報) セプター別では、地方公共団体の各団体のレスポンス状況が閲覧できます。ただし、他 団体(自団体以外)のサイトの状態表示にサイト名称は付きません。(情報保護のため) 正常「緑」 警告「黄」 異常「赤」 で表示されます。 現在の「自治体CEPTOAR」カ テゴリでは、「●」等の丸表示 が約1700個並んでいます。 17 自団体のサイトの状態表示 にのみ、サイト名称が付きま す。この図の場合、表示が 「緑」ですので「正常」です。 本表示により、異常が自団体にのみ発生しているのか、地方 公共団体全体で発生しているのかを把握することができます。 ※画面はデモイメージです。 4.FAQ よくあるご質問に回答します。 Q.サーバの生死監視サービスを受けているのであ れば、本事業は不要か? A.一般のサーバの生死監視と本事業は異なる目的であるた め、監視サービスを受けている、受けていないに関わらず 、 「必要」と考えます。 サーバの生死を判定し、障害発生 時に保守対応を実施するトリガーと なるサービス。 保守対応のため 既存のサーバ生死 監視サービス 例: ping監視等 Webサイト 本事業 19 サーバのレスポンスを計測し、レス ポンス速度低下などの計測結果を 記録、蓄積し、提示する。 また、他団体・他事業者の異常発生 状況を知ることが可能。 状況判断のため Q.アカマイのキャッシュサービスを受けているが、観測 対象サイトのIPアドレスを指定しなければいけないのか? A.IPアドレスを指定する・しないは任意です。 指定しない場合は、ユーザの実情に沿った形での観測が可能となります。 つまり、指定しない場合は、「当該サービス全体としてのレスポンス状況」 を知ることになります。 指定する場合は、「どこにあるどのサーバがどのようなレスポンス状況 だったのか」を知ることができます。 また、申込は無制限にしていますので、当該サービスで利用する全てのIP アドレスを把握している場合、その個々のサーバの状況全てを観測する ことも可能です。 申込者の考えに沿って指定ください。よくわからない場合は「IPアドレスを 指定しない」をお勧めします。 20 Q.レスポンス観測元の機器のIPアドレスを教えてほしい。 A.申し訳ありませんが、より正確な(実情に合った)レスポンス観測データを 得るために、レスポンス観測元のIPアドレスは毎回ランダムに変えて観測 を行っています。教えることができません。 Q.他セプターのHPレスポンス観測への参加企業が600社とのことだが、 どこの企業が参加しているのか? A.申し訳ありませんが他セプターに関する情報については教えることがで きません。 21 Q.異常があり、DoS/DDoS攻撃の可能性が高 いことがわかった場合、どうすればよいか? A.担当のISP事業者、保守事業者等に相談してください。なお、本事業で得 たご自身の観測結果情報については、担当のISP事業者様、保守事業者 様に提供していただいて結構です(ただし、当該団体と守秘義務を締結し ている事業者に限る)。 一般的なDoS/DDoS攻撃等、大量アクセスへの対策に関しては、次の資 料も参考にしてください。 IPA「サービス妨害攻撃の対策等調査」報告書について http://www.ipa.go.jp/security/fy22/reports/isec-dos/index.html 22 問い合わせ先 ホームページレスポンス観測事業に関する問い合わせ先 地方公共団体情報システム機構 情報化支援戦略部 セキュリティ支援担当 永野、鈴木、楞野(かどの) 〒102-8419 東京都千代田区一番町25 電子メール(インターネット) : [email protected] 電子メール(LGWAN) : [email protected] TEL:03-5214-8040 37
© Copyright 2024 ExpyDoc