IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. サイバー攻撃から再起、「ニコニコ」担当者が明かすセキュリティ改革の舞台裏 AWS Summit Japan 2025レポート

サイバー攻撃から再起、「ニコニコ」担当者が明かすセキュリティ改革の舞台裏 AWS Summit Japan 2025レポート

「サイバー攻撃を受けた瞬間は、何が起きているのかまったくわからなかった。ただ1つわかるのは、急激なスピードでダウンしていくシステムがそこにあるということだけだった」

2024年6月にサイバー攻撃を受けた「ニコニコ」を運営する、株式会社ドワンゴ 技術本部の味戸 大樹氏はそう振り返ります。

サイバー攻撃による被害の発覚後、株式会社ドワンゴはどのような初動対応をとったのか。また、AWS環境への侵害はなかったことが確認されてから取り組んだという「大規模セキュリティ改革」とはどのようなものなのか。2025年6月25日〜26日に開催された「AWS Summit Japan 2025」で味戸氏が詳細に語りました。

この記事のポイント


  • 株式会社ドワンゴは、近年、運営サービス「ニコニコ」のインフラ環境について、オンプレミスからAWSへの移行に取り組んでいた。特にセキュリティまわりの優先度を高くして作業を進めていたが、2024年6月8日早朝にサイバー攻撃の被害を受けてしまった

  • 初動対応では、まず、AWS環境の隔離と安全性の点検を実施。AWS環境への侵害はなかったことが確認されたため、従来以上のセキュリティベースラインを敷くための「大規模セキュリティ改革」への取組みを開始した

  • 大規模セキュリティ改革では、侵害を可能な限り予防でき、侵害が発生したとしても検知できるセキュリティアーキテクチャと、侵害を検知した際に適切に対処できる組織体制の構築を目指した

  • ドワンゴが考える、セキュリティ対策に必要な3つの心がけは、「①予防・検知から対処までの各ステップにおけるセキュリティ対策の答えを持つこと」「②初動対応の重要性を理解して事前に備えること」「③継続的にセキュリティ投資し続ける覚悟を持つこと」

サイバー被害時にとった初動対応は「AWS環境の隔離と点検」

株式会社ドワンゴ(以下、ドワンゴ)は、近年、運営する「ニコニコ動画」「ニコニコ生配信」をはじめとした「ニコニコ」サービスのインフラ環境について、オンプレミス環境からAWS環境への全面移行を推進してきました 1。これは、開発・運用効率の向上や、多様な技術的選択肢の獲得などを目的としたものです。

オンプレミスからクラウドに環境が変わることもあり、特にセキュリティまわりの取組みについて優先度を高めながら移行作業を行っていたといいますが、そのさなか、2024年6月8日早朝に同社はサイバー攻撃を受けてしまいます 2

「その瞬間は、何が起きているのかまったくわからなかった。ただ1つわかるのは、急激なスピードでダウンしていくシステムがそこにあるということだけだった」(味戸氏)

ドワンゴでは初動対応として、まずネットワークの遮断を実施しました。ニコニコは複数のサービスやシステムで構成されており、オンプレミス環境とAWS環境で相互通信を行うためにAWS Direct Connectによる専用線接続を構築していましたが、これを遮断しました。また、インターネット経由でオンプレミス環境と通信をしているサービスもありましたが、その通信も同様に遮断したといいます。

ドワンゴが初動対応として実施したネットワークの遮断イメージ
ドワンゴが初動対応として実施したネットワークの遮断イメージ

次に、AWS環境の安全性が確認されるまで、AWS環境に触れる人員を限定し、不正ログインにより被害が拡大することを防ぎました。一時的にAWS環境を完全な隔離状態にしたのです。

その後、AWS環境に攻撃の痕跡がないかの点検に移りました。Amazon Athenaを活用したログの確認、不審な認証やAPIコールの調査、AWSで稼働中のシステムについてネットワークメトリクスのチェックを実施し、外部に向けた大容量の通信が行われていないか、不審なパケットがないかなどを調べました。

味戸氏は当時の経験を踏まえ、今回調査したような情報が日頃から簡単に確認できるダッシュボードを構築しておくとともに、正常な状態を記録し、異常な挙動を検出できるようにしておく「メトリクスの可視化」が重要だと語りました。

またそのほか、マネージド型の脅威検出サービスであるAmazon GuardDutyや、ユーザーの行動を詳細かつ容易に追えるAmazon DetectiveといったAWSのサービスを活用して点検が行われ、AWS環境への侵害はなかったことが確認されました。

味戸氏は「これによって、AWS環境にニコニコのシステムを移行し、復旧できる環境が整った」として、70以上の「ニコニコ」のシステムをAWS環境に移行し、2024年8月5日にサービスを再開したと説明。そのうえで、「従来以上のセキュリティベースラインを敷くための『大規模セキュリティ改革』を進めることとした」と語りました。

味戸 大樹氏(株式会社ドワンゴ 技術本部 クラウドエンジニアリング部 第一セクション マネージャー)
味戸 大樹氏(株式会社ドワンゴ 技術本部 クラウドエンジニアリング部 第一セクション マネージャー)

侵害の予防・検知・適切な対処に向けて大規模セキュリティ改革を推進

味戸氏は大規模セキュリティ改革の全貌について、「セキュリティアーキテクチャ」と「組織体制」という2つの切り口から説明しました。

セキュリティアーキテクチャについては、「侵害の発生を可能な限り予防できる状態」と「万が一、侵害が発生したとしても、それを検知できる状態」を目指しました。また、組織体制については、侵害を検知した時に「適切に対処できる状態」をテーマとしたといいます。

その結果として作り上げたのが下図のようなセキュリティプラットフォームです。ニコニコでは、複数のAWSアカウントをAWS Control TowerとAWS Organizationsで管理するマルチアカウントアーキテクチャを採用しています。AWSアカウントはそれぞれ独立しており、内部のリソースに対する相互アクセスは原則的にできない状態になっています。これによってインシデント発生時の影響範囲を限定化できるだけでなく、ユーザー権限を細かく制御して、多層的なセキュリティを実現することも可能になっています。

大規模セキュリティ改革後のセキュリティプラットフォーム
大規模セキュリティ改革後のセキュリティプラットフォーム

ニコニコでは、各アカウント上でAWSのどのサービスを採用するかは、各システムを担当するチームの裁量に委ねており、ビジネスの変化に迅速に対応できる仕組みになっているといいます。一方で、利用するサービスが異なることから、チームごとに必要なセキュリティ対策には当然差が出ることになります。

味戸氏は「この差をすべて吸収した統一基準をつくるのは現実的ではないと当社では判断した」として、組織全体で適用しているセキュリティ対策とは別に、採用するAWSサービスに合わせたセキュリティガイドラインを作成していると紹介しました。

加えて、定期的なチェックと改善を促す運用を行っているといい、サイバー攻撃を受けた後もベースラインを引き上げるかたちで修正し、現在も運用を続けていると説明しました。

AWSのソリューションを駆使して侵害を予防

ドワンゴが目指した、侵害を「予防できる状態」「検知できる状態」、そして侵害に「適切に対処できる状態」は、このアーキテクチャで具体的にどう実現されているのでしょうか。

まず、「予防できる状態」をつくりだすためには、AWS Security Hubを利用したリスクの可視化が行われています。AWS Security Hubを利用することで、組織内のAWSアカウントを自動で検査し、設定にセキュリティ上の問題があれば「違反」として検出することができます。ドワンゴでは、違反かどうかを判定するために国際的な基準や業界標準を活用したり、自社の特性に応じて独自にセキュリティ基準を作成したりして、各組織に合った運用を行っているといいます。

また、複数のAWSアカウントに一貫したポリシーを適用させるためのサービスであるAWS Control Towerでは、たとえば、組織単位ごとにアクセス可能なAWS上のリージョンを明確に指定しておくことで、不要なアクセスを制限することができるといいます。これにより、不正アクセスが発生した場合に、普段使用していないリージョンでワークロードを立ち上げられるリスクを防ぐなど、セキュリティを確保しつつ、組織の構造やポリシーに合わせた細かい運用が実現できます。

さらに、AWS Control Towerではカバーできない組織独自のポリシーを設定したい場合には、AWS OrganizationsのSCP(Service Control Policy)が活用されています。

「これらは、拡大するAWS環境においてもセキュリティとガバナンスを効かせることができる、非常に強力なサービスです」(味戸氏)

様々な方法で検知した脅威を電話通知・チャット通知で把握

また、侵害を「検知できる状態」をつくるためには、2024年6月のサイバー攻撃への初動対応のなかでも点検に使われた、Amazon GuardDutyが利用されています。多様な情報源を横断的に分析して脅威を検知することはもちろん、AWS Organizationsと連携することで、一元的なセキュリティ監視体制を構築できるといいます。

また、Amazon GuardDutyには、特定のサービスを保護するためのプロテクション機能や、アクティビティを監視して脅威の検知を行なうランタイムモニタリング、そのほかマルウェア対策機能などが備わっているのも特長です。ここに、外部のSaaSやマーケットプレイスで提供されているセキュリティ製品を組み合わせることで、さらに強固な検知体制を構築できると、味戸氏は説明します。

なお、様々な方法で脅威を検知しても、担当者がその存在を知ることができなければ意味がありません。ドワンゴではAmazon EventBridgeを利用することで、検知した脅威への適切な対処につながる仕組みを構築しているといいます。たとえば、脅威を検知した際には、Incident Manager経由で電話通知したり、チャットツールに通知したりすることで、迅速に状況を把握できるようにしていると味戸氏は紹介しました。

ドワンゴでは各種AWSサービスによって検知すべきイベントを精査し、パイプラインを構築している
ドワンゴでは各種AWSサービスによって検知すべきイベントを精査し、パイプラインを構築している

24時間体制での「対処」のために、AWS Security Incident Responseを活用

検知の通知を受け取った担当者は、その内容について分析・調査することになります。速やかな対処を24時間体制で可能にするために、ドワンゴでは自社のエンジニアによる対応に加え、外部のセキュリティ専門家から適切な支援が受けられる効率的・合理的な体制の構築を目指しました。

そのために利用しているのがAWS Security Incident Responseです。単なる脅威の検知に留まらず、発生した事象のトリアージと調査、対処に至るまで、AWSに精通したセキュリティエンジニアからサポートを受けることができるサービスです。AWS側で検知したインシデントだけでなく、外部のSaaSやほかのセキュリティ製品で検知したインシデントをサービス上で扱えることも有用なポイントだといいます。

「すべての体制を自前で用意するよりもはるかに少ないコストで、効率的・合理的な体制を整えることができた」(味戸氏)

セキュリティ対策には「継続的に投資し続ける覚悟」が必要

講演の終わりに、味戸氏は「私たちが考えるセキュリティ対策に必要な3つの心がけ」として、以下のポイントを紹介しました。

  1. 保護したいワークロード全体を捉えたうえで、予防・検知から対処までの各ステップにおけるセキュリティ対策の答えを持つこと(自分たちの環境ではどのような対策が必要かを明確にしておく)

  2. 初動対応の重要性を理解して事前に備えること(攻撃シナリオの想定、切り離し・隔離のための事前準備など)

  3. 同じセキュリティ対策が使い続けられるとは限らないことを念頭に、継続的にセキュリティ投資し続ける覚悟を持つこと

そのうえで、「これからも私たちはニコニコのセキュリティを維持向上させるために、AWSの豊富なセキュリティサービスを活用して、日々変化するセキュリティリスクに向き合っていきたいと考えている」と味戸氏は語り、「今回のセッションが、聴講者の方々にとって、改めてセキュリティリスクに向き合うきっかけになればと思っている」として、講演を結びました。

(文:渡邊智則)

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP