セキュリティ & アイデンティティ

Project Shield で DDoS 対策の登録、設定、自動化が容易に

2025年4月1日

https://storage.googleapis.com/gweb-cloudblog-publish/images/Project_Shield_DDoS_v1.max-2500x2500.jpg

Marc Howard

Staff Software Engineer

※この投稿は米国時間 2025 年 3 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。

Google は、世界中の情報に誰もがアクセスできるようにするという使命の一環として、分散型サービス拒否（DDoS）攻撃のリスクにさらされていて、無料の保護機能を必要としている組織に Project Shield を提供しています。ニュースメディア、政府の選挙機関、人権擁護団体など、対象カテゴリに該当する組織は、Google Cloud のネットワーキングサービスを無料で利用して、ウェブサイトをオンラインで利用可能な状態に保つことができます。

過去数か月間に Project Shield チームが実施してきた一連の改善により、Project Shield への申し込み、保護機能の設定、防御の自動化という最も一般的なワークフローが改善され、サイトの保護がさらに簡単になりました。

Shield への申し込み

ロードバランシング、Cloud CDN、Cloud Armor などの Google Cloud ネットワーキングサービスの強みを活かして構築された Project Shield のサービスは、Project Shield ダッシュボードのインターフェースを通じてマネージドエクスペリエンスとして構成できます。

利用を希望する組織は、ウェブサイトと組織に関するいくつかの情報を入力して、簡単に申請を行うことができます。最近のアップデートにより、申請フローで申請がリアルタイムでチェックされ、入力ミスによる申請の遅延やブロックを防げるようになりました。また、検索可能なプルダウンメニューを設けたことで、拠点とする国などの情報の選択も簡単になりました。さらに重要な点として、申請フローを再構築したことにより、モバイルデバイスでの操作がこれまで以上に簡単になっています。

保護機能の設定

申請が承認されると、主要な情報を構成して、Project Shield ダッシュボードでウェブサイトの設定ができます。これにより、サイトを保護するネットワーキングサービスがわずか数分で有効になります。

また、このたび、このワークフローが強化され、申請時に提供されたドメインを使用して必要な情報をすべて自動的に収集できるようになりました。ユーザーはこの情報を再確認し、必要があれば変更を加えることができます。

さらに、すべてのユーザーにデフォルトで Shield で管理される証明書が提供され、HTTPS トラフィックを保護できるようになりました。これにより独自の証明書を提供する手間が省かれ、設定作業が簡略化されます。上級ユーザーは、必要に応じてこの Shield で管理される証明書を独自の証明書に置き換えることができます。

情報の検証が済むと、Project Shield は数分のうちに必要な Google Cloud サービスをバックグラウンドで設定します。このプロセス中には詳細な進行状況バーが表示され、設定手順の進行状況を常に把握できます。準備が整ったら、DNS を変更してネットワークトラフィックを新しいロードバランサに送信するように設定することで、Project Shield の保護機能を有効にできます。

サービス停止によるウェブサイトの被害をさらに防ぐため、Project Shield では、トラフィックを Google のサービスに転送する前にエンドツーエンドのチェックを行い、ウェブサイトがロードバランサで適切に機能することを確認します。構成情報が正しくない場合や、設定に異常なエラーがある場合、ダッシュボードが自動的に問題を通知し、エラーの解決を支援します。

防御の自動化

Project Shield は、Google Cloud Armor の機能を使用して、ウェブサイトを DDoS 攻撃から防御します。これらの保護機能は Project Shield によって完全に管理され、攻撃に参加するクライアントのレート制限やブロックを行います。これらの防御機能は、サイトに合わせてカスタマイズされます。トラフィックを複数の方法で測定し、正規のクライアントが常にアクセスできるようにしつつ、不正な行為者を可能な限り迅速にブロックします。これらの防御機能は、ユーザーによる構成なしでほとんどの攻撃を軽減します。

Project Shield で、特にキャッシュ無効化技術に関して追加のレート制限タイプが導入されました。これによって、頻繁に使用されるキャッシュ無効化攻撃がより効果的に処理され、Project Shield のキャッシュから提供できないリソースや HTTP メソッドを保護できるようになりました。

Project Shield は、Cloud Armor Enterprise の適応型保護も採用しており、最新の ML 技術を使用して攻撃パターンを特定し、リアルタイムでブロックします。ウェブサイトを Project Shield にオンボーディングする際に、この保護を迅速に有効にできるようになりました。新しい Project Shield 構成はすべて、オンボーディング後 24 時間以内にこの保護を受けられます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_pe1FgX1.max-1600x1600.jpg

Project Shield の設定で、初期設定時にサイトを保護する高度な ML 保護機能を構成できるようになりました。設定の進行状況はリアルタイムで確認できます。

その他の新しい保護機能

自動化された保護を補完するために、Project Shield は、IP 許可リストや拒否リスト、Google Cloud Armor と reCAPTCHA Enterprise を活用した reCAPTCHA など、ユーザーが構成できる防御機能を多数提供しています。これにより、ユーザーは攻撃に対応し、API インテグレーションによる自動応答などの対策を即座に実行できます。

Project Shield でパスの許可リストと拒否リストの提供が開始されました。これにより、攻撃者がよく使用する特定のパスを完全にブロックする、特定のパスを管理者専用アクセスに制限する、特定のパスが防御を完全にバイパスするように強制するといったことが可能になりました。ユーザーはウェブサイト上のリソースの提供と保護をより細かく制御できるようになります。

ホスティングサーバーを直接攻撃する脅威を軽減するために、Project Shield から送信されるすべてのリクエストに署名が追加され、他のすべての悪意のあるトラフィックをブロックできるようになりました。この署名はネットワークヘッダー形式で提供され、ユーザーは独自のシークレット値でカスタマイズするか、Project Shield によってサイト専用に自動生成されたものを使用できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_E8VduwH.max-1200x1200.jpg

Project Shield からのリクエストを識別するためのシークレットヘッダー値を設定できるようになりました。これにより、このヘッダーを持たない、Shield を迂回してサーバーを直接攻撃しようとしている可能性のあるトラフィックをブロックできます。

Project Shield が提供する最も強力な防御機能の一つが、Google のエッジネットワークキャッシュです。これはサイトのパフォーマンスを向上させ、正当なお客様がリソースを常に利用できるようにします。また、こうしたキャッシュに保存可能なリソースに対する攻撃からホスティングサーバーを保護します。このシステムは、コンテンツにキャッシュ制御ヘッダーを正しく設定することで最適化できます。これにより、Project Shield がコンテンツを個別に保存して提供することが可能になります。

Project Shield で、サイトの自動分析を表示するダッシュボードが提供され、キャッシュ保存でメリットが得られるリソースについての提案を受けられるようになりました。これにより、Project Shield のキャッシュを利用してパフォーマンスを高め、サイトの防御を強化できます。

データの管理を実現

Project Shield がサイトを保護している間、トラフィックの多くは Google のキャッシュから提供されるか、攻撃の一部である場合はレート制限される可能性があります。トラフィックデータへのアクセスの重要性を踏まえ、Project Shield では、サイトのパフォーマンスを包括的に把握できるダッシュボードグラフを提供しています。さらに、データをダウンロードして保存できるように、API の提供も開始しました。

また、サイトへのトラフィックの発生元を示す新しいグラフもリリースしました。この新しいダッシュボードグラフでは、トラフィックが地域別に分類され、内訳（%）または生の秒間クエリ数を選んで表示できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3_OQiRSgr.max-1300x1300.jpg

Project Shield に新しいグラフが表示され、ウェブサイトトラフィックの発生地域がハイライト表示されます。

データは常にユーザーによって管理される必要があります。Project Shield では、ユーザーアカウントの内容を簡単にダウンロードできる機能が利用できるようになりました。これにより、ユーザーは Project Shield が限定的に保存したデータを検査できます。また、Google アカウントの他の部分に影響を与えることなく、簡単に Project Shield のすべてのデータを削除できる機能も提供しています。

より多くのユーザーへ

Project Shield は、世界中のさまざまなカテゴリのウェブサイトを保護するために設計されたグローバルサービスです。Google はこのたび、この使命への取り組みを拡大すべく、社会的に疎外された集団の権利を擁護する組織や、芸術や科学を支援する非営利団体など、新たな利用資格カテゴリを Project Shield に加えました。

さらに、Project Shield の一般公開サイトとダッシュボードのローカライズを拡大し、40 以上の言語によって世界中のユーザーにサービスを提供できるようになりました。

こうした最近の改善により、Project Shield でサイトを保護することがこれまで以上に簡単になっています。projectshield.google にアクセスして、今すぐ組織を登録しましょう。

-スタッフソフトウェアエンジニア Marc Howard

投稿先