DDoSインシデント対応のランブックをどのように構築しますか？

Question

Accepted Answer

DDoSランブックはパニックをチェックリストに変えます。その中核となる原則は、**攻撃の最中ではなく、攻撃の前に準備しておく**ことです。アカウントをプロビジョニングし、連絡先を把握し、ダッシュボードを構築しておくことで、対応は即興ではなく実行になります。

## 事前に準備しておくこと

- **CDN/スクラビングプロバイダをあらかじめ統合**しておく（DNSをそこ経由に向け、切り替えられる「攻撃時（under attack）」モードを用意する）。
- トラフィック、エラー率、キャッシュヒット率の**ベースラインとなるダッシュボードとアラート**を維持し、異常がすばやく表面化するようにする。
- 即座に強化できる**WAFルールとレートリミットの段階（tier）**を事前に書いておく。
- **連絡先リスト**（オンコール、CDN/ISPサポート、リーダーシップ）と、すぐに使える**ステータスページ**のテンプレートを維持する。

## ランブックの手順

1. **検知と宣言** — アラートまたは相関した異常（DDoS検知を参照）がインシデントを発動させる。直ちにインシデントコマンダーを割り当てる。
2. **攻撃の種類とターゲットの特定** — それはLayer 3/4（ボリューム型）か、Layer 7（HTTPフラッド）か？どのエンドポイント、IP、またはリージョンか？種類によって、どのコントロールを発動させるかが決まる。
3. **防御の発動** — CDNの「攻撃時」モード/スクラビングを有効にし、**WAFルールを強化**し、**レートリミットを引き下げる**。最も安価で広範なコントロールから始める。
4. **送信元のブロック/ヌルルーティング** — 攻撃元のIPレンジやジオをエッジでブロックする。最後の手段として、ISPに依頼して対象のIPを**ヌルルーティング**し、プラットフォームの残りを守る。
5. **コミュニケーション** — **ステータスページ**に投稿し、ステークホルダーに更新を伝え、タイムラインを記録し続ける。明確なコミュニケーションは、混乱という第二の危機を防ぐ。
6. **必要に応じたスケール** — フィルタを強化している間にすり抜けてくるトラフィックを吸収するため、オリジンの容量をオートスケールまたはオーバープロビジョニングする。
7. **インシデント後のレビュー** — 安定したら、非難なし（blameless）のふりかえりを実施する。何がうまくいったか、何が遅かったか、どのルールを恒久化すべきか、どのギャップを埋めるべきか。

```text
DETECT -> IDENTIFY -> ENGAGE (CDN/WAF/rate-limit) -> BLOCK/null-route
       -> COMMUNICATE -> SCALE -> POST-INCIDENT REVIEW
```

## なぜ重要なのか

実際の攻撃を受けると、レイテンシとアドレナリンによって人は手順を飛ばし、事態を悪化させてしまいます。ランブックは既知の手順、事前に構築されたツール、明確な役割を提供するため、チームはサイトがダウンしている間に選択肢を議論するのではなく、数分のうちに被害を軽減できます。あらゆるDDoSランブックで最も価値のある一行は、事前に行われた準備です。攻撃で溢れかえっている最中に、スクラビングプロバイダを統合したり、ISPの緊急連絡番号を探したりすることはできないのです。