米国 CISA 能力強化ガイド：ウェブサービスに対するDDoS技術ガイダンス

こんにちは、丸山満彦です。

CISAが、連邦政府（軍等を除く）についてのDDoS攻撃に対する対策ガイドを公表していますね。。。

連邦政府（軍等を除く）は5つのポイントでリスクを考えるとよいとしていますね。。。

(1) 公共取引（国民へのサービス）

(2) 情報への一般公開

(3) 政府と業界のパートナーシップ

(4) 省庁内部の運営

(5) レピュテーション

 

● CISA

・2023.09.06 CISA Releases Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack

 

CISA Releases Capacity Enhancement Guide to Strengthen Agency Resilience to DDoS Attack	CISA、DDoS攻撃に対する省庁のレジリエンスを強化するための能力強化ガイドを発表
CISA has released actionable guidance for Federal Civilian Executive Branch (FCEB) agencies to help them evaluate and mitigate the risk of volumetric distributed denial-of-service (DDoS) attacks against their websites and related web services. The Capacity Enhancement Guide: Volumetric DDoS Against Web Services Technical Guidance	CISAは、連邦文民行政機関（FCEB）向けに、ウェブサイトや関連ウェブサービスに対する大規模な分散型サービス妨害（DDoS）攻撃のリスクを評価し、軽減するための実用的なガイダンスを発表した。能力強化ガイドウェブサービスに対するボリュメトリックDDoS技術ガイダンス：
Helps agencies prioritize DDoS mitigations based on mission and reputational impact.	ミッションと評判への影響に基づいて、機関が DDoS 軽減の優先順位を決定できるよう支援する。
Describes DDoS mitigation services so agencies can make risk-informed tradeoff decisions on how to use available resources most effectively.	機関が利用可能なリソースを最も効果的に使用する方法について、リスク情報に基づいたトレードオフの意思決定を行えるよう、DDoS軽減サービスについて説明する。

 

 

・[PDF] Capacity Enhancement Guide: Volumetric DDoS Against Web Services Technical Guidance

 

 

 

目次的なもの...

Purpose	目的
AUDIENCE & SCOPE	対象範囲
RECOMMENDATIONS SECTION 1: IMPACT ANALYSIS	推奨事項 セクション 1: 影響分析
Step 1: Inventory	ステップ1：目録作成
Step 2: Analyze	ステップ2：分析
Step 3: Calculate	ステップ3：計算する
Step 4: Prioritize	ステップ4：優先順位をつける
SECTION 2: RISK MITIGATIONS	セクション 2： リスク低減
Content Delivery Network (CDN)	コンテンツデリバリー・ネットワーク（CDN）
Internet Service Providers (ISP) & Upstream Providers	インターネット・サービス・プロバイダ（ISP）およびアップストリーム・プロバイダ
Cloud Service Provider (CSP) Hosted Services	クラウド・サービス・プロバイダ（CSP）のホスティング・サービス
On-Premises Solutions	オンプレミス・ソリューション
SUMMARY	概要
REPORTING	報告
CONTACT INFO	連絡先
RESOURCES	参照情報

 

こちら「連邦政府機関向け能力強化ガイド」も参考になります。。。

・Capacity Enhancement Guides for Federal Agencies

Volumetric DDoS Against Web Services Technical Guidance	ウェブサービスに対するボリュメトリックDDoS技術ガイダンス
Additional DDoS Guidance for Federal Agencies	連邦政府機関向け追加DDoSガイダンス
Counter Phishing Recommendations for Federal Agencies	連邦政府機関向けのフィッシング対策に関する推奨事項
Securing Web Browsers and Defending Against Malvertising for Federal Agencies	連邦政府機関向けウェブブラウザの保護と不正広告からの防御
Implementing Strong Authentication Capacity Enhancement Guide	強力な本人認証の実装 能力向上ガイド
Remote Patch and Vulnerability Management Capacity Enhancement Guide	リモートパッチおよび脆弱性管理能力強化ガイド
Printing While Working Remotely Capacity Enhancement Guide	リモート作業中の印刷 能力向上ガイド
CEG Mobile Device Cybersecurity Checklist for Organizations	組織向けCEGモバイルデバイス・サイバーセキュリティ・チェックリスト
CEG Mobile Device Cybersecurity for Checklist for Consumers	消費者向けCEGモバイルデバイス・サイバーセキュリティチェックリスト
CEG Social Media Account Protection	CEG ソーシャルメディア・アカウント防御

 

ガイドの対仮訳　↓↓↓

 

CAPACITY ENHANCEMENT GUIDE: VOLUMETRIC DDOS AGAINST WEB SERVICES TECHNICAL GUIDANCE	能力強化ガイド：ウェブサービスに対する大規模なDDOSに対する技術ガイダンス
Purpose	目的
The Cybersecurity and Infrastructure Security Agency (CISA) is releasing this Capacity Enhancement Guide (CEG) to support Federal Civilian Executive Branch (FCEB) agencies in making risk-informed decisions about the procurement and use of Distributed Denial of Service (DDoS) mitigations to address large-scale volumetric attacks against web services. Section 1 of this guide provides agencies with guidance to prioritize DDoS mitigations based on mission and reputational impact. Section 2 provides detailed descriptions of various DDoS mitigation services to assist agencies as they make risk-informed tradeoff decisions on how to use available resources most effectively. Although this guidance is created and intended for use by FCEB agencies, all organizations are encouraged to review and adopt these recommendations to reduce the risk of volumetric DDoS attacks.	サイバーセキュリティ・インフラセキュリティ庁（CISA）は、連邦文民行政省庁（FCEB）がウェブサービ スに対する大規模なボリュメトリック攻撃に対処するための分散型サービス拒否（DDoS）緩和策の 調達と使用について、リスク情報に基づいた意思決定を行うことを支援するために、このキャパシティ 強化ガイド（CEG）を公開する。本ガイドのセクション 1 では、ミッションと評判への影響に基づいて DDoS 軽減策の優先順位を決定するためのガイダンスを各省庁に提供している。セクション 2 では、利用可能なリソースを最も効果的に使用する方法について、リスク情報に基 づいたトレードオフの決定を行う省庁を支援するため、さまざまな DDoS 軽減サービスについて詳 細に説明している。本ガイダンスは FCEB 省庁による利用を意図して作成されたものであるが、大量 DDoS 攻撃のリスクを軽減するために、すべての組織が本勧告を検討し、採用することが推奨される。
AUDIENCE & SCOPE	対象範囲
CEGs support CISA’s role to reduce the risk to the nation’ scyber and physical infrastructure by sharing high-priority recommendations, best practices, and operational insights in response to systemic threats, vulnerabilities, and risks. This guide is designed to assist FCEB agencies in evaluating and mitigating the risk of volumetric DDoS attacks against their websites and related web services, including by informing investment decisions by agency leadership. These attacks target specific websites with the goal of exhausting the target system’s resources, rendering the target unreachable or inaccessible, and denying users access to the service.	「CEG は、体系的な脅威、脆弱性、リスクに対応した優先度の高い推奨事項、ベストプラクティス、運用上の見識を共有する ことで、国家のサイバー・インフラストラクチャと物理インフラストラクチャに対するリスクを低減するという CISA の役割を支援する。本ガイドブックは、FCEB 省庁がそのウェブサイトや関連ウェブサービスに対する大量 DDoS 攻撃のリスクを評価し、低減することを支援するためのものであり、省庁指導者の投資判断に資することも含まれる。これらの攻撃は、標的システムのリソースを使い果たし、標的を到達不能またはアクセス不能にし、ユーザーによるサービスへのアクセスを拒否することを目的として、特定のウェブサイトを標的にする。
This guide addresses just one type of DDoS attack and should not be considered comprehensive to protect against all types of DDoS attacks1.	本ガイドは、DDoS攻撃の1つのタイプを取り上げたものであり、すべてのタイプのDDoS攻撃から防御するための包括的なものと考えるべきではない1。
AT-A-GLANCE RECOMMENDATIONS	一目でわかる推奨事項
Ø Review Section 1: Impact Analysis and consider the impact a successful DDoS attack could have on web services in your agency.	Ø 「セクション 1：影響分析」を見直し、DDoS 攻撃が成功した場合、省庁内の Web サービスに与える影響について検討する。
Ø Consider which mitigation technique will provide acceptable coverage based on risk and impact.	Ø リスクと影響に基づいて、どの低減技術が許容可能な範囲を提供するかを検討する。
Ø Create a ranked list of services to inform agencies’ use of limited resources to apply DDoS mitigations where they will be	Ø サービスのランク付けリストを作成し、省庁が限られたリソースを使用して DDoS 軽減策を適 用できるようにする。
RECOMMENDATIONS SECTION 1: IMPACT ANALYSIS	推奨事項 セクション 1: 影響分析
This section provides guidance for agencies to assess the impact to their organization of a successful DDoS attack against various web services.	このセクションでは、様々なウェブサービスに対する DDoS 攻撃が成功した場合の組織への影響 を評価するためのガイダンスを提供する。
Agencies can use this guide to document risk decisions made in alignment with the National Institute of Standards and Technology (NIST) Risk Management Framework (RMF). For example, agencies can choose to reference this approach when conducting risk assessments2 on DDoS enterprise risks and when validating whether chosen DDoS-related security controls3 sufficiently address the risks to organizational operations and assets, individuals, other organizations, and the nation that prompted selection of these controls.4 This impact analysis is provided as an example of the analysis agencies should be conducting in support of their risk decisions should be documented, and risks managed at the appropriate level regardless of the specific risk assessment processes used.	省庁は、国立標準技術研究所(NIST)のリスクマネジメントフレームワーク(RMF)に沿っ て行われたリスク決定を文書化するために、このガイドを使用することができる。例えば、省庁は、DDoS エンタープライズリスクに関するリスクアセスメント2 を実施する際や、選択した DDoS 関連のセキュリティ対策3 が、これらの対策の選択を促した組織の運営と資産、個人、他の組織、および国家に対するリスクに十分に対処しているかどうかを検証する際 に、このアプローチを参照することを選択することができる4 。この影響分析は、使用する特定のリスクアセスメント プロセスに関係なく、リスク決定を支援するために省庁が実施すべき分析を文書化し、適切なレベルでリスクを管理す べきであることの一例として提供される。
Step 1: Inventory	ステップ1：目録作成
Create a comprehensive inventory of all agency-owned or -operated web services, including URLs hosted on non-.gov domains.	.gov以外のドメインでホストされているURLを含め、省庁が所有または運営するすべ てのウェブサービスの包括的なインベントリを作成する。
Step 2: Analyze	ステップ 2：分析
Analyze the impact to the agency of a successful DDoS attack against each service identified in Step 1. For purposes of this analysis, agencies should not consider any mitigating factors that may affect the likelihood of a DDoS attack against being successful against a particular service, but only the resulting business and mission impact should an attack occur.	ステップ 1 で識別された各サービスに対する DDoS 攻撃が成功した場合の省庁への影響 を分析する。この分析の目的上、省庁は、特定のサービスに対する DDoS 攻撃の成功の可能性に影響する可能性のある低減要因は考慮せず、 攻撃が発生した場合に生じるビジネスおよびミッションへの影響のみを考慮す べきである。
To determine the overall impact, agencies should assign a score in each of the five categories of impact: (1) public transactions, (2) public access to information, (3) government and industry partnerships, (4) internal agency operations, and (5) reputation. These categories are presented in no specific order, and different agencies may have different perspectives on each category’s relative importance.	全体的な影響を判断するため、省庁は影響の 5 つのカテゴリー、(1) 公共取引、(2) 情報への一般公開、(3) 政府と業界のパートナーシップ、(4) 省庁内部の運営、(5) レピュテーションのそれぞれにスコアを割り当てるべきである。これらのカテゴリーは順不同で示されており、各カテゴリーの相対的な重要性については、省庁によって見解が異なる可能性がある。
For each web service, agencies should consider:	各ウェブサービスについて、各省庁は以下を考慮すべきである：
•        The impact on public transactions. Does the site enable members of the public to carry out important transactions with the federal government?	・公的取引への影響。そのサイトは、一般市民が連邦政府と重要な取引を行うことを可能にしているか。
o   4 (Very High): The site facilitates transactions that members of the public are legally required to carry out (e.g., submitting a tax return or transactions that are critical for delivering agency’s core mission). Any amount of downtime will have a tangible impact on the public’s ability to complete these transactions.	o 4（非常に高い）：そのサイトは、一般市民が法律上実行する必要のある取引（例えば、納税申告書の提出や、省庁の中核的使命を果たすために重要な取引）を容易にする。いくらダウンタイムが発生しても、一般市民がこれらの取引を完了する能力に具体的な影響を与える。
o   3 (High): The site facilitates transactions that are important to a widely used government service (i.e., shipping packages).	o 3（高）： このサイトは、広く利用されている政府サービス（荷物の発送など）にとって重要な取引を促進している。
o   2 (Moderate): The site facilitates public transactions, but downtime will not significantly impact members of the public.	o 2（中程度）： サイトは公的な取引を促進するが、ダウンタイムが一般利用者に大きな影響を与えることはない。
o   1 (Low): The site is not used for public transactions.	o 1（低）： 低：サイトは一般の取引には利用されない。
•        The impact on public access to information. Does the public use this website to receive updated information or to understand a government service?	・情報への一般アクセスへの影響。一般市民は、最新情報を受け取ったり、政府のサービスを理解したりするために、このウェブサイトを利用しているか。
o   4 (Very High): The site provides time-sensitive information that significant portions of the American public rely upon, or delay may result in physical danger to any population (e.g., emergency alerts, weather forecasts, or statistical data).	o 4（非常に高い）： このサイトは、米国民の大部分が依存する、あるいは遅延が何らかの集団に物理的な危険をもたらす可能性のある、一刻を争う情報を提供している（緊急警報、天気予報、統計データなど）。
o   3 (High): The site provides information valuable to the public and/or explains a crucial government service but is not time-sensitive (i.e., health guidelines).	o 3（高）： 国民にとって価値のある情報をプロバイダが提供し、かつ／または重要な政府サービスを説明しているが、一刻を争うものではない（例：健康ガイドライン）。
o   2 (Moderate): The site provides information that explains a government service.	o 2（中程度）： 政府サービスを説明する情報を提供している。
o   1 (Low): The site does not provide or facilitate public access to information.	o 1（低）：情報への一般的なアクセスを提供または促進していない。
•        The impact on government and industry partnerships and collaboration activities (e.g., regulatory action, grants coordination, or joint alerting/reporting). Is access to the service needed to carry out interagency activities, or deliver products or services?	・政府と産業界のパートナーシップや連携活動（規制措置、助成金の調整、共同警告／報告など）への影響。当該サービスへのアクセスは、省庁間活動の遂行、または製品やサービスの提供に必要か。
o   4 (Very High): The site is needed to support interagency efforts that may be time-sensitive, mission-critical for at least one of the participating agencies, or which impact national security or public safety (i.e., coordinated public alerts).	o 4（非常に高い）： そのサイトは、一刻を争う、参加省庁の少なくとも 1 つにとっ てミッション・クリティカルな、あるいは国家安全保障や公共の安全に影 響を与えるような省庁間活動を支援するために必要である（例：協調的な公 共警報）。
o   3 (High): The site provides information that is valuable, though not essential, to the activities coordinated between government agencies, or between government and industry.	o 3（高）： このサイトは、政府省庁間、または政府と産業界の間で調整される活動にとって、不可欠ではないが価値のある情報を提供する。
o   2 (Moderate): The site provides information that supports coordination between government agencies, or between government and industry.	o 2（中程度）： 政府省庁間、あるいは政府と産業界の連携をサポートする情報を提供している。
o   1 (Low): The site does not support coordination between government agencies, nor between government and industry.	o 1（低い）： 政府省庁間、または政府と産業界の調整をサポートしない。
•        The impact on activities necessary to carry out the day-to-day operations of the agency?	・政府省庁の日常業務の遂行に必要な活動への影響は？
o    4 (Very High): System has been designated a High Value Asset or is mission-critical, or other critical systems or processes rely on this system to function.	o 4（非常に高い）： システムが高価値資産に指定されている、またはミッションクリティカルである。
o   3 (High): Downtime will have a significant impact on the agency’s ability to perform essential operations.	o 3（高）： ダウンタイムは、当該省庁の重要な業務遂行能力に重大な影響を与える。
o   2 (Moderate): Downtime will have modest impact on the agency’s ability to perform essential operations.	o 2（中程度）：ダウンタイムは、省庁の重要業務遂行能力に中程度の影響を与える。
o   1 (Low): Downtime will have minimal impact to internal operations. The agency can maintain functional operations without access to this system.	o 1（低）： ダウンタイムによる内部業務への影響は最小限である。省庁はこのシステムにアクセスしなくても機能的な業務を維持できる。
•        The reputational impact of the site’s availability becoming degraded. For instance, is the site in question the primary agency website (i.e., agency.gov), for which a successful DDoS attack would be highly visible?	・サイトの可用性が低下することによる評判への影響。例えば、DDoS 攻撃が成功した場合、そのサイトが主要な省庁のウェブサイト（例： agency.gov）であり、人目につきやすいか。
o   4 (Very High): The URL is a homepage of the agency’s primary website, is a designated High Value Asset with high usage from external customers or is otherwise critical for delivering the agency’s mission (i.e., a High Impact Service Provider portal). Any downtime would bring reputational damage to both the agency and the federal government.	o 4（非常に高い）： o 4（非常に高い）：その URL が省庁の主要なウェブサイトのホームページであるか、外部 顧客からの利用が多い高価値資産に指定されているか、または省庁の使命を果たすた めに不可欠である（すなわち、高インパクトのサービスプロバイダのポータル）。ダウンタイムが発生すれば、当該省庁と連邦政府の双方に風評被害が及ぶ。
o   3 (High): The webpage provides a core feature of a government service (i.e., recalls of federally regulated products) or receives a high number of visits relative to other webpages on the domain, but is not mission critical. Downtime is likely to be noticed and will contribute to a negative public perception of the agency.	o 3（高）： そのウェブページは政府サービスの中核機能を提供する（例：連邦政府が規制する製品のリコール）、またはドメイン上の他のウェブページと比較して多くのアクセスを受けるが、ミッションクリティカルではない。ダウンタイムは注目される可能性が高く、政府省庁に対する世論の否定的な評価につながる。
o   2 (Moderate): Downtime will impact the agency’s reputation.	o 2（中程度）： ダウンタイムは省庁の評判に影響を与える。
o   1 (Low): Downtime will have minimal reputational risk to the agency and is unlikely to contribute to a negative public perception due to its lack of availability because the site is obscure and not associated with the government by the public.	o 1（低）：ダウンタイムが発生しても、政府に対する評判へのリスクは最小限であり、サイトが無名であり、国民が政府に関連付けていないため、その可用性の欠如によって否定的な社会的認識につながる可能性は低い。
Step 3: Calculate	ステップ3：計算する
Agencies should determine the relative importance, or “weight,” of each impact category, based on that agency’s mission and risk tolerance. Agencies that depend on public perception for the successful execution of their mission (i.e., agencies with a law enforcement function) may choose to give more weight to scores in the reputational impact category, whereas agencies that are reliant on partnership with scientific or academic organizations may choose to weight the government and industry partnerships category more heavily.	各省庁は、各省庁の使命とリスク許容度に基づいて、各影響カテゴリーの相対的な重要度、すなわち「重み」を決定すべきである。ミッションを成功裏に遂行するために国民の評価に依存している機能（法執行機能を有する省庁など）は、風評影響カテゴリのスコアをより重視することを選択することができ、一方、科学的または学術的組織とのパートナーシップに依存している省庁は、政府及び産業界のパートナーシップカテゴリをより重視することを選択することができる。
Agencies can assign a percentage value to each impact category to represent its weight, ensuring that the values add to 100%. For example, an agency that considers all impact categories to be equally important would weight each at 20%:	各省庁は、各影響カテゴリーにその重み付けを表すパーセンテージ値を割り当てることができ、その値の合計が100％になるようにする。例えば、すべての影響カテゴリーを同等に重要であると考える省庁では、それぞれの重み付けを20％とする：
Impact on Public Transactions (20%)	公的取引への影響（20%）
+ Impact on Public Access to Information (20%)	+ 情報公開への影響(20%)
+ Impact on Government and Industry Partnerships (20%)	+ 政府と業界のパートナーシップへの影響(20%)
+ Internal Impact (20%)	+ 内部への影響(20%)
+ Reputational Impact (20%)	+ 風評への影響(20%)
＝  Total Impact (100%)	＝  影響合計(100%)
Alternatively, a different agency might determine that its impact on public transactions and public access to information are more important categories and worthy of additional weight:	あるいは、別の省庁が、公的取引への影響と情報公開がより重要なカテゴリーであり、さらに加重する価値があると判断する場合もある：
Impact on Public Transactions (30%)	公的取引への影響（30%）
+ Impact on Public Access to Information (30%)	+ 情報公開への影響(30%)
+ Impact on Government and Industry Partnerships (20%)	+ 政府と産業界のパートナーシップへの影響(20%)
+ Internal Impact (10%)	+ 内部への影響(10%)
+ Reputational Impact (10%)	+ 風評への影響(10%)
＝  Total Impact (100%)	＝  影響合計(100)
Once the overall weights are determined, agencies can calculate a total impact score for each web service between 1 (Low) and 4 (Very High):	全体的な重み付けが決定されると、各省庁は各ウェブサービスについて、1（低い）～4（非常に高い）の間の影響度スコアの合計を算出することができる：
Impact on Public Transactions (Service SCORE x Category WEIGHT)	公的取引への影響（サービススコア×カテゴリー加重）
+  Impact on Public Access to Information (Service SCORE x Category WEIGHT)	+ 情報公開への影響(サービススコア×カテゴリー重み)
+  Impact on Government and Industry Partnerships (Service SCORE x Category WEIGHT)	+ 政府と産業界のパートナーシップへの影響(サービススコア×カテゴリー重み)
+  Internal Impact (Service SCORE x Category WEIGHT)	+ 内部への影響(サービススコア×カテゴリーWEIGHT)
#NAME?	+ 風評への影響(サービススコア×カテゴリーWEIGHT)
＝  Total (SCORE)	＝  合計(スコア)
Step 4: Prioritize	ステップ4：優先順位をつける
After calculating a total impact score for each web service, agencies should create a ranked list in order of impact of a successful DDoS attack. This ordered list can be used to prioritize the implementation of DDoS mitigation methods discussed in Section 2. This list should also inform risk management decisions within the Department, including formal documentation of any risk acceptance by the appropriate authority, if the impact analysis and risk mitigations deployed indicate significant residual risk.	各ウェブサービスの影響度スコアの合計を計算した後、省庁はDDoS攻撃が成功した場合の影響度順にランク付けしたリストを作成する必要がある。この順位付けされたリストは、セクション 2 で議論した DDoS 軽減手法の実装の優先順位付けに使用することができる。このリストはまた、影響分析と展開されたリスク低減が重大な残存リスクを示す場合、適切な 権限によるリスク受容の正式な文書化を含め、省内のリスクマネジメントの決定にも活用される べきである。
Agencies should use this methodology as a guide, customizing it as necessary for their own missions and operating environments. Agencies may find that they need added impact categories to fully capture the impact of a DDoS attack on their services, or that a different approach to calculating impact scores produces results that more closely match their organizational priorities. The goal for this process is to produce a ranked list of services to inform agencies’ use of limited resources to apply DDoS mitigations where they will be most valuable to the organization.	各省庁は、この方法論をガイドとして使用し、必要に応じて各自の任務や運用環境に合わせてカスタマイズすべきである。省庁は、DDoS 攻撃によるサービスへの影響を完全に把握するために、影響カテゴ リーを追加する必要があること、または影響スコアを計算するための別のアプローチが、組織の 優先順位により近い結果をもたらすことに気づくかもしれない。このプロセスの目標は、DDoS 軽減策を組織にとって最も価値のあるところに適用するために、省庁 が限られたリソースを使用することを知らせるために、サービスのランク付けされたリストを作成 することである。
SECTION 2: RISK MITIGATIONS	セクション 2： リスク低減
This section provides technical guidance for agencies to consider when mitigating DDoS attacks on web services. When considering protections that can be applied to web servers and web applications, Section 1 enabled agencies to conduct an impact analysis to inform the prioritization of protections for various assets.	このセクションでは、ウェブサービスに対する DDoS 攻撃を軽減する際に考慮すべき技術的なガイダンスを省庁 に提供する。ウェブサーバとウェブアプリケーションに適用できる防御を検討する際、セクション 1 により、省庁は影響分析を実施し、様々な資産に対する防御の優先順位付けを行うことができるようになった。
DDoS protections can vary in cost and capability, with some protections providing more coverage and guaranteed availability than others. This section compares various approaches to mitigating DDoS attacks, so agencies can select the appropriate mitigation methods.	DDoS 防御のコストと機能はさまざまであり、より多くのカバレッジと保証された可用性を提供する防御もある。このセクションでは、DDoS 攻撃を軽減するためのさまざまなアプローチを比較し、省庁 が適切な軽減方法を選択できるようにする。
Content Delivery Network (CDN)	コンテンツデリバリー・ネットワーク（CDN）
Service Overview	サービスの概要
A properly provisioned CDN can effectively mitigate a volumetric DDoS attack against web services. CDNs are uniquely positioned between the agency web server workload and the end user on the internet, allowing them to function as an agency’s first line of defense against DDoS attacks. Properly configured CDNs can provide website protection against DDoS attacks at the application level. CDNs can be implemented without procuring any additional hardware, as they reside in geographically distributed cloud service provider data centers. In addition to DDoS mitigation, CDNs cache website content (e.g., files, JavaScript, images, and videos) at data centers around the globe. CDNs reduce bandwidth use charges associated with website hosting and result in lower latency, faster page load times, and improved overall end user experience.	適切にプロビジョニングされた CDN は、ウェブサービスに対するボリュームのある DDoS 攻撃を効果的に軽減することができる。CDNは、省庁のウェブサーバーのワークロードとインターネット上のエンドユーザーの間にユニークに配置され、DDoS攻撃に対する省庁の防御の第一線として機能することができる。適切に設定されたCDNは、アプリケーションレベルでDDoS攻撃に対するウェブサイトの防御を提供できる。CDNは地理的に分散されたクラウドサービスプロバイダのデータセンターに存在するため、追加のハードウェアを調達することなく実装できる。DDoS低減に加えて、CDNは世界中のデータセンターでウェブサイトのコンテンツ（ファイル、JavaScript、画像、動画など）をキャッシュする。CDNは、ウェブサイトのホスティングに関連する帯域幅使用料を削減し、低遅延、高速ページ読み込み時間、および全体的なエンドユーザーエクスペリエンスの改善をもたらす。
Technical Considerations	技術的考察
Designed to handle large amounts of traffic in a distributed manner, CDNs are typically the most effective mitigation against DDoS attacks. For high-value and high-visibility internet-facing web assets, federal agencies should make use of CDNs. Regardless, agencies should evaluate a CDN’s advertised defense capabilities against DDoS attacks, as the primary use case of a CDN service may be geared towards optimizing the delivery of website content. As a result, not all CDNs may necessarily be prepared to mitigate all types of DDoS attacks. Other mitigation options are identified below.	大量のトラフィックを分散して処理するように設計されたCDNは、通常、DDoS攻撃に対する最も効果的な軽減手段である。高価値で視認性の高いインターネットに面したウェブ資産については、連邦政府省庁はCDNを利用すべきである。CDNサービスの主なユースケースは、ウェブサイト・コンテンツの配信を最適化することである。その結果、すべてのCDNが必ずしもすべてのタイプのDDoS攻撃を軽減できるわけではない。その他の低減オプションを以下に示す。
Certain CDN services may provide real-time response to attempted DDoS attacks to avoid any perceptible downtime, while others place the burden on the customer to detect a DDoS attack and notify the CDN.	ある種のCDNサービスは、DDoS攻撃の試行に対してリアルタイムで対応し、認識できるダウンタイムを回避することができるが、DDoS攻撃を検知してCDNに通知する責任を顧客に負わせるものもある。
Agencies should default to CDNs that can detect and automatically begin responding to DDoS attacks, to avoid unnecessary downtime.	省庁は、不必要なダウンタイムを避けるために、DDoS攻撃を検知して自動的に対応を開始できるCDNをデフォルトとすべきである。
Additional CDN features:	CDNの追加機能
• Capable of rate limiting by counting web requests and blocking potentially malicious source IPs.	・ウェブリクエストをカウントし、潜在的に悪意のあるソースIPをブロックすることにより、レート制限が可能である。
• Scales to meet demand.	・需要に応じて拡張できる。
• Uses DNS or Anycast based mapping to forward requests to the global CDN node geographically closest to the public user requesting the resource, potentially improving the user experience.	・DNSまたはAnycastベースのマッピングを使用して、リソースを要求する一般ユーザーに地理的に最も近いグローバルCDNノードにリクエストを転送し、ユーザー体験を改善する可能性がある。
• Automatically redirects requests to the next nearest node if degraded performance on any one node.	・いずれかのノードでパフォーマンスが低下した場合、次に近いノードにリクエストを自動的にリダイレクトする。
Cost Factors	コスト要因
Pricing for CDN services can vary widely based on the nature of the agency’s public-facing services, including the geographic location of the agency’s users, data stored and transmitted by the service or application, and the agency’s tolerance for downtime.	CDN サービスの価格は、省庁のユーザーの地理的位置、サービスまたはアプリケーションによって保存および送信されるデータ、ダウンタイムに対する省庁の許容度など、省庁の一般向けサービスの性質によって大きく異なる可能性がある。
Agency Next Steps	省庁の次のステップ
• Discuss DDoS mitigation capabilities available with existing agency CDN services and associated costs.	・既存の省庁の CDN サービスで利用可能な DDoS 軽減機能と関連コストについて議論する。
• Modify contracts as appropriate to incorporate DDoS-related CDN services.	・DDoS 関連の CDN サービスを組み込むために、契約を適宜修正する。
• Exercise DDoS protections at a minimum annually, consistent with the requirements of any applicable CDN Terms of Service agreements.	・適用される CDN サービス利用規約の要件に従い、最低でも毎年 DDoS 防御を実施する。
Internet Service Providers (ISP) & Upstream Providers	インターネット・サービス・プロバイダ（ISP）およびアップストリーム・プロバイダ
Service Overview	サービスの概要
ISPs and upstream providers (including packet scrubbing solutions) with sufficient compute and bandwidth may mitigate some volumetric DDoS attacks against agency web services as well as non-web services. This capability should be validated, as not all upstream providers are resilient against this category of attack. ISPs provide “last mile” internet transport to an agency’s data centers (i.e., they can redirect internet traffic inbound to an agency’s network when malicious activity is detected). If an agency hosts websites in a legacy data center or on-premises environment or is concerned about the high availability of a mission critical website, they should consider the DDoS protection services offered by their ISP. ISP may offer protection against the following types of attacks in particular:	十分な計算能力と帯域幅を持つ ISP およびアップストリーム・プロバイダ（パケット・スクラビング・ソリューションを含む）は、省庁のウェブ・サービスおよび非ウェブ・サービスに対するボリュメトリック DDoS 攻撃の一部を軽減できる可能性がある。すべての上流プロバイダがこのカテゴリの攻撃に対してレジリエンスを持っているわけではないので、この能力は検証されるべきである。ISPは、省庁のデータセンターへの「ラストマイル」インターネット伝送を提供する（すなわち、悪意ある活動が検知された場合、省庁のネットワークへのインターネットトラフィックをインバウンドにリダイレクトすることができる）。レガシーデータセンターやオンプレミス環境でウェブサイトをホストしている省庁や、ミッションクリティカルなウェブサイトの高可用性を懸念している省庁は、ISPが提供するDDoS防御サービスを検討すべきである。ISPは、特に以下のタイプの攻撃に対する防御を提供することができる：
• Open Systems Interconnection (OSI) Layer 3: Typically, a volumetric attack in which the attacker sends thousands of packets to an agency’s public IP addresses.	・開放型システム間相互接続（OSI）レイヤー3：通常、攻撃者が省庁の公開IPアドレスに何千ものパケットを送信するボリューメトリック攻撃。
• OSI Layer 4: Often a TCP SYN packet flood attack designed to overwhelm a server.	・OSIレイヤ4:多くの場合、サーバーを圧倒するように設計されたTCP SYNパケットフラッド攻撃である。
• OSI Layer 7: HTTP GET or POST requests, or other maliciously crafted application layer request.	・OSIレイヤ7:HTTP GETまたはPOSTリクエスト、またはその他の悪意を持って細工されたアプリケーションレイヤリクエスト。
Services providing the most uptime in offered Service Level Agreements (SLAs) often have the highest associated costs. Agencies may achieve cost savings through accepting the risk of downtime caused by a DDoS attack by using an on-call mitigation service. This means that once an agency Network Operations Center (NOC)/Security Operations Center (SOC) has detected an attack, the ISP is engaged to begin DDoS mitigation procedures. In this on-call model, the agency web resource under attack will be down or impaired until the agency NOC/SOC engages the provider to start mitigation efforts.	提供されるサービス・レベル・アグリーメント（SLA）で最もアップタイムを提供するサービスは、多くの場合、関連コストが最も高い。省庁は、オンコールの低減サービスを使用することで、DDoS 攻撃によるダウンタイムのリスクを受け入れ、コスト削減を達成することができる。つまり、省庁のネットワーク・オペレーション・センター（NOC）/セキュリティ・オペレーション・センター（SOC）が攻撃を検知すると、ISP が DDoS 軽減手順を開始する。このオンコール・モデルでは、攻撃を受けている省庁のウェブ・リソースは、省庁の NOC/SOC がミティゲーション活動を開始するためにプロバイダを呼び出すまで、ダウンまたは障害に見舞われる。
This model requires some upfront configuration and planning on the part of both the agency and the ISP; however, it is significantly less expensive than an always-on model where all traffic is inspected regardless of whether an active attack is occurring. Also, beyond scrubbing the traffic, various services may use other technical approaches, including null routing (or black hole routing) which can create a high rate of false positives, sink holing which uses a blocklist of known malicious source IPs, and IP masking which hides the origin IP of your server. Agencies should consider subscribing to reputation-based source IP threat intelligence feeds if ISPs offer this as an option with DDoS protection managed services.	このモデルでは、省庁と ISP の双方に、事前の設定と計画が必要となるが、攻撃 が発生しているかどうかに関係なく、すべてのトラフィックを検査する常時接続モデルよりも、 大幅にコストを抑えることができる。また、トラフィックをスクラビングするだけでなく、さまざまなサービスが、高い確率で誤検出を引き起こす可能性のあるヌルルーティング（またはブラックホールルーティング）、既知の悪意のあるソースIPのブロックリストを使用するシンクホーリング、サーバーのオリジンIPを隠すIPマスキングなど、他の技術的アプローチを使用する場合がある。省庁は、ISPがDDoS防御マネージドサービスのオプションとしてこれを提供している場合、レピュテーションベースのソースIP脅威インテリジェンスフィードへの加入を検討すべきである。
Technical Considerations	技術的考察
Agencies should select a provider that has the capacity to scale and withstand large volumetric DDoS attacks. Agencies should also understand their role and the role of the provider if targeted by a DDoS attack. Note the two consumption models previously identified for DDoS mitigation services – always-on and on-call/on-demand. In an always-on model, all traffic always passes through the mitigation provider’s service (which may add latency if the distance between the customer internet circuit and mitigation service are high). Always-on can provide instant protection, but agencies should always validate time-to-mitigation of any proposed solution. The on-demand consumption model only sends traffic to scrubbing centers when directed to do so via human intervention during an attack. Agencies must communicate with their provider to understand which protections are available, the protections that are included in the existing contracts, and those offered à la carte. For services that require manual activation, agencies must understand each organization and individual’s roles, as well as develop, maintain, and test the activation procedures for best response.	省庁は、大規模なボリュームのDDoS攻撃に耐えうる拡張能力を持つプロバイダを選択すべきである。また、省庁は、DDoS 攻撃の標的にされた場合のプロバイダの役割と自分たちの役割を理解する必要がある。DDoS 軽減サービスには、常時稼働とオンコール/オンデマンドという 2 つの消費モデルがある。常時接続モデルでは、すべてのトラフィックが常にミティゲーションプロバイダのサービ スを経由する（顧客のインターネット回線とミティゲーションサービス間の距離が長 い場合、遅延が発生する可能性がある）。常時オンは即座に防御を提供することができるが、省庁は提案されたソリューショ ンの防御までの時間を常に検証する必要がある。オンデマンドの消費モデルでは、攻撃中に人為的な介入によってトラフィックをスクラ ブセンターに送るよう指示された場合にのみ、トラフィックをスクラビングセンターに送る。エージェンシーはプロバイダとコミュニケーションし、どの防御が利用可能か、既存の契約に含まれる防御、アラカルトで提供される防御を理解する必要がある。手動による起動が必要なサービスの場合、省庁は、各組織と個人の役割を理解し、最適な対応のための起動手順を開発、維持、テストしなければならない。
As with CDNs, agencies should default to mitigations that automatically provide protections (i.e., always-on) Additional features of provided services:	CDN と同様に、省庁は自動的に防御を提供する（すなわち、常時オン）低減をデフォルトとす べきである。 提供されるサービスの追加機能：
• DDoS protection is provided by Domain Name System (DNS) re-routing or Border Gateway Protocol (BGP) re-advertisement of a public facing customer URL or subnet. DNS or BGP reconfiguration and advertisement push all agency web traffic to an ISP-managed cloud hosted scrubbing center where DDoS attack traffic is discarded or “scrubbed,” and only clean traffic is returned to the customer network, removing resource constraints from the agency servers resulting from the attack.	・DDoS 防御は、ドメインネームシステム（DNS）の再ルーティングまたはボーダーゲートウェ イプロトコル（BGP）の再広告によって、パブリックに面した顧客の URL またはサブネットに提供される。DNSまたはBGPの再設定とアドバタイズメントにより、省庁のウェブトラフィックはすべて、ISPが管理するクラウドホスティングのスクラビングセンターに送られ、そこでDDoS攻撃トラフィックは破棄または「スクラビング」され、クリーンなトラフィックのみがカスタマーネットワークに戻され、攻撃によって省庁のサーバーからリソースの制約が取り除かれる。
• Scrubbing facilities are typically geographically distributed to reduce latency between customer edge (traffic destination) and any redirection for scrubbing.	・スクラビング施設は通常、顧客のエッジ（トラフィックの宛先）とスクラビングのためのリダイレクション間のレイテンシーを削減するために地理的に分散されている。
• ISPs may leverage a combination of scrubbing services and inline network sensors at the customer edge to mitigate attacks.	・ISP は、スクラビングサービスと顧客エッジのインラインネットワークセンサーを組み合わせて活用することで、攻撃を軽減することができる。
Cost Factors	コスト要因
Pricing varies and is based on bandwidth, number and size of protected IP Prefixes, number of connections between scrubbing center and customer network, and number of individual IPs or DNS names to be protected.	防御料金は、帯域幅、保護するIPプレフィックスの数とサイズ、スクラビングセンターと顧客のネットワーク間の接続数、保護する個々のIPまたはDNS名の数によって異なる。
Agency Next Steps	省庁の次のステップ
• Work with ISPs or upstream providers (including packet scrubbers) to fully understand the Service Level Agreements (SLA) and the roles of both parties within the agreement. Verify the SLA meets the required services needed to mitigate DDoS attacks, maintain functional operations and any other specific requirement as it pertains to the agency.	・ISPまたは上流プロバイダ（パケットスクラバを含む）とワーク・ロールし、サービス・レベル・アグリーメント（SLA）および契約内の両当事者の役割を完全に理解する。SLAが、DDoS攻撃の軽減、機能的な運用の維持、および省庁に関連するその他の特定の要件に必要なサービスを満たしていることを確認する。
• Update contracts with providers to include provisions where ‘manual activations’ are required, additional fees, etc.	・プロバイダとの契約を更新し、「手動によるアクティベーション」が必要な場合の規定、追加料金などを含める。
• Update Continuity of Operations Planning (COOP) and Disaster Recovery Plans (DRP) to ensure ‘manual activations’ are included, and activation procedures and points of contact (POC) are documented.	・業務継続計画（COOP）および災害復旧計画（DRP）を更新し、「手動による起動」が含まれ、起動手順および連絡先（POC）が文書化されていることを確認する。
• Exercise DDoS protection readiness at the minimum annually, consistent with the requirements of any applicable ISP Terms of Service agreements.	・適用される ISP のサービス利用規約の要件に従って、DDoS 防御の準備態勢を最低年 1 回実施する。
Cloud Service Provider (CSP) Hosted Services	クラウド・サービス・プロバイダ（CSP）のホスティング・サービス
Service Overview	サービスの概要
Cloud Service Providers with sufficient compute and bandwidth can provide effective mitigations to a volumetric DDoS against web services. DDoS protections are offered as managed services by CSPs (e.g., AWS, Azure, GCP, and Oracle). Agencies should consider CSP hosted DDoS protection services when public facing resources are accessible through CSP provided internet access. A key advantage of CSP offerings is their ability to scale out dynamically to meet demand – which means customers are not paying for dedicated hardware to support DDoS prevention. If an agency can accept some amount of downtime risk from a DDoS attack, the oncall/on-demand protection services detailed in the ISP section above may be acceptable.	十分な計算能力と帯域幅を持つクラウド・コンピューティング・サービス・プロバイダは、ウェブ・サービスに対するボリュメトリック DDoS に対して効果的な低減を提供することができる。DDoS 防御は、CSP（AWS、Azure、GCP、Oracle など）がマネージド・サービスとして提供している。省庁は、CSPが提供するインターネット・アクセスを通じてパブリック・フェイシング・リソースにアクセスできる場合、CSPがホストするDDoS防御サービスを検討すべきである。CSPサービスの主な利点は、需要に応じて動的にスケールアウトできることである。DDoS攻撃によるダウンタイム・リスクをある程度許容できる省庁であれば、上記のISPのセクションで詳述したオンコール／オンデマンド防御サービスも許容できるだろう。
Agencies should always consider automated protections, versus protections that require agency personnel to manually initiate DDoS protections.	省庁は、省庁の担当者が手動で DDoS 防御を開始する必要がある防御ではなく、自動化された防御を常に検討する必要がある。
Technical Considerations	技術的考察
If agencies have multiple points of ingress to their publicly hosted web sites, they should consider CSP offerings to protect web resources accessible via CSP internet circuits. Evaluation of risk and mitigating service offerings available at other ingress points should not be overlooked when building a defense in depth DDoS mitigation strategy. DDoS protection services may not be included in existing CSP contractors. Agencies must communicate with their CSPs to understand which protections are available, the protections that are included in the existing contracts, and those that are offered à la carte. For services that require manual activation, agencies must develop, maintain, and test the activation procedures and are advised to generate a welldeveloped and documented standard operating procedure.	一般にホストされているウェブサイトへの入口ポイントが複数ある省庁は、CSP のインターネット回線を介してアクセス可能なウェブ・リソースを防御する CSP サービスを検討すべきである。DDoS ミティゲーション戦略の深層防御を構築する際には、他のイングレス・ポイントで利用可能なリスクおよび低減サービ スの評価を見逃してはならない。DDoS 防御サービスは、既存の CSP 契約に含まれていない場合がある。省庁は、どの防御が利用可能か、既存の契約に含まれている防御、およびアラカルトで提供されている防御を理解するために、CSP とコミュニケーションを取る必要がある。手動によるアクティベーションが必要なサービスについては、省庁はアクティベーション手順を策定、維持、およびテストする必要があり、十分に整備され文書化された標準操作手順を作成することが推奨される。
Additional features of CSP hosted solutions:	CSP ホスト型ソリューションの追加機能
• CSP DDoS mitigation solutions typically employ a combination of CDN and WAF (Web Application Firewall) as a managed service to protect web facing resources.	・CSP の DDoS 低減ソリューションは通常、CDN と WAF（ウェブ・アプリケーション・ファイアウォー ル）の組み合わせをマネージド・サービスとして採用し、ウェブに面したリソースを保護する。
• Can be automatically configured to protect against DDoS attacks based on known good traffic patterns via machine learning.	・機械学習により、既知の良好なトラフィック・パターンに基づいて DDoS 攻撃を防御するよう自動的に設定できる。
• Agencies should consider subscribing to reputation-based source IP threat intelligence feeds if CSP’s offer this as a la carte with DDoS protection managed services.	・CSPがDDoS防御のマネージド・サービスとアラカルトで提供している場合は、レピュテーション・ベースのソースIP脅威インテリジェンス・フィードへの加入を検討すべきである。
• Rate based blocking services are configurable.	・レートベースのブロッキング・サービスは設定可能である。
Cost Factors	コスト要因
Pricing is often a flat monthly charge which includes a set number of public IP resources with overage charges if additional resources need to be protected. Some CSPs also charge for data transfer related to DDoS mitigation services.	防御料金は多くの場合、設定されたパブリックIPリソース数を含む月額定額料金であり、追加のリソースを保護する必要がある場合は超過料金が発生する。一部の CSP は、DDoS 軽減サービスに関連するデータ転送にも課金する。
Agency Next Steps	省庁の次のステップ
• Work with CSPs to fully understand built in protections in their services and what is available by default vs. what is à la carte vs. what needs ‘manual’ activation, scope, limitations, SLAs, etc.	・CSP と連携して、自社のサービスに組み込まれている防御、デフォルトで利用可能なもの、アラカルトで利用可能なもの、「手動」での有効化が必要なもの、範囲、制限、SLA などについて十分に理解する。
• Update contracts with CSPs to include provisions where ‘manual activations’ are required, additional fees for traffic surges, etc.	・CSPとの契約を更新し、「手動によるアクティベーション」が必要な場合の規定、トラフィック急増に対する追加料金などを含める。
• Update COOPs and DRPs to ensure ‘manual activation’ procedures are included, and POCs are documented.	・COOP および DRP を更新して、「手動による起動」の手順が含まれるようにし、POC を文書化する。
• Exercise DDoS protection readiness at the minimum annually, consistent with the requirements of any applicable CSP Terms of Service agreements.	・DDoS 防御の準備態勢を、適用される CSP のサービス利用規約の要件に従って、最低でも年 1 回実施する。
On-Premises Solutions	オンプレミス・ソリューション
Service Overview	サービスの概要
On-premises solutions are highly unlikely to have sufficient compute and bandwidth to provide effective mitigation of a volumetric DDoS against web services. On-premises solutions are unable to scale and handle large volumetric DDoS attacks in the same way as previously discussed mitigations.	オンプレミス・ソリューションが、ウェブ・サービスに対するボリュメトリック DDoS の効果的な低減を提供するのに十分な計算能力と帯域幅を持つ可能性は極めて低い。オンプレミスのソリューションでは、先に説明した低減策と同様に、大規模な DDoS 攻撃をスケールして処理することはできない。
Exclusive reliance on on-premises solutions represents acceptance of the risks associated with having no protection against DDoS and should only be considered for the lowest impact URLS as described in Section 1 with documented risk acceptance as part of a website’s authorization to operate (ATO).	オンプレミスのソリューションに全面的に依存することは、DDoS に対する防御がないことに伴うリスクを受容することであり、セクション 1 で説明したように、ウェブサイトの運営許可（ATO）の一部としてリスクを受容することを文書化した上で、最も影響度の低い URLS に対してのみ検討すべきである。
Technical Considerations	技術的考察
A major disadvantage to hardware or virtualized on-premises solutions is their inability to scale to meet high volume DDoS attacks. The previously discussed CDN, ISP, and CSP solutions offer DDoS protections at a much greater scale to better handle the largest known DDoS attacks, while on-premises solutions are limited to the configured local internet circuit bandwidth and any associated hardware limitations. Note that industry leading firewall vendors do provide limited DDoS protections, yet still recommend subscribing to additional DDoS services as described above in the ISP or CSP sections for the most complete protection.	ハードウェアまたは仮想化されたオンプレミスのソリューションの主な欠点は、大量の DDoS 攻撃に対応するための拡張性がないことである。先に述べた CDN、ISP、および CSP のソリューションは、既知の最大規模の DDoS 攻撃をよりよく処理するために、はるかに大規模な DDoS 防御を提供するが、オンプレミスのソリューションは、設定されたローカル・インター ネット回線の帯域幅と、関連するハードウェアの制限に制限される。業界をリードするファイアウォール・ベンダーは、限定的な DDoS 防御を提供しているが、最も完全な防御のために、上記の ISP または CSP のセクションで説明したように、追加の DDoS サービスに加入することを推奨している。
Agencies should consider subscribing to publicly available threat intelligence feeds. CISA’s Shared Cybersecurity Services (SCS) provides federal civilian agencies with no-cost access to commercial Cyber Threat Intelligence. CISA also offers the Automated Indicator Sharing (AIS) feed for agencies. These feeds provide reputation-based intelligence about source IPs including geographic location, organization name, known/past attack types from the source IP, service type (e.g., anonymous proxies, phishing sites), a risk scoring mechanism, etc. Next Generation Firewalls and WAF appliances can translate this feed data into dynamic access control lists (ACLs) that block any processing of traffic from malicious source IPs based on this reputation data. Agencies should confirm any new and existing hardware at the internet edge is resilient enough to support this capability as part of due diligence.	各省庁は、一般に公開されている脅威インテリジェンス・フィードへの加入を検討すべきである。CISAのShared Cybersecurity Services（SCS）は、連邦民間省庁に商用サイバー脅威インテリジェンスへの無償アクセスを提供している。CISAはまた、自動指標共有（AIS）フィードも省庁向けに提供している。これらのフィードは、地理的位置、組織名、ソースIPからの既知／過去の攻撃タイプ、サービスタイプ（匿名プロキシ、フィッシングサイトなど）、リスクスコアリングメカニズムなどを含む、ソースIPに関するレピュテーションベースのインテリジェンスを提供する。次世代ファイアウォールおよびWAFアプライアンスは、このフィードデータを動的アクセス制御リスト（ACL）に変換し、このレピュテーションデータに基づいて悪意のあるソースIPからのトラフィック処理をブロックすることができる。エージェンシーは、デューデリジェンスの一環として、インターネットエッジの新規および既存のハードウェアが、この機能をサポートするのに十分なレジリエンスを持っていることを確認する必要がある。
Additional features of an on-premises solution:	オンプレミス・ソリューションの追加機能：
• Appliance based solutions are not scalable and face hardware limitations when processing DDoS attack traffic locally.	・アプライアンスベースのソリューションは拡張性がなく、DDoS攻撃トラフィックをローカルで処理する際にハードウェアの制限に直面する。
• Some Next Generation firewall vendors offer DDoS protection either as a separately licensed module or included in a standard license. These protections are constrained by the bandwidth and compute resources available for on-premises solutions and will likely not scale to meet this category of attack.	・次世代ファイアウォールベンダーの中には、DDoS 防御を別ライセンスのモジュー ルとして、あるいは標準ライセンスに含めて提供しているところもある。これらの防御は、オンプレミス・ソリューションで利用可能な帯域幅とコンピュート・リソースに制約されており、このカテゴリの攻撃に対応できる拡張性はない可能性が高い。
•  Web Application Firewalls (WAFs) can more closely inspect communications between website users and servers to identify malicious intent. Technologies used include device fingerprinting, detection of SQL injection attacks, cross-site scripting, and other customer queries which can compromise an agency web resource. Hardware and circuit bandwidth are limiting factors in a WAF solution.	・ウェブ・アプリケーション・ファイアウォール（WAF）は、ウェブサイトのユーザーとサーバー間のコミュニケーションをより詳細に検査し、悪意のある意図を特定することができる。使用される技術には、デバイス・フィンガープリンティング、SQLインジェクション攻撃の検知、クロスサイト・スクリプティング、その他省庁のウェブ・リソースを危険にさらす可能性のある顧客クエリなどがある。ハードウェアと回線帯域幅は、WAFソリューションの制限要因である。
Cost Factors	コスト要因
Typically, these on-premises solutions come at a lower cost than those with remote scrubbing. Vendors often sell licensing by bandwidth protection scope; prices vary by vendor.	通常、このようなオンプレミス・ソリューションは、リモート・スクラビングを備えたものよりも低コストである。ベンダーは、多くの場合、帯域幅の保護範囲ごとにライセンスを販売しており、価格はベンダーによって異なる。
Agency Next Steps	省庁の次のステップ
• Work with hardware vendors to fully understand built in protections/limitations in their services and what is available by default vs. what is a la carte vs. what needs ‘manual’ activation, scope, limitations, SLAs, etc.	・ハードウェアベンダーと協力して、そのサービスに組み込まれた防御/制限、およびデフォルトで利用可能なものとアラカルトで利用可能なもの、「手動」アクティベーションが必要なもの、範囲、制限、SLAなどを十分に理解する。
• Update contracts with hardware vendors to include provisions where ‘manual activations’ are required, additional fees for traffic surges, etc.	・ハードウェアベンダーとの契約を更新し、「手動起動」が必要な条項、トラフィック急増に対する追加料金などを含める。
• Update COOPs and DRPs to ensure ‘manual activation’ procedures are included, and POCs are documented.	・COOP および DRP を更新し、「手動起動」の手順が含まれていること、および POC が文書化されていることを確認する。
• Exercise DDoS protection readiness at the minimum annually.	・DDoS防御態勢を最低年1回訓練する。
SUMMARY	概要
This technical guidance provides four categories of impact metrics to be used when evaluating the impact of volumetric DDoS attacks on agency web services: (Very High, High, Moderate, and Low). The impact analysis within this document is an example of the risk assessment/analysis that agencies should conduct in support of risk management strategies consistent with NIST RMF and the appropriate security controls.	このテクニカルガイダンスは、省庁のウェブサービスに対する大量の DDoS 攻撃の影響を評価する際に使用する影響指標の 4 つのカテゴリー（「非常に高い」、「高い」、「中程度」、「低い」）を提供する。本文書の影響分析は、NIST RMF と適切なセキュリティ対策に合致したリスクマネジメント戦略を支援するため に、省庁が実施すべきリスクアセスメント／分析の一例である。
Risk mitigation technologies vary with their effectiveness against volumetric DDoS attacks. This guidance provides agencies with a technical overview of existing mitigation technologies currently used to mitigate volumetric DDoS attacks. CDN mitigations provide the highest degree of protections. Both ISP and CSP are sufficient if service providers can provide the proper compute and bandwidth resources. On-premises solutions are highly unlikely to provide sufficient compute and bandwidth due to its inability to scale; CDN solutions are highly advised.	リスク低減技術は、大量 DDoS 攻撃に対する有効性によって異なる。このガイダンスは、大量 DDoS 攻撃を軽減するために現在使用されている既存の軽減技術の技術的 概要を省庁に提供する。CDN の低減は最高度の防御を提供する。サービス・プロバイダが適切な計算リソースと帯域幅リソースを提供できれば、ISP と CSP の両方で十分である。オンプレミスのソリューションでは、拡張性がないため、十分なコンピュートと帯域幅を提供できない可能性が高い。
REPORTING	報告
Agencies should follow all relevant CISA protocols and OMB guidance when reporting events, incidents, breaches, and major incidents. This includes CISA’s current Federal Incident Notification Guidelines, CISA’s Federal Government Cybersecurity Incident and Vulnerability Response Playbooks, OMB M-22-05 and OMB M17-12, and Presidential Policy Directive 41 (PPD-41).	省庁は、イベント、インシデント、違反、重大インシデントを報告する際、関連するすべてのCISAプロトコルおよびOMBガイダンスに従うべきである。これには、CISAの現行の連邦インシデント通知ガイドライン、CISAの連邦政府サイバーセキュリティ・インシデントおよび脆弱性対応プレイブック、OMB M-22-05およびOMB M17-12、大統領政策指令41（PPD-41）が含まれる。
CONTACT INFO	連絡先
For questions about this guidance and other CISA services available to federal agencies, please contact [mail].	本ガイダンスおよび連邦政府省庁が利用できるその他のCISAサービスに関する質問は、[mail] まで。
RESOURCES	参考資料
• National Institute of Standards and Technology (2012), SP 800-30 Rev. 1: Guide for Conducting Risk Assessments, Department of Commerce, Washington, D.C., September 2012	・国立標準技術研究所（2012年）、SP 800-30 改訂1版：リスクアセスメント実施の手引き、商務省、ワシントンD.C.、2012年9月。
• National Institute of Standards and Technology (2020) SP 800-53 Rev 5: Security and Privacy Controls for Information Systems and Organizations, Department of Commerce, Washington, D.C., September 2020	・国立標準技術研究所（2020）SP 800-53 Rev 5: Security and Privacy Controls for Information Systems and Organizations、商務省、ワシントン D.C.、2020 年 9 月
• National Institute of Standards and Technology (2018) SP 800-37 Rev 2: Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, Department of Commerce, Washington, D.C., December 2018	・国立標準技術研究所（2018）SP 800-37 Rev 2: Risk Management Framework for Information Systems and Organizations： セキュリティとプライバシーのためのシステムライフサイクルアプローチ、商務省、ワシントンD.C.、2018年12月
• Cybersecurity and Infrastructure Security Agency, Federal Bureau of Investigation, and Multi-State Information Sharing and Analysis Center, Understanding and Responding to Distributed Denial-ofService Attacks, October 2022, Washington, D.C.	・サイバーセキュリティ・インフラセキュリティ庁、連邦捜査局、複数州情報共有分析センター、分散型サービス拒否攻撃の理解と対応、2022年10月、ワシントンD.C.