2023年4月〜6月にかけて複数回発生した外部からの攻撃に対する対策と中長期でのインフラ及びサポート強化に関するお知らせ。
お詫びとご挨拶
Squad beyondユーザーの皆様。
日頃より格別の御厚情を賜り誠にありがとうございます。
また、先般発生しました攻撃に伴う複数回の障害によりご迷惑をおかけし、誠に申し訳ございませんでした。
2020年7月のサービス開始からこれまで大きな障害もなく、誤解を恐れずに申し上げれば油断に近い甘さがあったと言わざるを得ません。障害が発生することへの予防が十分と言えるほどできていなかったこと、また発生した際の対応が後手に回ってしまったことも含め如何に未熟であったかを痛感いたしました。改めてお詫び申し上げます。
当然ではございますが、今回の反省とユーザーの皆様から頂いた温かい言葉を未来に繋げよりよいサービスにすべく努力を続けます。
このような表現が適切ではないと捉えられるお客様もいらっしゃるかもしれませんが、今回の障害に端を発しインフラの改善にリソースを集中したことにより、配信ページのさらなる高速化やメディア容量の改善、管理画面の高速化等、機能面での様々な副次的改善も同時に実行を計画しています。
その一環としてとなりますが、下記に今後6ヶ月間の中期・長期対策を下記の通りお知らせ致します。概ね2023年9月までには開発面でのリリース完了を予定しています。
中長期ロードマップ
〜2023年9月まで(システム的な改善完了目処)
2023年9月以降を含む(認証/サービス強化)
補足説明
1.根本解決
根本解決方針は「仮に攻撃の100万倍アクセスがあっても障害が発生しない」アーキテクチャ及びインフラの実装です。
世界的にサービスを提供した場合、攻撃がなくとも攻撃時並のアクセスが発生する可能性が高いです。障害発生前までは、向こう1〜2年間でのロードマップと予定しておりましたが、今回の障害に端を発し最優先で実行致します。
しかし、すべてのアーキテクチャの変更には相応の時間がかかります。バッファの時間を加味し3ヶ月を想定しております。
また、その間はサービスを日本だけに限定し、「2.根本解決までの対応策」として攻撃を受け付けない対策を施すことで攻撃の防護策を実行します。
2.根本解決までの対応策
攻撃に対抗する手段として攻撃を受け付けないシールドの強化。
シールドをもし突破されても攻撃を防ぐ手段を自動で制作・追加し続けるプログラムの実装。
を施します。
攻撃は毎回手段やいくつものパターンを変えて実行されていました。
それらを判別して学習し、パターンが変わってもブロックを実行できるプログラムを実装しております。
なお、こちらの対応は99%完了しています。
残りの1%の意味は、攻撃も進化をし続けているため本質的に「完了」は無く、毎日データチームによりチューニングを行っているためこの様な表現とさせて頂きました。
3.根本解決以降の追加策
根本的な解決とそれまでの対応が完了した後も、改善し続ける必要があります。
継続すべき改善に対し、自浄作用だけに任せることは誠実であると胸を張って言えるものではないと考えております。
そこで、第三者機関の認定を取得し、認定を更新し続けることでユーザーの皆様に取って安全性の基準となる状況を担保し続ける方針です。(ISO27017,27001)
また、さらなる安全を提供すべく、今回たくさんの要望を頂いた「個別環境での利用」を実現できるよう開発致します。※こちらは恐縮ではございますがコスト面での圧迫が大きく、全ユーザー様への適用ではなく、ご希望されたお客様のみにご案内する有償オプションを検討しております)
以上となります。
アップデートがありましたら随時共有致します。
今後とも何卒よろしくお願いいたします。