• スペシャル
  • 2016/04/07 掲載

対策が困難なDDoS攻撃、どうすれば…? 意外なところから切り札が登場!

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
DDoS攻撃は、サイバー攻撃の主な手法として古くから知られている。2015年4月に改訂された金融庁の金融検査マニュアルでも、サイバー攻撃として「DDoS攻撃」が明記され、対策を打つ必要性を謳っている。DDoS攻撃が一般的かつ重大な攻撃であることが、政府機関においても認められた格好だ。ただし、DDoS攻撃を完全に防ぐ方法は、実はまだ確立されていない。それはなぜなのか。また、現時点で企業がとりうる最善の対策は何なのか。DDoS対策ソリューションに本格参入したライムライト・ネットワークスに話を聞いた。

従来型のセキュリティ対策では対応が難しいDDoS攻撃

 サイバー攻撃には、さまざまな種類がある。金銭的利益を目的に企業・組織を狙うサイバー犯罪、イデオロギーの主張を目的とするハクティビズム(Hacktivism)、機密情報を狙うネットスパイ、国家間のサイバー戦争など、インターネット空間では、常に何らかの攻撃が行われている。

 こうした攻撃で使われる手法としてよく知られているのがDDoS攻撃だ。「DDoS」は「Distributed Denial of Service」の略で、インターネット上の公開サーバに、複数のコンピュータから一度に大量のデータを送りつけ、ネットワーク回線もしくはシステムを飽和させて利用不能にする攻撃のことだ。攻撃には、所有者の知らないうちに乗っ取られたアンダーグラウンドのコンピュータネットワークが利用されることが多い。

 インターネットに公開していれば、あらゆるWebサイトが標的になり得るため、企業にとっても対策が必須となる。ECサイトなどを運営している企業にとっては、DDoS攻撃によってサイトがダウンしたら、ビジネスそのものが止まってしまう。サイトダウン後に、さらに別の攻撃が実施されサイト改ざんや情報漏えいの2次被害が発生することが増えている。

 さらに最近は、「ランサム攻撃」と呼ばれる新しい攻撃も登場している。これは、標的サイトに小規模なDDoS攻撃を仕掛け、その後「被害を拡大されたくなければ…」などと金銭を要求する脅迫の一種である。

photo
ライムライト・ネットワークス・ジャパン
SEリーダー
加藤 久雄氏

 ライムライト・ネットワークス・ジャパンのSEリーダー 加藤 久雄氏は、「いまや、DDoS攻撃対策は、企業が最優先で取り組むべき課題となっています」と、次のように説明する。

「従来型のセキュリティ対策は、企業のデータセンターの手前にファイアウォールを置き、IPS/IDS、WAFを設置し、その後ろにWebサーバやDBサーバを置いて保護してきました。ところが最近は、インターネットとデータセンターをつなぐ回線を狙う『回線飽和型』と呼ばれる大規模なDDoS攻撃が増えています。従来型のセキュリティに到達する前に回線が壊されるため、対応のしようがないのが実態です。さらに、DDoS攻撃でWAFを輻輳させ、フェールソフト機能を働かせてWAFを無効化した上で、その背後のサーバを攻撃する複合的な攻撃も増えています」(加藤氏)

画像
回線飽和型の攻撃に対して、従来型のセキュリティ対策は効果がない

 では、こうしたDDoS攻撃に、企業はどう対応すべきなのか。その決定打となりうるソリューションが、従来、セキュリティとはあまり関係ないと思われていたCDN(Content Delivery Network)ベンダーから提供された。それが、ライムライト・ネットワークスの「DDoS Attack Interceptor」である。

世界最大規模のプライベートネットワークをバリアとして活用

 ライムライト・ネットワークスは、2001年設立の米国のCDNベンダーである。同社の最大の特徴は、世界最大規模のプライベートネットワークを持っていることだ。

「コンテンツオーナーからコンテンツを受け取るところ、エンドユーザーにコンテンツを届けるところだけはインターネットを使いますが、それ以外はすべて世界中に張り巡らされた弊社のプライベートネットワークを利用します。数多くあるCDNベンダーでも、弊社のような大規模なプライベートネットワークを持っているところは、ほとんどありません。いわば、インターネット上にプライベートの高速道路を持っていると考えていただければよいと思います」(加藤氏)

 同社が、このプライベートネットワークを使って提供しているのが、動画をはじめとする大容量コンテンツ、モバイルデバイス向けのデータ配信などを高速化するCDNサービスだ。世界中に張り巡らされた同社のネットワーク上の配信拠点にコンテンツをキャッシュし、ユーザーに近い拠点からコンテンツを配信することで高速化する仕組みだ。

 そして、同社が、このプライベートネットワークを使って新たに提供を開始したのが、DDoS対策のソリューション「DDoS Attack Interceptor」である。このソリューションを利用すると、最も大規模なDDoS攻撃であっても、同社のプライベートネットワークで分散・吸収することができる。もともとCDN用に構築された世界規模のプライベートネットワークが、DDoS攻撃を分散・吸収し、無力化させる強力なバリアとなるのである。

画像
DDoS Attack Interceptorは、CDNの特性を活かして大規模で複雑なDDoSを防御できる、包括的なマルチレイヤーのセキュリティソリューションだ

回線飽和型のDDoS攻撃を防ぎ、DNS設定を変更するだけで利用可能

 DDoS Attack Interceptorの最大の特長は、従来のセキュリティ対策では対応が困難な回線飽和型の大規模DDoS攻撃にも対応できることだ。ライムライト・ネットワークス・ジャパンのソリューションエンジニア 荒井 健太郎氏は、その特徴を次のように説明する。

photo
ライムライト・ネットワークス・ジャパン
ソリューションエンジニア
荒井 健太郎氏

「DDoS攻撃には、HTTP FloodやUDP Floodなどのさまざまな種類があります。こうした攻撃を、プライベートネットワーク内のロードバランシングやサービス制御、キャッシュなどの多層のレイヤーで防御します。通常の攻撃はこれで守れますが、大規模な攻撃に対しては、『スクラビングセンター』を利用します。攻撃が確認されるとすべてのトラフィックをスクラビングセンター経由に切り替え、DDoS攻撃パケットと正規パケットを分けて、正常なパケットだけをプライベートネットワークに通すことで、回線飽和型の攻撃を防ぎます」(荒井氏)

 DDoS Attack Interceptorには、パフォーマンスの劣化が少ないという特徴もある。まず、監視については、CDNを経由するパケットをミラーして監視するため、パフォーマンスの劣化はゼロだ。攻撃を防御するときはトラフィックそのものに制限をかけるため、ある程度の劣化は起きるが、それでも、もともとコンテンツ配信を高速化するCDNを利用するため、利用方法によっては、パフォーマンスが向上する可能性すらあるという。

 導入が簡単なのも大きな特徴だ、具体的には、既存のセキュリティ対策はそのままで、公開サーバのDNS設定を変更するだけで導入できる。新たなハードウェアを追加したりシステムを変更したりする必要はない。

 ただ、気になるのはコストだ。DDoS攻撃では膨大なトラフィックが押し寄せるため、料金体系によっては、防御はできても料金が高額になる可能性があるが、「DDoS Attack Interceptorでは、正常なトラフィックだけに課金しますので、その点は心配ありません」(荒井氏)とのことなので、安心してよいだろう。

画像
DDoS Attack Interceptorの特長は大きく分けて4つある

従来型のセキュリティ対策に追加することで、DDoS対策の切り札となり得る

 DDoS Attack Interceptorは、すでにグローバルで活躍する大手企業を中心に導入が進んでいる。複数の国をまたいでWebサイトを展開したり、コンテンツを提供したりするグローバル企業にとって、DDoS Attack InterceptorはDDoS対策の切り札となるソリューションだ。

 もちろん、国内でECサイトを展開している企業、通常のコーポレートサイトを運用している一般企業、クラウドサービス事業者等も、DDoS攻撃と無縁ではない。Webサイトを公開しているすべての企業は、例外なくDDoS攻撃のターゲットになり得るのである。

 しかし、従来のセキュリティ対策にDDoS Attack Interceptorを追加すれば、DDoS攻撃を恐れる必要はなくなる。仮に攻撃が行われても、その攻撃はCDNのネットワークに分散・吸収され、サーバまでは到達しない。

「現在のテクノロジーでDDoS攻撃に対抗しようとしたら、クラウドを使うしかありません。では、どのようなクラウドサービスを使うかですが、DDoS攻撃に有効な大規模なプライベートネットワークを持ち、キャッシュレイヤーを持っている弊社のような事業者は、非常に少ないのが現状です。さらに、DNS設定を変更するだけでスクラビングセンターを利用できるのもメリットです。ぜひ、DDoS対策の切り札として、DDoS Attack Interceptorをご利用いただければと思います」(荒井氏)

 CDNベンダーとセキュリティ対策は、これまで結びつけて考えることがあまりなかったはずだ。しかし、従来のセキュリティベンダーでは難しい対策が、CDNベンダーで可能になることもある。世界最大規模のCDNネットワークがDDoS攻撃への強力な防衛網になることは、本記事でご理解いただけたと思う。ぜひ、視野を広く持って、DDoS対策の切り札となりうるDDoS Attack Interceptorに注目していただきたい。


ライムライトが製作した 「デジタルコンテンツを守るための10の方法」
▼ホワイトペーパーダウンロードはこちら
http://delivers.limelight.com/JPSecurity

photo

会社情報
ライムライト・ネットワークス・ジャパン株式会社
URL: https://jp.limelight.com/
TEL: 03-5771-4230
所在地:  東京都港区北青山2丁目7番28号 NAビルディング 2F
事業内容: インターネットによるデジタルコンテンツ配信のためのソリューションの提供、サービス導入に関連するコンサルティングサービス

関連タグ

関連コンテンツ

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます