アカマイ・テクノロジーズ KONA Site Defender 10万8000台超のサーバーが分散防御! アカマイだからできる革新的DDoS対策とは?

「もちろんDDoS攻撃対策はやっています」――。そう答えたあなたの会社のWebサイトは、DDoS攻撃に本当に耐えられるのだろうか? 分散型の攻撃手法であるDDoSから企業の“生命線”であるWebサイトを守るには、世界10万8000台以上のサーバーで分散防御するアカマイのKONA Site Defenderが不可欠だ。
松原達也氏

アカマイ・テクノロジーズ
プロダクト本部
プロダクト・マネージャー
松原達也氏

ジョン・エリス氏

米アカマイ・テクノロジーズ
エンタープライズ
セキュリティディレクター
ジョン・エリス氏

 「企業は、DDoS攻撃が与えるダメージを過小評価しています」

 最近ますます猛威をふるうDDoS(Distributed Denial of Service:分散型サービス拒否)攻撃。企業のWebサーバー管理者やセキュリティ担当者にとって、DDoS攻撃対策は必須となっているが、米アカマイ・テクノロジーズでエンタープライズセキュリティディレクターを務めるジョン・エリス氏はそう指摘する。

 同氏の前職は、金融機関のセキュリティ担当。DDoS攻撃のおそろしさを実際に体験しているわけだが、彼のいう「過小評価」とは一体どういう意味だろうか。

3つのトレンドを背景に「大規模化」するDDoS攻撃


 エリス氏は最近のDDoS攻撃のトレンドとして次の3点を挙げる。まずは、DDoS攻撃ツールの入手が一般の人にも容易になっていることだ。このため「アノニマスのようなハクティビストの呼びかけに応じて、誰でも気軽に攻撃に参加できてしまいます」という。

 2番目は、ボットネットの増加である。「ソーシャルエンジニアリングの高度化により、ボットネット自体の数が非常に増えてきているのと同時に、そのボットネットを貸し出すビジネスも定着しています」

 そして3番目は、DDoS攻撃の担い手側の回線の広帯域化が進んだことで、1台のコンピュータで繰り出せるDDoS攻撃のボリュームが拡大していることである。

 これら3つのトレンドの結果、現在では大規模なDDoS攻撃を非常に容易に仕掛けることができる。過去にアカマイが検知した最大の攻撃はなんと146Gbpsだ。

 「10万台規模のボットネットなら、60Gbpsクラスの攻撃を作り出すことができます。それに対して、企業が用意している回線の帯域幅はどれくらいでしょうか。どんなにキャパシティの大きいファイアウォールを用意しても、その前に回線がパンクしてしまいますから、ファイアウォールなどでこうした大規模なDDoS攻撃を防ぐことはできません。このことに気付いていない企業は数多く存在します」(エリス氏)

 「日本企業においても、DDoS攻撃対策を『しているつもりになっている』だけのケースが少なくありません」とアカマイ日本法人のプロダクト・マネージャーである松原達也氏も警鐘を鳴らす。

 では、どうすればDDoS攻撃を本当に防ぐことができるのか。そのカギは、“1対多”から“多対多”の戦いへのシフトである。

「分散型の攻撃には、分散型の防御を」


 DDoS攻撃とは、不特定多数のコンピュータから1カ所にある特定のWebサーバーに対して、パケットを一斉に投げつける攻撃である。狙われた企業は、“1対多”の戦いを強いられるわけだが、この攻防の構図をドラスティックに変えてしまったのが、アカマイのDDoS攻撃対策ソリューション「KONA Site Defender」だ。

 ご存知の通り、アカマイは世界最大手のCDN(Contents Delivery Network)事業者。実に全インターネットトラフィックの25〜30%をアカマイの高速ネットワークが運んでいるが、その礎となっているのが世界中に10万8000台以上置かれたアカマイサーバーだ。KONA Site Defenderはこの10万8000台以上のサーバーを活用し、DDoS攻撃を“無力化”する。

図表 分散型のDDoS攻撃対策ソリューション「KONA Site Defender」

図表 分散型のDDoS攻撃対策ソリューション「KONA Site Defender」

 DDoS攻撃は、回線をあふれさせるレイヤ3/4の攻撃と、アプリケーション層を狙ったレイヤ7の攻撃に大きく分類できる。KONA Site Defenderは、前者に関して何も特別なことはしない。世界10万8000台以上のアカマイサーバーがDDoS攻撃をそのまま吸収、あるいはレスポンスを返してしまうのだ。また、後者については、アカマイサーバー上のWAF(Webアプリケーションファイアウォール)が対処する。

 1台で繰り出せる攻撃の規模はそれほどでなくても、分散した大量のコンピュータが攻撃参加することで大きな脅威となるのがDDoS攻撃だ。ところが、KONA Site Defenderなら、世界中に分散した10万8000台以上のサーバーが“代理”で攻撃を引き受けるため、びくともしないのである。

 「世界10万8000台以上のDDoS攻撃対策装置を買ったのだと考えてください。我々が“オリジン”と呼ぶ企業のWebサーバーにDDoS攻撃は届きません」(松原氏)

 なお、アカマイがこれまで確認した最大のDDoS攻撃は146Gbpsと紹介したが、これはホワイトハウスを狙った攻撃だったという。そして、その攻撃をしっかりと阻止したのもアカマイだった。

 分散型の攻撃には、分散型の防御を――。世界に10万8000台以上のサーバーを有するアカマイだからこそ実現できた革新的なDDoS攻撃対策ソリューションがKONA Site Defenderなのである。

Webサイトのパフォーマンスも向上


 企業のIT・ネットワーク資産に到達する前にDDoS攻撃を止める方法としては、ISPが提供するDDoS攻撃防止サービスもある。こうしたサービスと比較したメリットは、アーキテクチャそのものの違いによる防御力の圧倒的な差だけではない。

 例えば、正規のパケットをDDoS攻撃と誤認知してしまうリスクがない。DDoS攻撃は、正常なパケットを大量に送りつける攻撃だ。そのため攻撃か否かの判定が非常に難しく、通常のDDoS攻撃対策では正規のユーザーのパケットも落としてしまうリスクがどうしてもある。だが、KONA Site Defenderの場合、すべてのリクエストに応えてしまうのだから、そうした心配は無用だ。

 また、パフォーマンスを犠牲にすることもない。なぜならアカマイサーバー上で、パフォーマンス向上機能も稼動しているためだ。「前職の金融業界は、0.1秒の遅延が大きな問題になる世界です。セキュリティとパフォーマンスのどちらを優先させるのか、常にそのトレードオフに頭を悩ませていましたから、アカマイのソリューションを見つけたときには喜んだものです」(エリス氏)。

 さらに、ユーザーに一番近い場所にあるアカマイサーバーがキャッシュされたコンテンツを返すため、KONA Site Defenderの導入によって、Webサイトの表示も高速化される副次的な効果もある。

 セキュリティ対策が不十分な企業は多いが、「Webが企業の“生命線”である現在、適切な対策をしている企業としていない企業では、競争力に大きな差が生まれる」とエリス氏は説く。攻撃に遭ってもまったく動じない企業がある一方で、ビジネス活動がストップし、ブランドイメージも落としてしまう企業もあるからだ。「セキュリティ対策は、企業価値を高める手段なのです」と同氏は力強く訴えた。

ホワイトペーパーダウンロード
ホワイトペーパーダウンロード アカマイレポート
「インターネットの現状(SOTI:The State of the Internet)」


このレポートには、アカマイの世界規模のサーバーネットワーク上の攻撃トラフィック、平均および最大の接続速度、インターネットの普及状況、ブロードバンド普及率、モバイル使用に関して収集されたデータのほか、インターネットの最新のトレンド情報が含まれています。

ホワイトペーパーダウンロードはこちら
page top
お問い合わせ先
アカマイ・テクノロジーズ合同会社
URL:http://www.akamai.co.jp/