アーバーネットワークス Arbor Peakflow SP/TMS あらゆる企業がDDoS攻撃で狙われる時代 No.1ベンダーの答えは「上流で止めろ!」

「アノニマス」などのハクティビズムの台頭によって、あらゆる企業がDDoS攻撃の脅威にさらされている。Webサイトを守るため、企業やサービスプロバイダーが今すぐにしなければならないこととは何か。DDoS攻撃対策のシェアNo.1ベンダーであるアーバーネットワークスが最適な解決策を提示する。
佐々木崇氏

アーバーネットワークス
SEマネージャ
佐々木崇氏

金子高之氏

アーバーネットワークス
セールスダイレクター
金子高之氏

 企業がビジネス活動していくうえで、Webサイトは不可欠な存在だ。Webサイトがサービス停止に追い込まれた事態を想像してみてほしい。売上機会の損失、顧客からの信用失墜、ブランドイメージの毀損など、被るダメージは計り知れないだろう。しかも残念なことに、今やこのリスクは“想定外”とは言えなくなっている。

 一般の企業のWebサイトが突如、DDoS攻撃にさらされるケースが最近頻発しているからだ。

 「以前はDDoS攻撃で狙われるWebサイトというとほぼ限られていました。ところが、政治・思想的な背景に基づいて攻撃を行う“ハクティビズム”や、虚無的な考えから破壊行為に及ぶ“バンダリズム”等の台頭によって、現在はある1つの発言や行動などをきっかけに、誰もが狙われかねない非常に危険な状況です。あらゆる企業が攻撃対象になる時代になったのです」

 こう解説するのは、アーバーネットワークスの佐々木崇氏だ。DDoS攻撃対策の専業ベンダーである同社は、約6割の世界シェアを有している(Infonetics Research社調べ)。
 
 では、「アノニマス」に代表されるハクティビズムなどの脅威からは、どう身を守るのが正解なのか。「DDoS攻撃は、ネットワークの“上流”で止めるのが基本です」(佐々木氏)というのがNo.1ベンダーの答えである。

KDDIなど世界中のISPが採用


 DDoS(Distributed Denial of Service)攻撃とは、数多くのコンピュータから大量のパケットを送りつけ、Webサイトをサービス停止に追い込む攻撃手法のことだ。そのため“下流”――Webサーバーの手前で防ごうと思っても、実際に攻撃を受けたときには、契約する回線の帯域幅やファイアウォール/IPSなどの処理能力を超えたパケットが洪水のように押し寄せており、せき止められないケースが多い。10Gbpsを超える規模のDDoS攻撃も最近は稀ではないのだ。

 そこでDDoS攻撃対策の主流となっているのが、ISPが提供するマネージド型DDoS攻撃対策サービスの活用である。ネットワークの“上流”、すなわちISPが導入しているDDoS攻撃対策ソリューションによって、自社のWebサイトに届く前にDDoS攻撃を止めてしまうのである。

 ただ、ここで問題となるのが、ISPが採用するDDoS攻撃対策ソリューションの実力だ。ネットワークの上流で一手に攻撃を引き受けるのだから相当強力でなければならない。それで世界中の数多くのISPから選ばれているのが、アーバーネットワークスのサービスプロバイダー向けDDoS攻撃対策ソリューション「Arbor Peakflow SP/TMS(スレッドマネジメントシステム)」である。前述の通り世界最大のシェアを誇り、日本でもKDDIをはじめ数々の採用実績がある。

 PeakflowがDDoS攻撃を防ぐ仕組みはこうだ(図表)。まずトラフィック管理技術のNetFlowやsFlowを使ってネットワーク全体をモニタリングし、DDoS攻撃のおそれがあるトラフィックを検知。疑わしいトラフィックについては、DDoS攻撃のミティゲーション(緩和)デバイスであるTMSにいったん迂回させ、正規のトラフィックだけを戻す。

図表 Arbor Peakflow SP/TMSのシステム概要

図表 Arbor Peakflow SP/TMSのシステム概要

 Peakflowの特徴的な点の1つは、このミティゲーション(緩和)という考え方だ。「DDoS攻撃対策の目的は、WebサイトがDDoS攻撃に遭ってもサービスを継続できるようにすること。DDoSのパケットを1つ残らず止めることではありません。逆に言うと、DDoSのパケットが多少届いてもサービスが継続できれば、まったく問題ないのです」(佐々木氏)。

 ファイアウォールやIPSのようにすべてのトラフィックを精査するのではなく、緩和という方法論を取ることで、Peakflowは大規模なDDoS攻撃に効率的に対処できるのだ。また同時に、正規のトラフィックをDDoS攻撃と誤認するリスクもなくしている。さらにボリューム型の攻撃からアプリケーション層を狙った攻撃まで、あらゆるタイプのDDoS攻撃に対応していることも高く評価されているポイントの1つだ。

 なお、ミティゲーションデバイスのTMSは、1筐体当たり最大40GbpsのDDoS攻撃に対応可能。筐体数を増やすことで、より大規模なDDoS攻撃を防ぐことができる。

マルチテナント向けの機能が充実


 アーバーネットワークスの金子高之氏は、Peakflowが世界中のサービスプロバイダーから支持されている理由として、DDoS攻撃対策サービスの提供用に設計されている点も挙げる。

 「各ユーザー企業が個別に自社のトラフィックをモニタリングできるなど、マルチテナント用の機能が充実しており、DDoS攻撃の緩和前と後のトラフィックを比較して見せることも可能です。おそらく、ここまでできる製品はPeakflow以外にはないでしょう」

Pealflowのダッシュボード画面

Pealflowのダッシュボード画面

 「Clean Pipe」の実現も、サービスプロバイダーにとっては重要な価値となる。ISPからすれば、加入ユーザーの誰かがDDoS攻撃を受けているからといって、他のユーザーにまで悪影響を与えるわけにはいかないが、「ミティゲーションデバイスで浄化してから戻すことで、バックボーンネットワークをClean Pipe――きれいな状態に保つことができます」と金子氏は説明する。

 DDoS攻撃対策の基本はネットワークの上流で止めることだが、エッジ側でも自社運営で対策を施したいデータセンター事業者やクラウドサービス事業者、エンタープライズなどもいるだろう。そこでアーバーネットワークスでは、導入がより容易で最大10GbpsまでのDDoS攻撃に対応できるエッジ向けの「Arbor Pravail」も用意している。Pravailは上流に設置されたSP/TMSと連携することにより、より強固なDDoS防御が可能だ。

もはやWebサイトを無防備にはしておけない!


 金子氏によれば、日本のサービスプロバイダーや一般企業などにおけるDDoS攻撃対策の現状はまだまだ「発展途上」だという。しかし、あらゆる企業がDDoS攻撃の対象になる時代となった今、もはやWebサイトを無防備のままにしておくわけにはいかない。強力なDDoS攻撃対策なしでは、ビジネス活動の根幹を支えるWebサイトがいつ何時、サービス停止に追い込まれるか分からないからだ。

 そして、ISPをはじめとするサービスプロバイダーにとっても、DDoS攻撃対策No.1のアーバーネットワークスのソリューションを活用してユーザー企業に万全の防御策を提供することは、果たすべき責務となっているのである。

ホワイトペーパーダウンロード
ホワイトペーパーダウンロード SSLに対するDDoS攻撃:新旧の攻撃手法が混在、
SSLを使ったサイトもDDoS攻撃には無力


最近日本ではサイバー攻撃という言葉がメディアを賑わしております。そのような状況の中、サイトのセキュリティ向上の一つの手段としてSSLを採用している企業は多いのではないでしょうか? ここではSSLを利用したサイトでも、DDoS攻撃には無力であることを解説します。

ホワイトペーパーダウンロードはこちら
page top
お問い合わせ先
アーバーネットワークス株式会社
URL:http://www.arbornetworks.com/jp/