日商エレクトロニクス
ネットワーク＆
セキュリティ事業本部
門馬崇氏

アーバーネットワークス
SEマネージャ
佐々木崇氏
　

　企業のサービスを停止させることを目的とするDDoS攻撃と言えば、大量のアクセスで回線やサーバをパンクさせる「ボリューム攻撃」を思い浮かべる人が多いだろう。現に、そうしたボリューム攻撃対策として、キャリアやISPが提供するDDoS対策サービスに申し込んでいる企業が目立つ。

　ところが実際には、「日本へ向けられたDDoS攻撃の大半が数Gbps未満の攻撃です」。こう述べるのは、DDoS対策機器市場で世界シェアトップのアーバーネットワークス（以下、アーバー）において、SEマネージャーを務める佐々木崇氏だ。

　企業のシステム担当者は、「キャリアやISPなどのDDoS対策サービスに加入し、全てのDDoS対策が完了したと考えているかもしれない。

　しかし、DDoS攻撃には、数Gbpsの比較的少ないトラフィックでありながら、非常にインパクトのある攻撃を仕掛け、サービスをダウンさせてしまうアプリケーション層攻撃がある。

　こうした巧妙な攻撃が年々増加しているため、本気でDDoS攻撃から自社のシステムを守りたいのであれば、「ボリューム攻撃とアプリケーション層攻撃の2つを防御する“ハイブリッド”な対策が必須です」と日商エレクトロニクスの門馬崇氏は説明する。

ボリューム＆アプリ層攻撃を適材適所で効果的に緩和

　アーバーのソリューションは、世界のTier 1サービスプロバイダの90%以上に採用されている。キャリアやISPなどの通信事業者は、ルータのフロー情報を収集し、トラフィックを可視化し、DDoS対策を実施している。DDoS攻撃を検知した場合は、緩和装置にて攻撃を緩和する。

　アーバーの「ARBOR Networks SP」や「ARBOR Networks TMS」は、これら通信キャリアやISPが提供するDDoS対策サービスに利用されている（図表1）。

図表1　ハイブリッドで実装するDDoS対策のイメージ

　ハイブリッドなDDoS対策におけるボリューム攻撃対策としては、まず、こうしたDDoS対策サービスを活用し、通信事業者の回線上で対策をとることを推奨する。

　次に、ボリューム攻撃対策をすり抜けてきたアプリケーション層攻撃の脅威に対しては、「企業ネットワークの全通信をチェックする、インライン型のDDoS対策製品が有効」と、佐々木氏は言う。

　大容量の回線を管理する通信事業者にとって、数Gbpsのアプリケーション層攻撃は正常通信の範囲内だ。また、アプリケーション層攻撃は正常な通信を偽装していることもあり、企業ネットワークまで到達してしまうケースが多い。アプリケーション層攻撃から自社のシステムを守るために、企業やデータセンター事業者は、DDoS攻撃を検知・防御する機器「ARBOR Networks APS」を、通信事業者のネットワークと自社ネットワークの間にインラインで設置し、全てのトラフィックを精査する必要がある。

　「インターネットに最も近いところにAPSを置くことで、それより内側にあるファイアウォールやIPS、ロードバランサ、DNSサーバ、Webサーバ、業務サーバなどのシステムを守ることが可能です」（佐々木氏）

　なお、APSは仮想サーバにインストールするソフトウエアとしても提供されている。保護対象のシステムがクラウドにある場合でも、仮想サーバ上でAPSを稼働させることができる。

　このように、ボリューム攻撃は通信事業者の回線上で、アプリケーション層攻撃は企業ネットワークの入り口で防御する。そうしたハイブリッドなDDoS対策が効果的だ。

シグナリング機能で負荷軽減　容易な操作性も防御のポイント

　ところで、アプリケーション層対策として企業ネットワークの入り口に設置するAPSには、アーバーならではの機能がある。それは、多くの通信事業者が利用しているARBOR Networks SP/TMSとクラウドシグナリングで連携する機能だ。

　比較的トラフィック量の少ないアプリケーション層攻撃といっても、たくさんのソースから同時に攻撃を仕掛けられれば、企業ネットワークの回線容量や処理能力を超えたボリュームの攻撃になる可能性がある。そうした時、APSからSP/TMSに該当する通信を緩和するようシグナルを投げて処理してもらうことで、企業側の負荷を軽減する。

　もし、自社が契約している通信事業者が、SP/TMSによるクラウドシグナリングのサービスを提供していない場合は、アーバーが提供するクラウドサービス「ARBOR Cloud」を契約すれば、同様の機能が利用可能だ。

　その他、使い勝手の良さもAPSの特長として挙げられる。防御ツールの操作が難しいと、DDoS攻撃が来た時、操作に手こずっている間にサービス停止に追い込まれてしまう可能性がある。だが、APSでは、直感的な操作性を追求した日本語のGUIで、簡単に防御レベルを上げられるという。

　具体的には、APSはDDoS攻撃を判別するためのルールを豊富に実装している。DDoS攻撃を緩和するための閾値はLow/Medium/Highと3段階であらかじめ用意されている。「例えば、通常はLowに設定しているものを、複雑なDDoS攻撃が来たときにMediumやHighへワンクリックで変更することで、簡単に攻撃を緩和できます」（門馬氏）

DDoS対策は運用が決め手　日商エレはアナリストがアドバイス

　さらに、APSを日商エレクトロニクスが提供するからこそのメリットがある。それは、APS製品の「マネージドセキュリティサービス（MSS）」を併せて提案できることだ（図表2）。

図表2　マネージドセキュリティサービス（MSS）

　DDoS対策では運用が非常に重要なポイントになる。なぜならDDoS攻撃と判断するためのルールを正しく理解し、運用の中で適切な閾値や防御手法を設定することが求められるからだ。

　その点、MSSを利用すれば、セキュリティ担当のオペレータが監視センターからリモートでAPSにログインし、トラフィックの状況を24時間365日監視する。仮に、企業のネットワークに異常が発生すればセキュリティアナリストにエスカレーションし、アナリストはインシデントを分析し、DDoS攻撃の状況をシステム担当者に通知する。

　また、月次レポートでは、「御社のポリシーをこのように変更すれば、より効果的にDDoS攻撃を防ぐことができます」といったアドバイスをアナリストが提供する。

　ハイブリッドなDDoS対策とセキュリティアナリストによるサポートがあれば、これから増加が見込まれるDDoS攻撃の脅威に自信を持って立ち向かえそうだ。

ホワイトペーパーダウンロード

ARBOR Networks社のセキュリティレポート ～傾向にみるハイブリッドDDoS対策の必要性～ サイバー攻撃の脅威が連日ニュースになっておりますが、その中でも注目されているのがDDoS攻撃の脅威です。本ページでは世界シェアトップのArbor Networks社が毎年発表しているセキュリティレポートの最新版についてサマリーをご紹介を致します。