ネットスカウトシステムズ ハイブリッドDDoS防御ソリューション NWを隅々まで可視化してDDoS対策 ボリューム型もL7への攻撃も防ぎ切る!

ネットスカウトシステムズは、世界最大級のモニタリングシステム「ATLAS」による情報収集能力と技術力で世界中のDDoS攻撃を防ぎ続けている。近年はDDoS攻撃対策だけではなく、同社製品をネットワーク可視化に活用し、新たなビジネスにつなげる通信事業者も増えてきた。
(左から)ネットスカウトシステムズ セールスディレクターの石田真氏、シニアシステムズエンジニアの藤原哲士氏

(左から)ネットスカウトシステムズ セールスディレクターの石田真氏、シニアシステムズエンジニアの藤原哲士氏

 歴史を振り返ると、DDoS攻撃対策が始まったのは1999年。米国防省がいち早くその脅威を予測していた。

 そこで、DDoS攻撃に対抗するために始まったのが「ライトハウスプロジェクト」だ。米国防省内の機関である米国防高等研究計画局(DARPA)とミシガン大学が協力してスタート。トラフィックを可視化することで、ネットワークの狙われているポイントを特定して防御する試みだ。同プロジェクトはDARPAの最も優れた10のプロジェクト「DARPA Best 10 Project」に選ばれ、「Google Maps」「Siri」「UNIX」などと並び高い評価を受けている。

 ライトハウスプロジェクトの成果が技術基盤となり、創業したのがアーバーネットワークスである。創業後は市場をリードし続け、今では世界のDDoS攻撃対策ソリューションで6割を超えるシェアを持つ。なお、2015年に米ネットスカウトシステムズが買収し、現在はブランドのみの展開となっている。

 特筆すべきは、世界中の通信事業者/ISPがこぞってネットスカウトを採用していることだ。AT&T、Verizon、チャイナテレコム、Orangeなどで導入されており、Tier1サービスプロパイダーの9割以上が同社製品を利用している。

インターネットの約4割を解析 最新の脅威情報を製品に反映


 もちろん、ここまで支持されるのには理由がある。「ネットスカウトの製品でDDoS攻撃を防げなかった、というクレームは今まで一度も受けておりません。完璧なソリューションを持っているのが我々の強みです」とネットスカウトシステムズの藤原哲士氏は胸を張る。

 大きな武器となっているのが、グローバルに脅威情報を解析する「ATLAS(Active Threat Level Analysis System)」というモニタリングシステムだ(図表1)。

図表1 モニタリングシステム「ATLAS」のイメージ

図表1 モニタリングシステム「ATLAS」のイメージ
画像をクリックして拡大

 ATLASは、ISPなどが利用している同社製品から、匿名化したトラフィックのデータを収集している。グローバルで約400社と協力関係にあり、その情報量は140Tbpsと世界最大級。実にインターネットトラフィックの約4割に相当する。

 さらに世界中のダークネットに設置したハニーポットや、20以上のパートナーからマルウェア情報を収集。ATLASで収集したデータと併せて同社の脅威研究チーム「ASERT」が分析する。2016年から猛威を振るっているIoTマルウェアのMiraiを最初に発見したのもASERTだ。

検知から防御もワンストップで 最大11Tbpsのクラウドソリューション


 ネットスカウトは大きく4つのDDoS対策ソリューションを用意している(図表2)。1つは可視化装置の「Arbor Sightline」だ。いわゆるフローコレクターと呼ばれる製品で、NetFlowなどの統計情報をルーターから収集し、グラフ化して可視化できる。フローを監視することで、急激にトラフィックが増加するといったDDoS攻撃及びその予兆を検知する。

図表2 ハイブリッドDDoS防御ソリューション

図表2 ハイブリッドDDoS防御ソリューション

 2つめは「Arbor TMS」だ。1台で最大400Gbpsの処理能力を誇るミティゲーション(緩和)装置である。ネットワーク帯域幅を枯渇させる「ボリューム型攻撃」、サーバリソースを枯渇させる「アプリケーション攻撃」などの攻撃トラフィックをクリーンにする。「ISPでは、Arbor Sightlineでまず可視化してから、Arbor TMSの導入を検討するケースが多いです」とネットスカウトシステムズの石田真氏は解説する。

 近年では、11Tbpsのミティゲーションが可能な「Arbor Cloud」のユーザーも増えているという。攻撃を受けているサーバーへのトラフィックをクラウドに引き込み、悪質なトラフィックを除去してからネットワークに戻すソリューションだ。観測史上最大のDDoS攻撃が1.7Tbpsであることを考えると、防げないボリューム型攻撃はないといえる。

アプリケーションアタックはネットワークエッジで防御


 「Arbor Edge Defense(AED)」はアプリケーション層などを狙った高度な攻撃への保護機能を提供する。その特徴はATLASなどと連携し、外部からの攻撃だけではなく、内部に存在する脅威を防げることだ。

 例えば、内部からのC&Cサーバーへの通信なども検知して、万が一マルウェアに感染しても情報の流出を防げる。しかも、AEDは通信のコネクション/セッション状態を保持しない独自エンジンを搭載している。これら一連の機能を、通信速度を維持したまま処理が可能だ。「DNSサーバーなど、絶対に落としてはいけない製品の前段に置かれています」(石田氏)。

 また、藤原氏は「ネットスカウトなら、ワンストップで検知から防御が可能です。他社と比べて製品同士の連携が得意で、一括で管理しやすいところも世界中のISPに評価されています」と強みを語る。

フローコレクターでOTTも可視化 新規ビジネス機会を創出


 このように様々なDDoS攻撃対策を提供するネットスカウトだが、最近では別の視点からも引き合いが増えている。「日々の営業活動ではArbor Sightlineの新機能『OTT Visibility』に注目する企業も多いです」(石田氏)。

 OTT Visibilityとはその名の通り、どんなOTTのサービスが使われているかを可視化する装置。トラフィックからユーザーの利用しているアプリケーションなどが分かる。

 「従来は高価なDPI装置が必要でした。Arbor Sightlineならばより安価にOTTを可視化できます」と藤原氏は強調する。

 この機能に注目が集まっているのは、新たなビジネスチャンスにつながるからだ。例えば、ある海外のISPでは、Sightlineでトラフィックを分析したところ、NetflixやYouTubeを使っているユーザーが多いと分かった。そこで、NetflixやYouTubeの使い放題プランを打ち出し、新規顧客の獲得などにつなげたという。

 他にもArbor Sightlineは、ISPが持つAS(Autonomous System)同士の通信トラフィック量も可視化できる。レポーティング機能もあり、トランジットコスト削減につながるという。

 「我々の最大の強みは可視化機能とその実績です」と石田氏。起業原点がトラフィックの可視化プロジェクトだった同社だけに、並々ならぬこだわりを持っている。

 「ネットスカウトの製品はすべて仮想版があり、サーバーをお持ちのお客様はより低コストで利用できます。今後、度重なる国際的なイベントに向けて、まずは可視化に取り組むことをお勧めします」(石田氏)。

page top
お問い合わせ先
ネットスカウトシステムズ
URL:http://jp.arbornetworks.com
TEL:03-3525-8040
E-mail:japan@arbor.net