次世代サービスプロバイダーサミット 2018 講演レポートDDoS攻撃も標的型攻撃もネットワークエッジで防御──アーバーネットワークス佐々木氏が講演

セキュリティの脅威は、年々多様化している。そこで企業は、様々な攻撃を想定して複数の防御ソリューションを使い分けるなど、煩雑な対策を強いられている。こうしたなか、「どこで防御するのが効果的か?」という視点から、DDoS攻撃と標的型攻撃に対する防御機能を1つに統合提供するのが、アーバーネットワークスの「Arbor Edge Defence(AED)」だ。

「常に世界のどこかでDDoS攻撃が起きている」

アーバーネットワークス SEマネージャー&エヴァンジェリストの佐々木崇氏は、「次世代サービスプロバイダーサミット 2018」の講演で、企業のセキュリティ対策における課題として、まず昨今のDDoS攻撃の動向について説明した。

同社の統計データによれば、DDoS攻撃は全世界で月間約60万件、1分間に約14件発生している。

また、最大攻撃サイズは全世界で見ると500Gbps程度、日本向けの攻撃では100Gbps程度となっている。こうした大規模なボリューム型のDDoS攻撃に対して、アーバーネットワークスでは、世界十数カ所に分散設置されたスクラビングセンターで防御するクラウド型の「Arbor Cloud」サービスを提供している。

アーバーネットワークス SEマネージャー&エヴァンジェリスト 佐々木崇氏

一方で、攻撃サイズの小さいDDoS攻撃もあり、むしろ発生件数では20Gbps以下の攻撃がDDoS攻撃全体の99.7%を占めているという。こうした攻撃の例として挙げられるのが、HTTP/HTTPS、DNSクエリなどの「アプリケーション層」への攻撃だ。これはボリューム型攻撃のように帯域幅を飽和状態にするのではなく、特定のリクエストなどを利用して直接サーバーに負荷をかけてリソースを消費し、パフォーマンスを低下させたり、正常な処理を妨害したりする。基本的に正規の通信手順を踏んでおり、攻撃数も数千から数万と少ないため、なかなか攻撃に気づきにくいという特徴がある。

トラフィックの少ないアプリケーション層攻撃を検知・防御するには、エンドユーザーのアクセスリンクの全通信をモニタリングできるように、専用のアプライアンスなどを企業ネットワークとインターネットの境界であるネットワークエッジに設置するのが望ましいと佐々木氏は言う。また、「エッジ」という通り、ファイアウォール(以下FW)やIPSのさらに外側(上流)に配置することが重要だと補足する。

「DDoS防御機能を持つFWやIPSもあるが、コネクションテーブルやセッションテーブルを持つアーキテクチャでは、SYNフラッド攻撃などでテーブルが埋まってしまうケースもある。そうなると本来のFWやIPSとしての機能を動作させることも難しいので、DDoS攻撃はそれらの上流で防御できるように設計するべき」

なお、ネットワークエッジでアプリケーション層攻撃を防御する製品として、アーバーネットワークスではかねてより「Arbor APS」を提供。幅広いユーザーに支持されている。

続きのページは、会員の方のみ閲覧していただけます。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。