DDoS対策は“自前主義”ではなく、サービスプロバイダーに頼る
では、こうした大規模なDDoS攻撃からは、どのように身を守ればいいのだろうか。アカマイもアーバーもトラフィックが集中するサーバーの手前で止めるのは適切ではないという基本的な考え方は共通している。
アーバーが推奨するのは、通信事業者/ISPなどのサービスプロバイダーが提供するDDoS攻撃対策サービスの活用である。ネットワークの“上流”で止めるという考え方である。
図表2は、アーバーのDDoS攻撃対策技術を採用しているKDDIのサービス概要だが、主要な通信事業者/ISPの多くがDDoS攻撃対策サービスを提供している。
| 図表2 「KDDI DDoS対策サービス」のイメージ図 |
 |
| DDoS攻撃をKDDIのバックボーン側で防御することが可能。レイヤ3/4だけではなく、レイヤ7のアプリケーションレイヤの攻撃も防げる。また、マルウェアに感染してDDoS攻撃の加担している不正なトラフィックの検知機能、ラック社による緊急駆けつけサービス(オプション)もある |
| (出典:KDDI資料をベースに編集部作成) |
なぜ自前で対策を行うより、通信事業者/ISPなどのDDoS攻撃対策サービスを活用したほうが良いかといえば、それはサーバーの手前で大規模なDDoS攻撃を止めようと考えても、前述の通り、その前に回線がパンクしてしまうためだ。また、仮に回線は大丈夫だったとしても、大規模なDDoS攻撃に対抗できるハードウェアを自前で用意するには多大なコストが必要になる。
ならばユーザー企業と比べてはるかに太いバックボーン回線と強力なDDoS対策装置を有する通信事業者/ISPに任したほうが明らかに賢明である。
実際、DDoS対策の主流はこうしたサービス型となっており、このためDDoS対策ソリューション市場で世界シェア1位であるアーバーの売上も、大部分がサービスプロバイダー向けとなっているそうだ。
DDoS攻撃では、大量の接続要求を送りつける「SYN Flood攻撃」や大量のUDPパケットを送りつける「UDP Flood攻撃」など、Flood=洪水のたとえがよく用いられる。このたとえに倣えば、通信事業者/ISPのDDoS対策サービスでは、上流に最新鋭の巨大ダムを設置し、下流にあるユーザー企業のサーバーを守っているということもできるだろう。
これに対して、まったく別のアプローチを採るのがアカマイのDDoS対策サービス「KONA Site Defender」だ。アカマイの場合は、インターネットの“入口”に置かれた10万8000台以上のサーバーで分散防御を行う。
アカマイは全インターネットトラフィックの25~30%を運ぶ世界最大のCDN(Contents Delivery Network)事業者だが、その高速ネットワークの土台となっているのが世界各地に10万8000台以上設置されたアカマイサーバーである。アカマイでは、この10万8000台以上のサーバーを活用してDDoS対策を行っているのだ(図表3)。
| 図表3 アカマイの「KONA Site Defender」のイメージ図 |
 |
| インターネットのエッジ側に配置された10万8000台以上のアカマイサーバーにより実現されているDDoS対策サービス「KONA Site Defender」。レイヤ3/4のDDoS攻撃については各アカマイサーバーがそのまま吸収、あるいはレスポンスを返すことで、オリジナルのWebサーバーに被害を及ぼさない。また、レイヤ7の攻撃に対しては、アカマイサーバー上のWAFが対処する |
| (出典:アカマイ・テクノロジーズ) |
DDoS攻撃が大規模な攻撃を繰り出せるのは、大量のコンピュータが一斉に攻撃を仕掛けてくるからだ。逆にいえば、1台1台の攻撃はそれほどの脅威ではない。「分散型の攻撃に対して、対策も分散型で実施する。世界10万8000台のDDoS対策装置を購入すると考えてほしい」とアカマイ・テクノロジーズ プロダクト本部 プロダクト・マネージャーの松原達也氏は説明する。インターネットの入口で、DDoS攻撃が“洪水”となる前に無力化してしまうのがアカマイのソリューションである。
アプリケーションレイヤへの攻撃にも注意
もう1つDDoS攻撃について押さえておきたいのは、レイヤ3/4のネットワークレイヤを狙ったボリューム型の攻撃だけではなく、レイヤ7などのアプリケーションレイヤに対する攻撃も増えていることだ。前者がネットワーク回線を埋める攻撃なのに対し、後者はサーバーを潰す攻撃といえる。
「しかも最近の攻撃は非常に巧妙で、この2つのタイプを組み合わせた攻撃が行われているが、アカマイのKONA Site Defenderはそれらにも対処できる機能を具備している」(アカマイのエリス氏)。
アーバーネットワークスのサービスプロバイダー向けDDoS攻撃対策ソリューション「Arbor Peakflow SP/TMS(スレッドマネジメントシステム)」も、ネットワークレイヤを狙ったボリューム型の攻撃とアプリケーションレイヤに対する攻撃の両方を防御できる。「両方に関して対策を施さなければ、DDoS攻撃は防げない」(アーバーの金子高之氏)。
また、アプリケーションレイヤに対する攻撃としては、HTTPをターゲットにしたものが多いが、最近ではHTTPSやDNS、SSLを狙った攻撃も増加してきている。
DDoS対策ソリューションを選択するうえでは、これら最新の攻撃手法も含めて、トータルに防げるかどうかを確認することも大切なポイントになる。
| >>この記事の読者におすすめのコンテンツ | ||
|
||
|
