![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
DDoS攻撃はバックボーンとエッジで防ぐ! 多段の対策で強力な防御を実現
システムダウンやネットワークのパンクを引き起こし、組織に大きなダメージをもたらすDDoS攻撃。IIJでは、自社のバックボーンとユーザ宅内の2段階で検知・防御するDDoS対策サービスを提供する。専任エンジニアによる導入前・後の手厚いサポートも特長だ。
※株式会社リックテレコム「BUSINESS NETWORK」より転載
DDoS攻撃の脅威と広がり ― 企業や自治体を脅かす手法とは
「規模や業種を問わず、様々な企業がDDoS攻撃のターゲットになっています」。こう話すのは、インターネットイニシアティブ(IIJ) セキュリティ本部 セキュリティオペレーション部 データ分析課 データアナリストの本部栄成氏だ。
IIJでは、自社のSOC(Security Operation Center)で観測したDDoS攻撃等に関する情報を毎月レポートにまとめて公表している。その執筆を担当する本部氏によると、直近の2024年7月は1ヵ月間に計337件、1日あたり平均10.87件のDDoS攻撃が検出された。これまでに観測した攻撃では、企業のWebサービスやECサイト、官公庁や地方自治体のホームページなど幅広く攻撃対象となっているという。
DDoS攻撃は古くからあるサイバー攻撃の1つ。これまでに多様な攻撃手法が登場しているが、大きく2種類に分類される。大量のパケットを集中的に送り付けてネットワークの帯域幅をパンクさせる方法と、機器のCPU使用率やメモリを大量に消費させる目的の通信を意図的に発生させて、インフラリソースを枯渇させる方法だ。
「DDoS攻撃を強力に防御するには、バックボーン側とエッジ側の両方で対策を取ることが必要です」とIIJ セキュリティ本部 セキュリティビジネス開発部 企画開発2課 課長代行の中家航氏は強調する。
IIJはDDoS対策サービスとして、バックボーン側で防御する「IIJ DDoSプロテクションサービス」と、エッジ側で防御する「IIJ DDoSプロテクションサービス/エッジ」を提供している。単体での利用も可能だが、併せて導入することで、DDoS攻撃の規模や種類を問わず対応することができる。
図表1 DDoS攻撃の2種類の攻撃パターン
テラビット級の攻撃を検知・防御 ― 内部脅威の外部への拡散も防ぐ
IIJ DDoSプロテクションサービスは、DDoS攻撃がまだ珍しかった2005年から提供されてきた対策サービスの“老舗”だ。IIJが国内外に広く展開するインターネット接続サービスのバックボーンネットワークに、DDoS対策設備を分散配置する。
図表2 サービス全体像
「DDoS攻撃は海外から行われるケースが多いのですが、我々はアジアや北米、欧州の主要都市にもバックボーンネットワークを持っています。攻撃元からより近い場所で遮断することで、テラビット級の大規模なDDoS攻撃も検知・防御し、インターネット接続サービス配下のお客様システムを保護します」と中家氏は自信を見せる。
IIJ DDoSプロテクションサービスでは、ユーザ固有の通信傾向を学習し、通常とは異なる変則的な通信が発生した場合に異常とみなす「ネットワーク検知」と、TCP SYN Flood攻撃などDDoS攻撃によく用いられる攻撃手法に対し、保護ホスト単位で閾値を設定し検知する「ホスト検知」という2つの方法により、高い精度でアノマリ(異常)を見つけることができる。
プランは、防御帯域の上限や適用できる防御ポリシー数が異なる3タイプを用意する。例えば、CDN事業者やISP向けの「タイプX」は、標準で1Gbpsの帯域を防御し、1つのポリシーでネットワーク全体を守る。オプションを組み合わせると、防御帯域を最大40Gbpsまで拡張できるほか、ポリシー数も20まで増やせるので、システムごとに異なるポリシーを適用することが可能だ。
オプションについては、ユーザから寄せられた要望を反映し、拡充を図ってきた。最近の例では、ユーザの多くが冗長性の確保を目的に、IIJだけでなく他のISPと契約していることから、「マルチISP対応オプション」を追加した。攻撃検知時にトラフィックがIIJのバックボーン経由となるようBGP(Border Gateway Protocol)で広報し、他社回線も含めてDDoS攻撃を緩和する。
IIJ DDoSプロテクションサービス/エッジは、パケット数が小規模なため正常な通信との見分けがつきにくく、バックボーン側の検知をすり抜けてしまう攻撃の増加を受けて、2019年に提供開始した。ユーザの宅内に「脅威インテリジェンスゲートウェイ」と呼ばれるIIJマネージドの専用機器をインライン設置。全パケット検査を行うことで、検知が難しい小規模トラフィックのDDoS攻撃を防ぐ。
専用機器には、米ネットスカウト社の脅威インテリジェンスを搭載している。世界中のインターネットトラフィックの1/3に相当する膨大なトラフィックデータを分析したもので、この脅威インテリジェンスを基に、企業ネットワーク上にある公開系システムをDDoS攻撃や不正アクセスから保護する一方、企業ネットワーク上の様々な端末とインターネットとの通信を監視し、ボットネットとの通信、C&Cサーバ通信など内部に潜んでいる脅威の外部への拡散も防止する。
一定の通信量を超過した場合には、専用機器からIIJ DDoSプロテクションサービスに対し、バックボーン側での防御をリクエストするクラウドシグナリング機能により自動で連携し、バックボーン側のDDoS対策設備に攻撃を迂回して緩和するというように2段階で防御することが可能だ。
(右から)IIJ セキュリティ本部 セキュリティオペレーション部 データ分析課 データアナリスト 本部栄成氏、セキュリティ本部 セキュリティビジネス開発部 企画開発2課 課長代行 中家航氏
検討段階から手厚くサポート ― 20年間のナレッジに強み
IIJ DDoSプロテクションサービス、IIJ DDoSプロテクションサービス/エッジは、IIJのセキュリティブランド「wizSafe」のラインナップとして提供されている。その他のセキュリティ対策や回線をワンストップで導入することで、障害時の切り分けなども迅速に行える。
また、専任エンジニアが環境確認、事前コンサルティング、エージング後の機器設定の再評価や設定変更レビューなど導入作業を手厚くサポート。導入後も24時間365日、運用を支援する。
「DDoS攻撃は正規の通信に紛れて行われることが多く、アクセスが集中しているだけなのか、それともサイバー攻撃なのか見分けることは困難です。我々は、20年近くDDoS攻撃と向き合ってきたことで蓄積されたナレッジを活用し、的確に防御できるのが強みです」と中家氏は話す。
脅威が高まる一方のDDoS攻撃。自社の対策を見直すのであれば、IIJに相談するのがよさそうだ。
IIJのSOCが24時間365日支援する
- 前の記事
- 次の記事