DoS攻撃(Denial of Service attack)やDDoS攻撃(Distributed Denial of Service attack)という言葉は今や耳慣れた言葉となっています。サイバー攻撃の歴史の中では古くから存在する、単純でいて効果の高い攻撃手法として、現在でも多くの被害を及ぼす脅威です。この記事ではDDoS攻撃の真の目的とDDoS攻撃にさらされない為のコツについて解説していきます。
前編はこちら
最適なDDoS対策とは?
DDoS攻撃者に対してしっかりと壁を構え、対象にならない事が重要な点はご理解いただけたかと思います。ではそれらを実践したDDoS対策とは何でしょうか。
3種類のDDoS対策
DDoS対策は大きく3つの対策方法に分類されます。
- キャリアサービス型
- オンプレミス型
- クラウド型
それぞれにメリット、デメリットがありますが、この記事でお勧めするのはクラウド型になります。
まずはそれぞれの特徴について理解しましょう。そのうえでクラウド型をお勧めする理由について記載していきます。
キャリアサービス型
回線事業者が提供するDDoS対策サービスを導入する方法です。回線事業者が回線販売のオプションとして取り扱うケースが多く、一般的には非常に安価に導入が可能です。
しかしDDoS対策用の容量は回線事業者に依存するため、上限が小さかったり、基本的にはサービスを提供している回線事業者のポリシーに沿った運用しかできません。またWAFの機能が搭載されていないケースもあり、その場合アプリケーションを狙ったDDoS攻撃には対応ができません。
オンプレミス型
オンプレミス型のDDoS対策製品は基本的にはDDoS対策専用に作られています。DDoS攻撃の細かい分析を行う事が可能で、「攻撃はどこから来たのか」「自社ネットワークへの現在の影響は」「攻撃者が使っているツールは」などを分析することができます。
これにより、最適な対策を導き出すための情報が豊富にそろえる事が可能となり、最適な防御手段を講じる事ができるのが強みになります。
一方で回線帯域を狙った攻撃に対してはDDoS対策製品に攻撃の通信が入る前の出来事なので対応が難しかったり、専用機器はそれなりに高額であったりといったポイントが弱みになります。
クラウド型
クラウド型のDDoS対策は特に回線帯域を狙った攻撃に対しての強みを持ちます。一度クラウド上で通信の精査を行い、正常な通信のみをオリジンサーバーに転送しますので、自社に乗り入れている回線帯域より前に攻撃を無害化できる強みがあります。また金額もクラウド型の場合、オンプレミス型に比べて安価なケースが多いです。
一方でクラウド型DDoS対策はクラウド上の共通基盤を利用したサービスなので細かい攻撃の分析や自社用のカスタマイズなどには限度があるのが、弱みとなります。
クラウド型DDoS対策がお勧めな理由
クラウド型の良い点は大きく4つあります。
- 安価である。
- DDoS対策としての効果が高い
- 導入が容易である事
- 壁としてのアピール力が強い事
クラウド型製品は安価です。これはクラウドという1つのシステムを複数人でシェアして利用している事により、利用者一人一人にかかる負担が軽減されているからです。
さらに安いからと言って効果が薄いわけではありません。特にDDoS対策においてはクラウド上に防壁があるという事は大きな強みになります。
DDoS攻撃がどれだけクラウドに到達しても、そこで攻撃が遮断されればオリジンサーバーおよび自社が契約する回線には全く影響がありません。オンプレミス型の場合はDDoS攻撃とわかっていても回線影響をすべてなくすことはむずかしいのですが、クラウドだとこれが容易になります。
さらにクラウド型の製品は導入自体が非常に容易な点もお勧めのポイントです。DNSの仕組みを利用することにより導入する方法が一般的であり、現在の自社ネットワークの設計や設定をいじる必要はほとんどないのです。
そして最もお勧めのポイントはクラウド型を導入することで自社が高い壁を用意している事をアピールできる点です。
記事前半の内容にあるように、攻撃者に対して高い壁を見せる事の効果は非常に大きいです。
クラウド型のDDoS対策を導入するとAS番号はクラウド型DDoS対策ベンダーのものに切り替わります。これは攻撃者に対してしっかりと対策をしている企業というイメージを植え付け、攻撃の対象から外れやすくするという点に大きな効果を発揮するのです。
お勧めクラウド型DDoS対策「Imperva Cloud WAF(Incapsula)」
これまでの内容を踏まえ、弊社でお勧めするのはImperva社が提供するCloud WAFになります。
Imperva Cloud WAF(旧称:Incapsula)がお勧めの理由は以下の3つです。
- 外部評価が高く、攻撃者に対して高い壁としてのイメージが強い
著名な評価機関であるFORRESTER WAVE社が発表した2017年末でのDDoS対策製品のベンダー評価一覧において、Imperva社はLeaderポジションに位置し、Leaderポジションの中でも非常に優れた評価であることが分かります。
これは攻撃者に対する高い壁のイメージを植え付けやすいという大きなアドバンテージとなります。
FORRESTER WAVEの評価結果についてはImperva社のBlog(*4)で紹介されていますので、興味がある方はご覧ください。
*4 Imperva “The Forrester Wave Ranks Imperva as a Leader for DDoS Mitigation Providers”
https://www.imperva.com/blog/forrester-wave-ranks-imperva-leader-dDoS-mitigation-providers/
(2019年7月24日参照) - DDoS対策だけではなく様々な機能が利用できる。
Imperva Cloud WAFはDDoS対策だけでなく、WAF(Web Application FireWall)、CDN(Contents Delivery Network)、負荷分散などの機能がAll-in oneになっています。せっかく導入するDDoS対策製品なので
自社のWebサービスにとってDDoS以外にも様々なメリットをもたらす方がありがたいですよね。 - 可用性の高いCloudサービス
Imperva Cloud WAFはPOPと呼ばれるサービス拠点を全世界で44拠点以上のデータセンターに展開しています。(2019年7月現在)契約者はこれらのすべてのPOPが利用者のWebサービスのセカンダリーとなりますので、Webサービスの可用性を大きく高めることができます。
このようにImperva Cloud WAFは攻撃者に対して高い壁としての意識を植え付けるだけでなく、実際の防御力という点やWebサービスの可用性を確保するうえで最適なソリューションと呼べるのではないでしょうか。
Imperva Cloud WAFについて詳しく記載してある製品ページもございますので、是非ご覧ください。
[RELATED_POSTS]
この記事に関するサービスのご紹介
