ボリューム攻撃だけでなく、スロー攻撃にも対処できなければならない
具体的にDDoS攻撃への防御はどうすればいいのか。大手のキャリアやインターネットサービスプロバイダーなどは、DDoS攻撃を防御する各種サービスをすでに提供している。それらを契約している企業も多い。しかし、上位キャリアやプロバイダーによる防御ではサービスの観点上、場合によっては防ぎにくいDDoS攻撃もあると佐々木氏は述べる。
「DDoS攻撃は2つあります。1つがボリューム攻撃で大容量のアクセスでターゲットサイトを潰すものです。トラフィック量も増え、キャリアやプロバイダーにもインパクトが大きいので彼らに積極的に対策してもらえます。一方で通信量の少ないDDoS攻撃があります。ネットワークレイヤーの7で攻撃するアプリケーションレイヤー攻撃とよばれるものです。たとえばhttpのGETやPOSTを利用して、わざとゆっくりしたパケットを送る、複数セッションを張りっぱなしにするなどで、サーバー処理を遅くするスロー攻撃を仕掛けてくるのです」(佐々木氏)
スロー攻撃は、上位プロバイダーにはほとんど影響しない。現象的には単にアプリケーションのパフォーマンスが悪くなるだけだ。「たまたまサーバーの処理が遅いのかもしれません。スロー攻撃は簡単には見分けられないので、専用アプライアンスなどを入れ判断する必要があります」と佐々木氏は述べる。
アーバーネットワークスには、DDoSの検知と防御を行う「Arbor Networks SP/TMS」という製品がある。SP/TMSプラットフォームは、Arbor Networks SPとArbor Networks Threat Management System(TMS)の2つで構成される。Arbor SPはネットフロー情報を用いてモニタリングを行い、通信に含まれるDDoS攻撃を検知する。検知したDDoS攻撃情報からArbor TMSにトラフィックを迂回し、DDoS攻撃を防御する。TMSにはこれまでアーバーネットワークスが蓄積してきたノウハウを活かし、30種以上のDDoS防御策が搭載されている。Arbor SP/TMSは、ボリューム攻撃に大きな効果を発揮するものだ。
アーバーネットワークスが提供するもう1つの製品が「Arbor Networks APS」だ。これは、パケットレベルのアプリケーション分析を活用し、アプリケーションへのDDoS攻撃を自動検知し阻止する。インライン型のアプライアンスで、企業ネットワークのファイアウォールやIPS(Intrusion Protection System)の上位に設置する。
「Arbor SP/TMSとArbor APSは連携し、組み合わせて使うとさらに効果的です。Arbor APSであらゆるタイプのDDoS攻撃を検知し、Arbor SP/TMSを使って上流でその攻撃を防御してしまうことができます」(佐々木氏)
アーバーネットワークスの強みは、DDoS攻撃対策に対する実績だ。そこから得られる膨大なノウハウがある。さらに、他社はいくつかあるセキュリティ対策の一つにDDoSを位置づけているが、アーバーネットワークスはDDoS対策を含むセキュリティソリューションのみに特化している点も大きなアドバンテージだ。結果、「大手キャリアやプロバイダーの多くが採用し始めていることも、我々の優位性を証明するでしょう」と佐々木氏は語る。
実際の攻撃を想定したリハーサルが重要に
また、アーバーネットワークスでは、サイバー攻撃と企業内部ネットワークとの関係を可視化する、高度な脅威への対策プラットフォーム「Arbor Networks Spectrum」を提供している。
「企業内部に潜んでいる脅威を見つけ防御するものです。標的型攻撃などは高度化しており、今や100%すべての攻撃を防げません。Spectrumは内部のネットワーク状況を監視し、侵入されPCなどに感染したマルウェアが起こす不正な挙動を検知します」(佐々木氏)
アーバーネットワークスではマルウェアがどのような通信を行うのか、フィッシングサイトやC&Cサーバーの動きはどうなっているのかなどの情報を集め分析している。それらのフィードバックをDDoS攻撃防御に活かしている。こういった技術を応用し、内部のネットワークでマルウェアが起こす不正な動きを検知する。Spectrumを使うとマルウェアになぜ感染したかが把握でき、SOCやCSIRTなどで必要になるレポートも提供できる。
「Security Days 2016」でのアーバーネットワークスの
展示ブース:DDoS攻撃への具体策を示すために
Arbor APSとSpectrumが紹介された
「Spectrumはマルウェアの根源を掴むことにフォーカスした製品です。セキュリティ上の脅威の可視化を行う、いままでなかったカテゴリーの製品です。出入り口で攻撃を食い止めるのではなく、インシデントがあった際にいかに迅速にそれを食い止めるかのツールです」(佐々木氏)
2016年3月3日、「Security Days 2016」が都内で開催されアーバーネットワークスも参加した。展示ブースでは、来場した企業顧客向けにDDoS攻撃への具体策を示すためにArbor APSとSpectrumが紹介された。
「大規模なDDoS攻撃に目が行きがちで、アプリケーションに対するスロー攻撃などへの対策はまだまだこれからです。浸透はしてきていますが、我々のような会社がしっかりと情報発信し啓蒙する必要もあると考えています」(佐々木氏)
Arbor APSは、アプライアンスだけでなくVMwareやKVMなどの仮想化環境で動くバーチャル版も提供している。バーチャル版は安価に始められ、中小規模の企業も多く導入している。またSpectrumは、データセンターから中小企業まですべての規模の組織に対応でき「今やファイアウォールを入れるのは当たり前ですが、Spectrumも今後はそれと同じような存在になるでしょう」と佐々木氏は述べる。
DDoS攻撃の手法は今後ますます複雑化、高度化する。「いろいろな種類の攻撃が同時にやってくるような状況です。そんな動きに対応できるよう、製品をさらに進化させていきます」と佐々木氏。
もちろん、どんなに良いツールがあっても使いこなせなければ意味がない。社内で脅威に対抗できるエンジニアを育て、日頃からインシデントに対するリハーサルを行っておくことも重要だと佐々木氏は強調した。
