大規模な攻撃を契機に、DDoS対策の導入を検討。HiddenプライマリDNSなど機能性、導入時の柔軟性を評価し、F5のクラウドサービスを導入

岐阜県大垣市を拠点として、インターネットサービスプロバイダ、レンタルサーバサービス、データセンター運用・管理、ドメイン取得・運用・管理、岐阜県全域光ファイバー網・岐阜情報スーパーハイウェイを活用したビジネスサポートネットワークなどを提供する株式会社ミライコミュニケーションネットワーク。同社が、DDoS攻撃対策として導入したのが、F5 Distributed Cloud DNSです。導入時に求められた同社ならではの要件、機能と期待される効果について、ミライコミュニケーションネットワーク技術部 加納由基氏、田中温子氏に伺いました。貴社がDDoS攻撃に備えるため、F5 Distributed Cloud DNSを導入しています。 導入時における具体的な要件や機能、期待される利点について、未来通信ネットワーク 技術部の加納由紀氏と田中篤子氏にお話を伺いました。

課題

未来通信ネットワーク株式会社は「顔の見えるインターネットサービスプロバイダー」という理念のもと、民間企業はもちろん、地方自治体や官公庁に対しても幅広いネットワーク関連サービスを提供しています。 「ホスティングサービスは全国の顧客にご利用いただいていますが、当社の特徴は地域密着型の事業展開にあります。 その意味で、私たちは『顔の見える』インターネットサービスプロバイダーと自負しています」と技術部の加納由紀氏は話します。 「多くの一般的なサーバープロバイダーがリモート主体でスタッフの姿が見えないのに対し、私を含む技術・メンテナンススタッフが直接お客様のオフィスを訪問します。 お客様とプロジェクト単位で密に連携し、最適なカスタマイズソリューションを共に構築しています」と加納氏は語ります。 未来通信ネットワークがシステムアーキテクチャの見直しに踏み切ったのは、2023年12月に発生した大規模なDDoS攻撃がきっかけでした。 「当社のDNSサーバーが攻撃対象となり、名前解決が非常に困難になりました。 攻撃元と判明したIPアドレスからの問い合わせを即座にブロックし、速やかにサービスを復旧させましたが、ネットワークが稼働していてもDNSサーバーが停止すれば通信が成立しないことを痛感しました。 この経験からDNSサーバーを何としても攻撃から守る重要性を改めて認識しました」と述べています。 攻撃前から当社は、ネットワーク トラフィックの監視によるDDoS攻撃の検知や、正当なトラフィックのみ許可する対策を講じていました。 それでも今回の事態から、DNSサーバーに特化したさらに専門的な対策の必要性が明確となりました。 そこで専用のDDoS防御サービスを導入する方向で検討を進めています。

解決策

攻撃発生後約3か月の検討を経て、未来コミュニケーションネットワークはF5のDistributed Cloud DNSを採用することに決めました。 技術部の田中敦子氏は、各種ツールの評価に直接関わっており、「緊急を要する状況だったため、クラウドサービスで容易に導入できるソリューションに絞って検討しました。 当初はF5のサービスは候補に入っていませんでした。 しかし評価過程でF5から提案があり、そのサービスがコスト面や既存環境との統合の容易さで優れていると判断しました」と語ります。 その他の競合サービスの中には、SaaS側のプライマリDNSとセカンダリDNSの両方を再設定する必要があるものや、セカンダリDNSと統合できないプライマリDNSのみのソリューションもありました。 「他のサービスでは、契約時にプライマリDNSかセカンダリDNSのどちらに対策を適用するか決めなければなりませんでした。 また、クエリ数に応じてコストが変動するため、予算管理が難しい状況でした」と加納氏はF5を選んだ理由を詳しく説明しました。 地方自治体など公共部門のクライアントでは、多くの場合入札で調達が行われ、予算は年単位で固定されます。 したがって、予期せぬ攻撃による価格変更をサービス料金に反映させることができません。 F5 Distributed Cloud DNSはゾーン数に基づく料金体系を採用し、契約範囲を超えたゾーン数でも契約期間中は追加費用が発生しない柔軟な構造を持っています。 必要な場合は、次年度以降の再契約時に調整できます。 未来コミュニケーションネットワークはF5 Distributed Cloud DNSの導入にあたり、PoC環境を構築して検証しました。 加納氏は「F5導入決定の段階でPoCアカウントと購入者用アカウントの両方を提供してもらいました。 UIは直感的でわかりやすく、F5のエンジニアによる細やかなサポートで検証は順調に進んでいます」と話しています。

効果

DNSの変更には念入りなテストが必要であり、宛先サーバーに必要なレコードの登録やWHOIS情報の移管などの作業も伴います。 ただし、移行後の運用はこれまでの環境と変わりません。 「追加の人員を新たに割く必要はないと考えています」と加納氏は言います。F5 Distributed Cloud DNSでは、プライマリDNSをHiddenに設定し、インターネットから隠すことでDDoS攻撃から確実に守る力を発揮します。 既存のDNSサーバーは設定用に残したままにし、セカンダリDNSをF5のDistributed Cloud側に配置してすべてのDNSクエリを担当させられます。 「この方法は当初のDDoS防御要件を満たすだけでなく、地理的に分散されたクラウドベースのセカンダリDNSによって応答速度も向上させます。 加えてバージョンアップなどの運用作業もF5に移すことで、私たちの負担をさらに軽減しています」と加納氏は付け加えます。

F5では、今回、導入に至ったDistributed Cloud DNSを含め、ロードバランサやファイアウォール、APIゲートウェイといったネットワーク機能、WAFやAPIセキュリティ、Bot対策、マネージドKubernetes基盤などの機能を、F5 Distributed Cloud Servicesとして提供しています。「現在、サービス化を考えているのは、DNSロードバランサの機能です。。 既存のプライマリ DNS は設定専用に使用し、セカンダリ DNS は F5 のクラウド上で DNS クエリを処理します。 この構成により、DDoS攻撃から確実に守り、地理的に分散したクラウド ネットワークを通じて応答速度も向上させます。

F5は、今回採用された分散クラウドDNSをはじめ、ロードバランサー、ファイアウォール、APIゲートウェイ、WAF、APIセキュリティ、ボット対策、マネージドKubernetesプラットフォームなど、F5分散クラウドサービスの一環として多彩なネットワークとセキュリティ機能を提供しています。 「私たちは現在、DNSロードバランシングのサービス化を検討しています。 オンプレミスやクラウドなど複数の環境でシステムを運用する企業が増え、DNSベースのロードバランシングへの需要が確実に高まっているからです」と田中氏は述べ、分散クラウドDNSだけに留まらないサービス展開の可能性を示しています。 加納氏はF5の分散クラウドサービスの実習を通じて得た利点も強調しました。 「このサービスは使いやすさを大切にしながら、詳細な構成オプションを提供しています。 今後のサービス拡充にあたっては、HTTPSやDNSの監視機能が非常に役立つと感じており、マネージドKubernetesのPoCにもぜひ挑戦したいと考えています。」 F5分散クラウドサービスは、多様な環境に分散したアプリケーションやネットワークの管理・安全運用を支えると同時に、Kubernetesプラットフォームを通じた迅速なアプリケーション開発・導入も実現しています。 「従来は物理・仮想アプライアンスで提供していたサービスも、導入や拡張が容易なSaaSソリューションへ移行可能です。 これからさらに多くの場面でF5分散クラウドサービスが活用されると確信しています」と加納氏は語ります。また、地方自治体や教育委員会、地域企業の課題解決に向けて、F5との連携にも大きな可能性を感じています。 「F5のソリューションを深く活用し、自社サービスと結びつけることで、既存のお客様の新しいニーズを見つけ出し、より高い価値を提供できるはずです」と加納氏は付け加えました。