大規模な攻撃を契機に、DDoS対策の導入を検討。HiddenプライマリDNSなど機能性、導入時の柔軟性を評価し、F5のクラウドサービスを導入

岐阜県大垣市を拠点として、インターネットサービスプロバイダ、レンタルサーバサービス、データセンター運用・管理、ドメイン取得・運用・管理、岐阜県全域光ファイバー網・岐阜情報スーパーハイウェイを活用したビジネスサポートネットワークなどを提供する株式会社ミライコミュニケーションネットワーク。同社が、DDoS攻撃対策として導入したのが、F5 Distributed Cloud DNSです。導入時に求められた同社ならではの要件、機能と期待される効果について、ミライコミュニケーションネットワーク技術部 加納由基氏、田中温子氏に伺いました。

課題（The Need）

「顔が見えるインターネット事業者」をコンセプトに掲げ、ネットワーク関連のサービスを幅広く手がける株式会社ミライコミュニケーションネットワーク。一般企業だけでなく地方自治体など官公庁を対象にビジネスを展開しています。「ホスティングに関しては日本全国のお客様にサービスを提供していますが、当社の特徴は、地域密着のビジネスを展開していることでしょう。いわば、顔が見えるインターネット事業者です」というのは、同社技術部加納由基氏です。「一般的なサーバ事業者だと、リモートでのサービス提供が多く、担当者の顔が見えないところも多いのですが、当社の場合、私のような技術担当や保守担当のスタッフもお客様のオフィスを訪問し、案件ごとにコミュニケーションをとりながらビジネスを組み立てています」といいます。そんな、ミライコミュニケーションネットワークが、システム構成を見直すきっかけとなったのが、2023年12月に発生した大規模なDDoS攻撃です。「当社のDNSサーバに対する攻撃が発生し、名前解決が困難な状態となりました。もちろん、攻撃元と判断されたIPアドレスからの問い合わせは即時遮断し、サービスは迅速に復旧しましたが、ネットワークが稼働していても、DNSサーバがダウンしてしまうと通信そのものが不可能になってしまいます。DNSサーバを攻撃から保護することの重要性をあらためて認識する出来事になりました」と加納氏。それまでも同社では、ネットワークをモニタリングしてDDoS攻撃の可能性があるトラフィックを検知して、正規のトラフィックだけを通すといった対策は行っていましたが、DNSサーバに特化した対策が必要ではないかと判断して、DDoS対策サービスの導入を検討することになったと、当時の状況を振り返ります。

解決策（The Transformation）

攻撃発生から約3カ月の検討期間を経て、ミライコミュニケーションネットワークが採用したのが、F5が提供するDistributed Cloud DNSでした。同社技術部で、実際に各ツールの評価に携わった田中温子氏によれば、「緊急対応ということもあって、デプロイの容易なクラウドサービスから導入ソリューションを検討していました。当初、F5のサービスは候補となっていなかったのですが、検討中にF5からの提案があり、コスト面、既存環境への導入の容易性など、F5のサービスに優位性があると判断しました」といいます。比較検討していたサービスの場合、プライマリDNSサーバ、セカンダリDNSサーバのどちらもSaaS側に構成しなおす必要があるものや、プライマリDNSしか提供しておらず、セカンダリDNSとの連携ができないものもありました。「他社サービスの場合、プライマリとセカンダリ、どちらのDNSに対策を導入するか契約段階で確定する必要があったり、クエリ量によって課金コストが変動するなど、予算管理の面で課題もありました」と、加納氏はF5選定の理由を補足します。地方自治体など官公庁の場合、入札による発注先選定になる場合がほとんどです。年度ごとの発注になりますから、予算はあらかじめ決定しておく必要がありますし、攻撃があったからといって、サービスの価格には転嫁することはできません。F5 Distributed Cloud DNSはゾーン数を基準とした課金設定で、一年単位の契約の場合、仮にゾーンが契約数を超えた場合でも、契約期間中の追加課金は行われません。次年度以降、ゾーン数を確認して再契約を行うとういう柔軟な仕組みを採用しています。ミライコミュニケーションネットワークでは、PoC（Proof of Concept：概念実証）環境を構築したうえで、F5 Distributed Cloud DNSの検証を行っています。加納氏は、「F5のサービスの導入が決定した段階で、PoC用のアカウントと、購入者アカウントの２つを使える状態にしてもらいました。UIも直感的に理解しやすく、F5のエンジニアのきめ細かなサポートもあって、検証もスムーズに進んでいます」といいます。

効果（The Outcome）

「DNSの変更作業にはテストが必要ですし、移行先のサーバに必要なレコードを登録する作業、WHOISの移管などの作業は発生しますが、移行後の運用は、既存環境と変わりません。新たに人的リソースなどを用意する必要はないと考えています」と加納氏。F5 Distributed Cloud DNSでは、プライマリDNSをHidden設定にしてインターネットから隠すことでDDoS保護に備えることができ、既存のDNSサーバをそのまま設定専用として利用し、F5のDistributed Cloud側にセカンダリDNSを置くことで、すべてのDNSクエリに対応します。「当初の要件だったDDoS攻撃からの防御だけでなく、地理的に分散されたクラウドネットワーク上のセカンダリDNSによるレスポンス速度の改善も期待できます。バージョンアップ作業などをF5側に移管できるので、運用負荷の軽減も可能になります。」（加納氏）。

F5では、今回、導入に至ったDistributed Cloud DNSを含め、ロードバランサやファイアウォール、APIゲートウェイといったネットワーク機能、WAFやAPIセキュリティ、Bot対策、マネージドKubernetes基盤などの機能を、F5 Distributed Cloud Servicesとして提供しています。「現在、サービス化を考えているのは、DNSロードバランサの機能です。当社のお客様でも、オンプレミス環境とクラウド環境など、複数の環境でシステムを運用している企業が増えていますので、DNSベースの負荷分散のニーズは、確実に存在すると考えています」と田中氏は、Distributed Cloud DNS以外のサービス導入の可能性に言及します。また、加納氏は、「F5よりDistributed Cloud Servicesのハンズオントレーニングを受けた際に、きめ細やかな設定が可能でありながら操作性に優れている点にメリットを感じました。サービス化を検討するうえでは、HTTPSモニタやDNSモニタの様な監視機能は活用できそうですし、今後はマネージドKubernetes等のPoCにチャレンジしたいと思います」と言及しています。F5 Distributed Cloud Servicesは、さまざまな環境に分散配置されたアプリケーションやネットワークの管理、セキュアな運用にくわえ、Kubernetes基盤によるアプリケーションの迅速な開発、展開をサポートします。「物理アプライアンスや仮想アプライアンスで提供している既存サービスを、導入が容易で、簡単にスケールすることができるSaaSソリューションに移行できます。F5 Distributed Cloud Serviceを活用するシーンは増えてくるはずです」と、加納氏。例えば、F5とパートナーを組み、地方自治体や教育委員会、地域の企業などの抱える課題に対応する可能性もあると期待を寄せています。「F5のソリューションをさらに活用し、当社のサービスを連携することで、既存のお客様の新たなニーズの掘り起こしも可能になるのではないかと考えています。」（加納氏）。