NGINX App Protect Denial of Serviceによるレイヤー7を対象としたDos攻撃からのアプリケーション保護

デジタル化があたり前となっている今日、アプリケーションに対するユーザエクスペリエンス（顧客体験）がすべてを決めるといっても過言ではありません。消費者や顧客に使ってもらえなければ、アプリやウェブサイトを持つ意味がありません。特にユーザが遅延やダウンタイム、エラーに対して耐性がなくなってきている今、ポジティブで一貫性のあるユーザエクスペリエンスを確保することが重要です。

ユーザがアプリやウェブサイトでネガティブな体験をすると、二度とそのサービスには戻ってこないかもしれません。Salesforceの調査では、61％の消費者が、1度でも悪い体験をすると競合他社に乗り換えたと報告しています。悪い経験を繰り返せば、離脱は避けられません。ネット上に多くの選択肢がある場合、ブランドロイヤルティ以上にそれは重要な意味を持ちます。

消費者の不満の主な原因の1つはダウンタイムであり、攻撃者によるサービス拒否（DoS）攻撃こそが、持続的なダウンタイムの主な原因となっています。アプリケーションの設計の変化と共に、新たな脅威・攻撃手法が生まれ、攻撃者は20年に渡りこれらの脅威・攻撃手法をDoS攻撃に反映し、昨今の最新のアプリケーションに対する攻撃を行っています。2020年1月から2021年3月の間に、アプリケーション層（レイヤー7）でのDoS攻撃が急増し、DDoSインシデント全体の16%を占めました。実際、F5セキュリティ レスポンス チームへの依頼の半分は、アプリケーション層のDoS攻撃に対する支援です。

ネットワーク層（レイヤー4）のボリュームのあるDoS攻撃に対しては、集中的なセキュリティ ミティゲーションが有効ですが、アプリケーション層のDoS攻撃はより標的が絞られているため、分散化が進み、APIやマイクロサービスで構成され、クラウドなどのより柔軟なインフラ上で稼働する現代のアプリケーションを保護するためには、専門的な防御策が必要となります。

従来の防御手法からの脱却

DoS 攻撃の発生源が分散している場合（DDoS 攻撃）であっても、ネットワーク層における基本的なボリューム攻撃は、一般的に単一のデバイスまたはサービスを対象としており、従来の保護ツールも同様に一枚岩で集中管理されています。このようなツールも、アプリケーションセキュリティの分野で重要な役割を果たしていますが、それだけでは十分ではありません。今日、クラウドベースのDDoS対策サービスは業界標準となっています。しかし、アプリケーションは、もはやモノリシックな単一サービスではなく、保護が必要な多くの統合ポイントを持っているという事実にはまだ対応していません。

デジタルトランスフォーメーションや、それに伴うAPI、マイクロサービス、クラウドベースの統合への大規模なアーキテクチャの移行が行われる以前は、基本的なWebアプリケーション ファイアウォール（WAF）で、脆弱性を突いた攻撃やDoS攻撃をほぼ軽減することができていました。例えば、クライアント側でのフラッドとして現れるボリューメトリック攻撃では、トラフィックが集中しているため、基本的なWAFと従来のDoSツールが有効です。クラウドのスクラビングサービスを利用すれば、トラフィックが入ってくる前に攻撃を緩和することができますし、アプリケーションスタックの前に保護機能を配置することもできます。また、基本的なWAFは、主にレート制限、デニリスティング、ボットシグネチャによって従来型の攻撃を防御しますが、現在の脅威はこれを超えてきています。

つまり、攻撃側とテクノロジーの主戦場は常に変化しており、従来のWAFや従来のDoS対策では、最新のモダナイズされたアプリケーションアーキテクチャにおいて有効ではありません。

最新のDoS攻撃はレイヤー7で発生しており、暗号化されたチャネルに隠され、アプリケーションロジックをターゲットにしているため、検出がはるかに困難です。そのため、DoS攻撃の2大指標であるクライアントの挙動とサーバの負荷を測定するための追加の保護層が必要となります。

F5ではこの問題を解決するため、NGINX App Protect Denial of Serviceモジュールをリリースしました。すでにWAFや従来のDoS対策を行っている場合、さらにDoSモジュールが必要なのか？と思われるかもしれませんが、必要なのです。その理由については、こちらをご覧ください。

最新のアーキテクチャには最新のセキュリティ対策が必要

暗号化はあらゆるところで行われていますが、従来のDoS対策は大規模な復号化には対応していませんでした。モノリシックなアプリケーションの時代には、暗号化がそれほど普及しておらず、クライアントサイドだけをチェックすれば攻撃をほぼ検知できていたため、集中型のDoSミティゲーションが有効でした。今日では、ほとんどすべてのトラフィックが暗号化されているため、攻撃が単一のリクエストをターゲットにしてアプリケーションにストレスを与えている場合は特に、入口のトラフィックのみに焦点を当てたステートレスなDoS緩和策はほとんど効果がありません。

現在、アプリケーションはマイクロサービスのような分散型アーキテクチャに合わせて設計・最適化されており、ユーザのプライバシーを重視する姿勢（およびその後の法整備）と暗号化技術の進歩により、エンドツーエンドの暗号化が一般的になっています。また、最近のアーキテクチャは API に大きく依存しており、API 間の通信（East West トラフィックとも呼ばれる）は中央のセキュリティ管理を通過しない場合もあります。

アプリケーションレベルのDoS対策を効果的に行うには、クライアント側の異常やサーバー側のストレスを検知する機能など、エンドツーエンドの可視性とコンテキストが必要です。高度なレイヤー7のDoS攻撃は、しばしば正当なトラフィックに偽装されているため、レート制限、拒否対象の列挙、シグネチャ、プロトコル適合性などの基本的な緩和策ではもはや十分ではありません。

洗練されたレイヤー7攻撃は、表面上は正当なトラフィックのように見えますが、基本的なWAFではそれらを検知するために必要となる行動分析が不足しています。NGINX App Protect DoSは、クライアントの異常とサーバのストレスの両方を調べるように特別に設計されており、すでに過大な負担を強いられているセキュリティチームの注意を引くことなく、攻撃を動的に特定して緩和し、緩和の効果を測定することができます。

これまでの基本的なWAF防御や従来のDDoS緩和策だけに頼っている場合、レイヤー7攻撃に対する適切な可視性とコンテキストが得られず、遅延、ダウンタイム、収益の損失、ブランドの毀損など、潜在的な影響は甚大です。行動分析では、ゼロデイDoS攻撃を検知するために、クライアントの異常やサービスの健全性を常に分析することができます。サイトの挙動を詳細に観察することで、次のような課題に応えることができます。ベースラインのトラフィックパターンと比較して何か異常はないか？ブラウザから送られてきたように見えるリクエストでも、ブラウザが含むと思われる情報が欠けていないか？リクエストに複雑なデータベースクエリが含まれていて、CPU使用率が高くなっていないか？

NGINX App Protect DoSは、正常なパフォーマンスと動作を把握することで、従来の防御策をすり抜け、アプリケーションに負荷を与えるレイヤー7攻撃を中心に対策することができます。

モジュールを組み合わせてさらなる強固な防御を実現

DoS攻撃の狙いは、依然としてパフォーマンスの低下、ユーザの不満、そして収益損失という点で変わっていません。しかし、DoS攻撃の手法は、ハッカーが暗号化やセキュリティツールを使用して脅威を正当なトラフィックとして偽装するなど、その方法が大きく異なってきています。

ユーザはアーキテクチャの違いを見分けることはできなくても、サイトパフォーマンスの良し悪しを見分けることはできます。攻撃トラフィックが大量に送信された場合、サービスの遅延が発生し、ユーザはサービスの動作が遅いと感じることになります。かなりの遅延になると、最も忍耐強いユーザ（多くはありません！）でも、サービスの利用を放棄して別のサイトに切り替えてしまうでしょう。このように、ターゲットを絞った単一のリクエストは、遅延やサーバへの負荷を引き起こす可能性があるため、専用のアプリケーションDoS対策が重要になります。

Webアプリケーション セキュリティソリューションは、OWASP Automated Threats to Web Applicationsに掲載されているような新しい攻撃に対応するために進化し続けています。しかし、それ以外に、ダイナミックで、かつ常に適応性のあるアプリケーションのランタイムにネイティブに統合される保護機能が必要です。他のDoSソリューションは、SYNフラッドのようなネットワークDDoS攻撃用に設計されているものが多く見られますが、NGINX App Protect DoSソリューションは、アプリケーションリソースに負荷をかけるレイヤー7攻撃に特化しています。WAFとレイヤー7のDoSソリューションを組み合わせることで、アプリケーションが脆弱性の悪用とビジネスロジックの悪用の両方から保護され、遅延、劣化、ダウンタイムだけでなく、危険性も防ぐことができます。

現在、商取引は主にオンラインで行われています。人々はほとんどオンラインで生活しています。それを安全でセキュアな場所にする必要があります。NGINX App Protect WAFとNGINX App Protect DoSモジュールを組み合わせることで、お客様の環境、アプリケーション、ビジネスにとって意味のある堅牢な保護を実現することができます。

今すぐ、NGINX App Protectの30日間の無料トライアルを実際に試してみてください。また、その他のユースケースなどはいつでもお問い合わせください。