用語集:サイバーセキュリティに関する用語と定義

DDoS緩和対策とは何か

分散型サービス拒否(DDoS)攻撃はアプリケーションの可用性を脅かすため、DDoS緩和ソリューションを導入することが不可欠です。

分散型サービス拒否(DDoS)攻撃は、特定のアプリケーションやWebサイトを標的とするサイバー攻撃の一種で、その目的は、標的のシステムのリソースを消耗させて、正規のユーザーがアクセスできなくすることです。2023年、アプリケーション レイヤへの攻撃は165%増加し、攻撃を受けたあらゆる業種のうちテクノロジ部門が上位を占めています。そのため、アップタイムとレジリエンスを維持するためには、包括的なDDoS緩和ソリューションを整備することが不可欠です。

DDoS攻撃の主な概念

DDoS攻撃の緩和方法とソリューションを掘り下げる前に、今日のDDoSの脅威を十分に理解する必要があります。分散型サービス拒否(DDoS)攻撃は、標的のリソースをトラフィックであふれさせることでインフラストラクチャを劣化させ、過負荷をかけて動作不能に陥らせます。また、特殊な細工を施したメッセージを送り付けてアプリケーション パフォーマンスを低下させるDDoS攻撃もあります。DDoS攻撃はファイアウォールのステート テーブルなどのネットワーク インフラストラクチャや、サーバやCPUなどのアプリケーション リソースを標的とします。

DDoS攻撃は深刻な結果をもたらし、オンライン サービスの可用性と整合性を損ない、大きな混乱を招き、経済的損失だけでなく評判の低下にもつながりかねません。またこの攻撃は、注意をそらして、攻撃者が重要なデータにアクセスするために使用されることもあります。

DDoS攻撃は、大量のトラフィックで過負荷をかけてネットワーク、サーバ、Webサイトの正常な機能を中断させることを目的とするサービス拒否(DoS)攻撃の一種です。DDoS攻撃の場合、複数のデバイスを利用して標的を大量のトラフィックであふれさせます。DDoS攻撃では複数のシステムが1つのシステムに攻撃するため、脅威の規模がはるかに大きく、阻止するのがより複雑になります。

以下は、7レイヤの開放型システム間相互接続(OSI)モデルで見られる一般的なタイプのDDoS攻撃です。

  • ボリューム型攻撃は、大量のトラフィックを送り付けてネットワークを動作不能にします。この攻撃は一般に、ボットネットを使用して行われます。ボットネットとは、単一の攻撃者が制御する、侵害されたデバイスのネットワークです。
  • プロトコル攻撃は、OSIモデルのネットワーク レイヤを標的とし、TCP/IP、ICMP、UDPなどのネットワーク プロトコルの脆弱性を悪用します。この攻撃は、ファイアウォール、ルーター、ロード バランサなどのネットワーク デバイスのリソースに過負荷をかけることでサービスを中断させます。「コンピュータ」攻撃とも呼ばれます。
  • アプリケーション レイヤ攻撃は、OSIモデルのアプリケーション レイヤを標的とし、HTTP、HTTPS、DNSなどのWebアプリケーションの脆弱性を悪用します。この攻撃はWebサーバのリソースを消耗することでサービスを中断させます。

DDoS攻撃で使用される一般的な攻撃ベクトル:

  1. UDPフラッド:この攻撃は、標的のサーバをUser Datagram Protocol(UDP)パケットであふれさせ、サーバをクラッシュさせたり応答不能にしたりします。
  2. TCP SYNフラッド:この攻撃は、Transmission Control Protocol(TCP)で使用される3ウェイ ハンドシェイク プロセスを悪用して2つのデバイス間で接続を確立します。攻撃者は大量のSYNパケットを標的のサーバに送り付けて、応答不能にします。
  3. HTTPフラッド:この攻撃は、Webサーバを標的として大量のHTTPリクエストを送り付けて、応答不能にします。
  4. DNSアンプ:この攻撃は、Domain Name System(DNS)を悪用して標的のサーバにDNS応答パケットを送り付けて、応答不能にします。
  5. NTPアンプ:この攻撃は、Network Time Protocol(NTP)を悪用して標的のサーバにNTP応答パケットを送り付けて、応答不能にします。
  6. DNSアンプ:この攻撃は、Simple Service Discovery Protocol(SSDP)を悪用して標的のサーバにSSDP応答パケットを送り付けて、応答不能にします。
  7. SYN-ACKフラッド:この攻撃は、TCP 3ウェイ ハンドシェイク プロセスを悪用し、大量のSYN-ACKパケットを標的のサーバに送り付けて、応答不能にします。
  8. HTTP Slow Read:この攻撃は、標的のサーバにHTTPリクエストを送信しますが、レスポンスの読み取りを遅らせてサーバを応答不能にします。
  9. Ping of Death:この攻撃は、標的のサーバに許容サイズを超えるPingパケットを送り付けて、サーバをクラッシュさせたり応答不能にしたりします。
  10. Smurf攻撃:この攻撃は、Internet Control Message Protocol(ICMP)を悪用して標的のサーバに複数のソースからPingリクエストを送り付けて、応答不能します。
  11. Heavy URL:攻撃者は、攻撃計画の偵察段階で、Webサイトで最も計算処理負荷の高いURLを探し、それらをDDoS攻撃の一部として利用します。このようなURLは、サーバがリクエストを受け取る際に大きな負荷がかかるため「Heavy(重い)」URLと呼ばれます。
  12. Low and Slow:このDDoS攻撃の目的は、アプリケーション リソースを静かにひっそりと、しかも非常に少ない帯域幅を使用して消耗させることです。そのため検出するのが難しく、またTCP接続が既に確立されているアプリケーション レイヤで行われるため、HTTPリクエストが正当なものに見えます。
DDoS対策チャート

DDoS攻撃の脅威は甚大であり、企業は潜在的にサイバー攻撃に対してより脆弱な状態にあります。そのため、攻撃を緩和するための対策を講じるには、DDoS攻撃の仕組みを理解することが不可欠です。

サイバーセキュリティ ポリシーの可用性においてDDoS緩和対策を導入することが重要である理由

DDoS攻撃を受けると、著しいダウンタイムが発生してサービスの可用性が損なわれ、経済的損失と評判の低下につながります。

保護:DDoS緩和対策を導入することで、企業は、悪質なトラフィックがネットワーク インフラストラクチャに到達するリスクを減らすと同時に、正当なユーザーがWebサイトやWebアプリケーションに確実アクセスできるようにすることができます。DDoS攻撃は、データ侵害を目的とする組織的な攻撃キャンペーンからセキュリティ チームの注意をそらす隠れ蓑として利用されることがあります。また、攻撃のタイプによっては、単純にコード化して排除できないものもあります。

レジリエンス:効果的なDDoS緩和技術に投資することで、国家的敵対者やその他の攻撃者に対する組織のレジリエンスが強化され、標的として狙われにくくなります。

コスト削減:DDoS攻撃を速やかに緩和することで、時間と資金を節約できます。

サイバーセキュリティ ポリシーにDDoS緩和対策を組み込むことで、組織はリソースをプロアクティブに保護し、サービス可用性を維持して、潜在的なDDoS攻撃の影響を最小限に抑えることができます。

DDoS緩和対策のテクニック

ビジネスクリティカルなデータやアプリケーションなど、DDoS攻撃に脆弱であることのリスクとDDoS緩和ソリューションの導入が重要な理由を見てきました。次は、DDoS緩和対策の種類を確認してニーズに合った最適なソリューションを見極めましょう。

オンプレミスのDDoS緩和対策

DDoS攻撃のリスクを緩和するために組織が導入できるオンプレミスのソリューションや対策にはいくつかの種類があります。その一部は、クラウドベースの対策に追加して使用することで、さらに堅牢な全面的な防御態勢を構築できます。

  • ネットワーク インフラストラクチャの強化:このソリューションでは、DDoS攻撃に耐えられるようにネットワーク インフラストラクチャを強化します。これには帯域幅の拡大、冗長リンクの追加、ネットワーク デバイスのアップグレードなどが含まれます。
  • レート制限とトラフィック シェーピング:このソリューションでは、ネットワークに入るトラフィックの量を制限します。このソリューションを導入するには、ネットワーク デバイスでレート制限を設定するか、トラフィックに優先順位を設定するトラフィック シェーピング技術を使用します。
  • ファイアウォールと侵入検知システム(IPS):このソリューションでは、ファイアウォールIPSデバイスを使用して悪質なトラフィックを除外します。ファイアウォールは、IPアドレス、ポート、プロトコルに基づいてトラフィックをブロックするのに対し、IPSデバイスはシグネチャに基づいて攻撃を検知してブロックします。

クラウドベースのDDoS緩和対策

DDoS緩和対策をクラウド ソリューションまたはハイブリッド ソリューションに移行すると、効率性、拡張性、有効性を向上させることができます。一部のクラウドベース ソリューションはオンプレミス ソリューションと統合することができます。クラウドベースのDDoS緩和ソリューションは、クラウドデリバリ ネットワーク(CDN)上で運用します。

  • Anycastルーティングでは、トラフィックを処理できる最も近いデータ センタにトラフィックが割り振られます。ネットワークのさまざまな場所にある同じネットワークを知らせることで、そのネットワークに到達するための「移動時間」を短縮します。CDNネットワークでAnycastルーティングを使用すると、より戦略的にトラフィックが分散されるため、受信側のネットワークの表面積が広がり、大量のトラフィックをより多くのデータ センタに再ルーティングできます。
  • トラフィック スクラビング センタは、正当なトラフィックから悪質なトラフィックを排除するためのデータ センタです。トラフィック スクラビング センタを使用すると、DDoS攻撃のトラフィックを排除し、クリーンなトラフィックを顧客のサーバに転送して、DDoS攻撃を緩和できます。DDoS攻撃が発生すると、トラフィックは、その分析と選別を行うスクラビング センタ経由でルーティングされます。その後、クリーンなトラフィックが顧客のサーバに転送されます。

ハイブリッド クラウドベースのDDoS緩和対策

DDoS緩和対策をハイブリッド ソリューションに移行すると、パブリック クラウド セキュリティ、プライベート クラウド管理、またはオンプレミス管理のパフォーマンスを最大限に引き出すことができます。ハイブリッド モデルの場合、セキュリティ体制を独自のデータ ニーズに合わせて高度にカスタマイズできます。

アプリケーションDDoS緩和対策

アプリケーションは現代のビジネスの原動力ですが、DDoS攻撃の標的となるケースが増えています。従来のDDoS緩和対策は静的で、集中的に管理されますが、アプリケーションはクラウドやアーキテクチャ間で分散されているため、アプリケーションを最大限に保護するには、拡張性と柔軟性を備えたDDoS緩和ソリューションが必要です。

DDoS緩和対策の要素

包括的なDDoS緩和戦略には通常、主な要素がいくつかあります。

トラフィックの分析と監視

DDoS緩和対策の最初のステップは、潜在的な問題やリスクを検出することです。脅威を特定してアラートをトリガする主な方法には、シグネチャベースの検出と異常ベースの検出の2つがあります。

シグネチャベースの検出では、脅威を特定するための既知のセキュリティ侵害インジケータ(IOC)を事前にプログラムしたリストを利用します。このIOCには、ネットワーク攻撃の悪質な動作、メールの件名の内容、ファイル ハッシュ、既知のバイト シーケンス、悪質なドメインなどを含めることができます。シグネチャベースの検出は、既知の攻撃に対しては高い処理速度を発揮し、誤検出率も低いですが、ゼロデイ攻撃を検出することはできません。

一方、異常ベースの検出は、未知の疑わしい動作についてアラートをトリガすることができます。異常ベースの検出ではまず、正規化されたベースラインをシステムに登録し、動作をこのベースラインと比較します。通常とは何か異なる動作が検出されるとアラートがトリガされます。異常ベースの検出では誤検出率が高くなる可能性があります。

リアルタイムのトラフィック迂回

DNSリソースを保護することはビジネスに不可欠です。これに役立つリアルタイムのトラフィック迂回ソリューションは2つあります。

  • DNSリダイレクションでは、あるドメイン名からのDNSクエリを別のドメイン名にリダイレクトします。これは、Webサイトを新しいドメイン名に移動した場合や、あるドメイン名から別のドメイン名にトラフィックをリダイレクトする場合に便利な方法です。DNSリダイレクションはDNSゾーン ファイルでCNAMEレコードを使用して実装できます。DNSサーバが、元のドメイン名を問い合わせるDNSクエリを受信すると、新しいドメイン名を指すCNAMEレコードを返します。次にクライアントは、新しいドメイン名を問い合わせる新しいDNSクエリを送信します。
  • BGP Anycastでは、インターネット上の複数の場所から同じIPアドレスをアドバタイズします。BGP Anycastでは、Border Gateway Protocol(BGP)を使用して複数の場所からIPアドレスをアドバタイズします。クライアントがDNSクエリをAnycast IPアドレスに送信すると、このクエリはIPアドレスをアドバタイズしている最も近い場所にルーティングされます。これにより、遅延が低減されて、DNSサービスのパフォーマンスと可用性を高めることができます。BGP Anycastは一般的に、さまざまな地理的領域に複数のデータ センタを展開している大規模な組織で採用されています。

攻撃の選別とクリーニング

トラフィックがネットワークに向かって移動し、通過する際に、悪質な動作がないかトラフィックを継続的に監視するDDoS緩和ソリューションが必要です。

  • 悪質なトラフィックを識別するには、クライアントから送られてきたトラフィックがアプリケーション レイヤに届く前に調べて、プロキシの障壁を悪質なトラフィックが通過するのを阻止します。サーバから返すトラフィックは、十分に調べて、クライアントに返しても問題がないと判断されたものを返します。これにより、クレジット カード番号やPIIなどの機密データがプロキシの障壁を通過するのを防ぐことができます。
  • スクラビング アルゴリズムとスクラビング技術は、ネットワークに侵入してくる悪質なトラフィックを見つけて排除するために使用されます。トラフィックにとって最初の関門となるのがスクラビング センタです。ここでは、トラフィックの特性と可能性のある攻撃手法に基づいてトラフィックがトリアージされます。トラフィックはスクラビング センタを通過する際に引き続き検証され、悪質なトラフィックが完全に排除されます。DDoS攻撃は顧客環境への進入経路をやすやすと圧倒してしまうため、このようなセキュリティ管理が非常に重要です。

プロバイダを選ぶ際に検討すべきDDoS緩和対策の要素

組織のニーズを満たすDDoS緩和ソリューションを検討する場合は、ビジネスの成長軌道と想定されるリスク対象を念頭に置いて、以下の要素を考慮してください。また、クラウド サービスを検討している場合は、プライベート クラウド企業だけでなく、パブリック クラウド(AWS、Google Cloud、Microsoft Azure、Alibaba Cloud)から選択することもできるようになりました。

DDoS緩和対策プロバイダを選ぶ際に検討すべき要素

 

DDoS緩和対策のベスト プラクティス

包括的なDDoS緩和ソリューションは、ネットワークに予防の網を張り巡らせ、リアルタイムのインシデント対応、継続的なテストとレビューによって最大限のパフォーマンスを確保します。

プロアクティブな対策

ネットワーク アーキテクチャ設計:優れた設計のネットワーク アーキテクチャは、ネットワークのレジリエンスと大量トラフィックへの耐性を確保することで、DDoS攻撃の阻止に貢献します。例えば、複数のセキュリティ レイヤ(ファイアウォール、侵入検知システム、その他のセキュリティ対策)が組み込まれたネットワークは、DDoS攻撃がネットワークに侵入するのを阻止するのに役立ちます。また、ネットワーク セグメンテーションは、影響を受けたネットワークの領域を隔離することで、攻撃の影響を抑えるのに役立ちます。

ロード バランシング:ロード バランシングは、複数のサーバにトラフィックを分散させることでDDoS攻撃を阻止し、1台のサーバに負荷が集中することを回避できます。その結果、DDoS攻撃を受けてもネットワークの可用性を維持することができます。またロード バランサも、悪質なトラフィックの検出とブロックに役立ち、DDoS攻撃の成功を阻止できます。

ベンダーSLAの詳細:DDoS攻撃対策にサード パーティを検討する場合は、あらゆるDDoSシナリオにおけるベンダーの能力を把握し、SLAに手順、措置、対応を組み込むことが重要になります。

インシデント対応

DDoSインシデントの処理手順:DDoSインシデントに迅速かつ効果的に対応するための主な手順は6つありますが、重要なのは、これらの手順が直線的ではなく、循環的に行われることです。

  1. 準備:連絡網を確立して手続きを定義し、攻撃を受けたときに対応時間を短縮するためのツールを備えます。
  2. 検出:インシデントを検出してその範囲を特定し、適切な関係者に通知します。
  3. 分析:攻撃トラフィックを分析してその特徴を調べ、標的を見極めます。
  4. 封じ込め:トラフィックを選別して悪質なトラフィックをブロックすることで攻撃を封じ込めます。
  5. 根絶:悪質なトラフィックをネットワークから排除することで攻撃を根絶します。
  6. 復旧:サービスを復元してインシデントをレビューすることで攻撃からの復旧を図ります。

DDoSインシデント時の緩和対策プロバイダとの連絡手順:発生当初から、企業とその緩和対策プロバイダが厳密な連絡手順に従うことが重要です。インシデント時の連絡について推奨されるベスト プラクティスは以下のとおりです。

  • 連絡計画を立てる:攻撃が発生する前にDDoS緩和対策プロバイダと話し合って連絡計画を立てておきます。この計画には、主要人員の連絡先情報、エスカレーション手順、連絡経路を含めます。
  • 詳細情報を提供する:攻撃のタイプ、標的、攻撃の持続時間など、攻撃に関する詳細情報をDDoS緩和対策プロバイダに提供します。この情報は、プロバイダが効果的な緩和戦略を立てる上で役立ちます。
  • プロバイダと連携する:DDoS緩和対策プロバイダと緊密に連携して、組織のニーズに合わせて緩和戦略を立てます。この戦略には、トラフィック ルーティングの調整やトラフィックの選別、悪質なトラフィックのブロックなどが含まれます。
  • 状況を監視する:状況を注意深く監視し、DDoS緩和対策プロバイダに最新情報を定期的に提供します。これにより、プロバイダは必要に応じて緩和戦略を調整できます。
  • インシデントをレビューする:攻撃を緩和した後は、DDoS緩和対策プロバイダとともにインシデントをレビューして、改善の余地のある領域を見極め、必要に応じてインシデント対応計画を更新します。

定期的なテストとレビュー

ITチームとセキュリティ チームは定期的に分析とテストを実施する必要があります。テストの1つにレッド チーム テストがあります。このテストでは実際の攻撃者の戦術と手法をシミュレーションします。この際、レッド チーム テスト担当者はさまざまなDDoS攻撃を試行して緩和ソリューションの対応を監視します。

世界中の攻撃者がその手口を変え続けているため、サイバー攻撃の最新の動向を常に把握しておくことも重要です。緩和ソリューションは、拡張性があり、あらゆる新たな妨害活動にも適応できなければなりません。

DDoS緩和対策の事例

世界中のどの地域で、どのような業種、規模で事業を行っている組織も、信頼性の高いDDoS緩和ソリューションを導入するメリットがあります。以下の事例は、DDoS緩和ソリューションがあらゆるシナリオでいかに効果的であるかを示しています。皆様と同じ状況の企業が、DDoS攻撃のリスクに対峙することで大きな成果を得ています。

  • 事例:ある大手保険会社がどのようにしてDDoS攻撃の試みを阻止し、アプリケーションとユーザーを保護したかをご紹介します。
  • ビデオ:あるメール プロバイダが統合されたネットワーク装置を停止して潜在的な攻撃対象を減らし、運用面のセキュリティを強化するのを、F5がどのように支援したかをご紹介します。

DDoS緩和対策の今後の動向

DDoS攻撃が出現して数十年が経ちますが、攻撃を仕掛けるその手口はますます巧妙かつ攻撃的になっています。サイバーセキュリティのDDoS分野における現在と将来の動向を把握しておくことが重要です。

F5が2023年に発見した動向の概要は以下のとおりです。

  • アプリケーション レイヤへの攻撃が165%増加
  • 2022年と比べてテクノロジ部門が最も攻撃を受けている
  • 全体的な観察事象は9.7%減少
  • ピーク帯域幅は2020年から216%増大
  • あらゆる業種でアプリケーションを標的としたマルチベクトルのDDoS攻撃が増えると予測

また、サイバーセキュリティ専門家が注目している成長分野が3つあります。

人工知能と機械学習:製造や顧客サービスといった事業の他の部門にAIとMLを導入する企業が増えていますが、DDoS攻撃の検出と緩和にもAIとMLが担える役割があります。最近の調査によると、DDoS攻撃の検出に人工知能を利用したところ、精度が96%を超えたとのことです。

モノのインターネット(IoT):IoTは成長し続けていますが、これに伴ってコンピューティング サーフェスが拡大し、こうしたソリューションが攻撃に対してより脆弱になる可能性があります。専門家は、より強力なセキュリティ手法、パスワード保護の導入と、ファイアウォールやVPSの使用を推奨しています。これらはいずれも攻撃リスクのあるデバイスの数を減らします。

ブロックチェーン テクノロジ:ブロックチェーン テクノロジは、その性質上、分散されているため、分散ストレージのセキュリティを担ってきたこともあり、DDoS緩和対策の選択肢として注目を集めています。このテクノロジは特に、地理的にセキュリティも標的となる、地理的攻撃に有用な場合があります。

DDoS攻撃がなくならない一方で、現在、そして今後も、これらの攻撃を緩和するのに役立つツールが次々と登場しています。

F5がお手伝いできること

分散型サービス拒否(DDoS)攻撃が出現して数十年が経ちますが、いまだ一掃されてはいません。だからこそ企業は、将来を見据えたDDoS緩和ソリューションを検討する必要があります。F5では事実上、サイバーセキュリティがあらゆる活動の最前線であり、中心です。当社のDDoS緩和ソリューションと優れたサポートを活用することで、潜在的なDDoS攻撃リスクの緩和において、優位に立つことができます。また、DDoS緩和ソリューションは、企業のニーズに合わせて、さらにはDDoS攻撃者の攻撃に合わせて、拡張/縮小し、適応できることも重要です。

お客様とそのネットワークがDDoS攻撃対策を必要とするあらゆる場面で、F5がお手伝いします。当社には、お客様の組織のニーズに合わせて適切なDDoS緩和対策を実装するための豊富な経験があります。