DDoS攻撃を緩和する2つの効果的な方法：対DDoS攻撃戦略【後編】

DDoS攻撃は他のサイバー攻撃のカムフラージュである可能性がある。「DDoS攻撃が終わったら復旧すればいい」という認識は新たなリスクを生み出す。DDoS攻撃を受けてもシステムをダウンさせてはならない。

[Sebastian Klovig Skelton，Computer Weekly]

　前編「DDoS攻撃に対する誤解と攻撃の緩和戦略」では、DDoS攻撃の傾向の変化と緩和策の第一歩を紹介した。DDoS攻撃には、考慮すべきリスクがまだ隠されている。

　Nominetのグールディング氏によると、ある程度成熟している企業の大半はDDoS攻撃の緩和策を既に検討している。そうでない企業は、可用性を必要とする資産がどれで、それがどこにあるかを特定することさえ始めていないという。

　自社の弱点を特定したら、インシデント対応を定期的に実践し、資産にどのように影響するかを理解する必要があるとグールディング氏は補足する。

　これらは、DDoS攻撃が他のサイバー攻撃のカムフラージュに使われていないことを確認するのに役立つ。

　「DDoS攻撃を受けたらサービスの復旧を試みることになるが、ルーターやファイアウォールは起動時間が異なる。これが数分間の隙を生む恐れがある」（ミース氏）

併せて読みたいお薦め記事

• DDoS攻撃を阻止するトラフィックスクラビング
• 「DDoS攻撃＝大規模攻撃」は勘違いだった？　実際の攻撃手法はこれだ
• DDoS攻撃の目的は「サービス妨害よりも怖い」攻撃のカモフラージュ
• 5Gの普及で「大規模DDoS攻撃」の危険性が高まる理由とは？
• シーケンス番号予測攻撃、中間者攻撃、DDoS攻撃とは？　TCP/IPを襲う攻撃

サプライヤーの選択とクラウドの役割

　自社の資産とそれをオンラインに戻す方法を把握したら、自社に最適と思われるサプライヤーを調べてアプローチする必要がある。

　「サプライヤーを探す場合の着目点は、そのサプライヤーが攻撃の緩和に要する速度だ。攻撃は短時間で非常に壊滅的な結果をもたらす。そのため迅速に阻止する必要がある」（グラハム＝カミング氏）

　DDoS攻撃の緩和策を提供するサプライヤーは2種類ある。

　一つは「常時オン」のDDoS攻撃緩和策を提供するサプライヤーだ。このサプライヤーは、顧客のネットワークを経由する全てのトラフィックを常時監視し、問題を検出する。もう一つは「オンデマンド」でDDoS攻撃緩和策を提供するサプライヤーだ。緩和策を開始するには、攻撃を受けた顧客がサプライヤーに連絡しなければならない。

　「これまで一般的だったのはオンデマンド型だが、『常時オン』の方が容易で顧客企業は何もする必要がないため、普及し始めている。『常時オン』は緩和策を即座に実行するため、ダウンタイムも短くなる」と同氏は話す。

　ミース氏が考える効果的な緩和策は、クラウドを使う方法だ。この緩和策はCDN（コンテンツ配信ネットワーク）を利用するか、スクラビングセンターを設置するかのいずれかで実現する。

　「Webサイトを保護するだけならCDNが効果的だ。クラウドを利用する企業や、IPアドレスが1つしかなくて全てをそこで実行する企業などにとってはCDNが優れたプラットフォームになる。CDNにはDDoS攻撃緩和策を配置できるセキュリティ層が数多く存在するからだ」と同氏は語る。

　複数のデータセンターを抱える企業などは、スクラビングセンターの方が優れた選択肢になる。スクラビングセンターは企業のIP空間全てを保護する。スクラビングセンターは、全てのトラフィックを調べて問題のないトラフィックを判断する。

　「スクラビングセンターはクラウド内で顧客の前面に位置するインターネットのエッジに設置され、顧客の空間内に入る前に不適切なトラフィックを取り除く」とミース氏は話す。

　「企業からインターネットへの接続パイプが1Gbpsだとすると、1.1GbpsのDDoS攻撃を受けると企業はオフラインになる。実にシンプルだ。現実的には、DDoS保護を自社から遠ざけ、エッジに移動しなければならない」

　グールディング氏は、ネットワークトラフィックを記録できるようにすることが重要だと補足する。これにより、DDoS攻撃が発生したときに情報を警察に提供し、攻撃が起きた仕組みを理解し、さらなる緩和策を講じる。