ITの発達により、大容量データを高速にやり取りできるようになり、生活のあらゆる場面において利便性が向上しました。その反面、企業や組織の公式サイトが不正アクセスよって改ざんされたり、攻撃をうけてダウンしたりといった事件も増加しています。完全にクローズドなネットワークでなければ、これらのリスクは常につきまとうことになるでしょう。いつ起こるとも知れないこれらの脅威に対し、どのようなネットワークセキュリティ対策があるのでしょうか。

100%防ぐことは難しいDDoS攻撃

外部ネットワークからの攻撃といえば、「DoS攻撃」を思い浮かべる方も多いでしょう。DoS攻撃とは、サーバー・ネットワークに過剰な負荷をかけたり、脆弱性をついたりしてシステムをダウンさせてしまうもの。古典的な方法としては、「F5アタック」があります。F5キー(ページ更新)を連打することにより、ページ更新リクエストを多数送信し、Webサーバーに負荷を与える方法です。

DDoS攻撃とは、DoS攻撃の拠点を分散し、より効果を高めたものになります。単一の拠点ではなく、あらかじめ複数のPCにボットツールなどをインストールさせておき、ホストの号令とともに一斉攻撃をしかけるのです。このように不正なボットツールがインストールされたPCは、攻撃者の支配下に入ることにより、攻撃用の分散型ネットワークを構築。これを「ボットネット」といいます。攻撃を行うものはボットネットに接続されたコンピュータを操り、数百から数千単位の拠点から、一斉にDoS攻撃を仕掛けるのです。

DDoS攻撃は、サーバーに高負荷をかけてダウンさせたり、ネットワークトラフィックを増大させたりといった目的自体はDoS攻撃とほぼ同じですが、手口が巧妙で完全に防ぐことが難しいとされています。一般の家庭用・業務量PCのなかに紛れこんだボットツールが拠点となるため、PCの所有者がPCを攻撃に使われていること自体に気づかないことが多いからです。

即効性のあるDDoS対策は?

DDoS攻撃は、外部ネットワークから大量のデータを送りつけたり、処理要求を送信したりといった方法であるため、ネットワーク自体を遮断してしまえば被害を食い止めることができるでしょう。

しかし、それは防御とはいえないかもしれません。攻撃を行うものは「サービスの停止」を目的としています。ネットワークアクセスをすべて遮断するということは、誰もサービスを受けられなくなるということ。つまり、攻撃者の意図と同じ状態を作り出すといえるのです。そのため、サービスはある程度利用可能にしつつ、対策をしていく必要がでてくるでしょう。

そこで有効なのが「ACL(アクセスコントロールリスト)」を用いた、アクセス制限です。ACLによって許可されたアクセスだけを処理するように設定しておけば、DDoS攻撃に備えることができます。ただし、ACLを正しく設定するには、条件の追加順序や組み合わせが重要になりますので、ネットワークエンジニアの助言を得ながら対策をしていきましょう。

Webサイト改ざんへの対策も!

DDoS攻撃とは多少毛色が異なりますが、Webサイト改ざんも企業や組織に深刻なダメージを与える攻撃です。公式サイトの情報を書き換えてしまったり、閲覧者のPCにマルウェアをインストールさせるよう細工したりと、社会問題化する傾向があります。社会全体に与える影響という意味では、DDoS攻撃より深刻かもしれません。

このようなWebサイト改ざんへの対策としては、「Web改ざん検知システム」の導入が効果的でしょう。Webサイトに不正な改ざんがなされていないかを定期的にチェックし、担当者に知らせる仕組みです。Webサイト改ざんは、時間がたつほどに被害が拡大する傾向にあります。Webサイトの状況を自動チェックしつづけることで、被害を最小限に食い止めることが可能です。

被害を最小限にとどめるという考え方

少し乱暴な言い方になりますが、外部からの攻撃を全て防ぐことは不可能に近いため、ある程度の割り切りが必要になります。インターネット上からの攻撃は、攻撃する側が圧倒的に有利なため、どれだけ被害を小さく済ませるかという点に着目して対策をしていきましょう。

[PR]提供:マイナビニュース TECH+