「今こそ始めたいDDoS対策 ~DDoS対策の基礎やトレンドが明らかに~」の詳細は、ダウンロード資料から確認頂きたい。 |
DDoS攻撃を「ネットワーク帯域を圧迫させてサービスに接続できなくする攻撃」と解釈している方は多いだろう。ただ、今述べた攻撃は、DDoS攻撃の一側面に過ぎない。ネットワーク帯域のみならず、攻撃者はDDoS攻撃を通じて、インフラやアプリケーションなど、さまざまなレイヤーの機能不能を図ってくる。ネットワーク帯域だけに目を向けた対策では、DDoS攻撃全体のおよそ4分の1しかカバーできないのだ。
本稿では、A10ネットワークス社のホワイトペーパー「今こそ始めたいDDoS対策 ~DDoS対策の基礎やトレンドが明らかに~」から、DDoS攻撃の種類と実態、適切な対策法について解説していく。
攻撃者が狙う4つのレイヤーとその対策法
警察庁生活安全局情報技術犯罪対策課が平成28年11月に発表した「不正アクセス行為対策等の実態調査」は、サイバー攻撃による被害の発生件数について、マルウェア感染や不正アクセスといったポピュラーな攻撃手段に次ぐ3番目にDDoS攻撃が位置付けていることを報告している。
DDoS攻撃を “自組織には関係のない攻撃” と考える方がいるかもしれない。しかし、同攻撃の被害を受ける組織は増加傾向にあるのが実状だ。 |
DDoS攻撃による被害は増加傾向にあるわけだが、攻撃対象となるレイヤーが多岐に渡ることは意外と知られていない。攻撃者は主に、インフラ、ネットワーク、ネットワーク帯域、アプリケーション、この4つのレイヤーに対してDDoS攻撃を仕掛けてくる。
[1]インフラレイヤー
インフラレイヤーへの攻撃は、DNSやCGNATなどインフラを支える基盤に対して行われ、ネットワークサービスを正常に機能できなくし、サービスへの接続を不能にする。
[2]ネットワークレイヤー
ネットワークレイヤーへの攻撃は、ファイアウォールやルーターのリソース枯渇を目的とする。
[3]ネットワーク帯域レイヤー
ネットワーク帯域レイヤーへの攻撃は、回線を飽和させることでサービスに接続できなくすることを目的とする。
[4]アプリケーションレイヤー
アプリケーションレイヤーへの攻撃は、ウェブサービスなどユーザーに提供するアプリケーションリソースを枯渇させサービスに接続できなくすることを目的とする。
DDoS攻撃と聞いてすぐイメージされるのは[3]の攻撃だろう。しかし、A10ネットワークスとIDG Connectの調査をみると、ネットワーク帯域レイヤーを対象とする攻撃の割合は、DDoS攻撃全体のうち4分の1にしか満たないことがわかる。
DDoS攻撃を受けた200社を対象に2017年に実施された、レイヤー別DDoS攻撃の割合に関する調査結果。 |
ここで頭を悩ませるのが、DDoS攻撃の対策法である。市場には数多くのDDoS対策ソリューションが提供されているが、それぞれでカバー可能なレイヤーが異なる。
例えば、クラウド型DDoS対策は有効な防御対策の一つだが、ボリューム型(=ネットワーク帯域レイヤー)の攻撃では効果を発揮する一方で、その他のレイヤーは対策することが難しい。インフラとネットワーク、アプリケーション、これらを狙う攻撃は、全体の75%にのぼるため、クラウド型DDoS対策を採用している組織であれば、この75%を防御するソリューションを組み合わせなければ、脅威をシャットアウトすることはできないのだ。
A10ネットワークスの提供するA10 Thunder TPSでは、インフラ、ネットワーク、アプリケーションレイヤーの防御が可能。上の図にあるようなハイブリッドなアプローチが、DDoS対策では求められる。 |
* * *
DDoS攻撃の種類と実態について触れてきたが、ホワイトペーパー「今こそ始めたいDDoS対策 ~DDoS対策の基礎やトレンドが明らかに~」では以下の構成のもと、より詳細に、DDoS攻撃とその対策法について解説している。
1.なぜDDoS対策が必要なのか―DDoS攻撃が行われる理由
2.事例とデータからわかるDDoS対策が必要な組織
3.デジタル化する社会インフラに忍び寄るDDoS攻撃
4.多様なインフラを狙うDDoS攻撃の種類と実態
5.DDoS対策に不可欠なスクラビング機能のアーキテクチャ
6.DDoS攻撃の対策方法・ネットワーク編
7.DDoS攻撃の対策方法・インフラ編
8.DDoS攻撃の対策方法・アプリケーション編
9.DDoS攻撃の対策方法・脅威インテリジェンス編
10.ウェブサービスに対するDDoS対策
11.DDoS攻撃の対策(まとめ)
ぜひ同資料を参照いただき、DDoS対策にあたって何を検討しどのようなことを実践すべきかを明確にしてほしい。
[PR]提供:A10ネットワークス