DDoS 緩和とは何ですか?
分散型サービス拒否 (DDoS) 攻撃はアプリケーションの可用性を脅かす可能性があるため、DDoS 緩和ソリューションを導入することが重要です。
分散型サービス拒否 (DDoS) 攻撃は、特定のアプリケーションまたは Web サイトを標的とし、対象システムのリソースを使い果たして、正当なユーザーがアクセスできない状態にすることを目的とするサイバー攻撃の一種です。 2023 年には、アプリケーション層への攻撃が 165% 増加し、テクノロジー部門がすべての業種の中で最も攻撃を受ける部門としてトップの座を獲得します。 そのため、稼働時間と回復力を維持するためには、包括的な DDoS 緩和ソリューションを導入することが重要です。
DDoS 攻撃の重要な概念
DDoS 緩和方法とソリューションを検討する前に、今日の DDoS の脅威について深く理解することが重要です。 分散型サービス拒否 (DDoS) 攻撃は、ターゲット リソースに大量のトラフィックを集中させ、操作不能になるほど過負荷状態にすることでインフラストラクチャを劣化させます。 DDoS 攻撃では、アプリケーションのパフォーマンスを低下させる特別に細工されたメッセージが送信されることもあります。 DDoS 攻撃は、ファイアウォールの状態テーブルなどのネットワーク インフラストラクチャや、サーバーや CPU などのアプリケーション リソースをターゲットにする可能性があります。
DDoS 攻撃は深刻な結果をもたらす可能性があり、オンライン サービスの可用性と整合性が損なわれ、大きな混乱が生じ、金銭的損失や評判の失墜につながる可能性があります。 これらの攻撃は、悪意のある人物が重要なデータにアクセスできるようにするための注意をそらすために使用される可能性もあります。
DDoS 攻撃は、トラフィックを大量に送信してネットワーク、サーバー、または Web サイトの正常な機能を妨害しようとするサービス拒否 (DoS) 攻撃の一種です。 一方、DDoS 攻撃では、複数のデバイスを使用してターゲットに大量のトラフィックを流入させます。 DDoS 攻撃では複数のシステムが単一のシステムを攻撃するため、脅威ははるかに大きくなり、阻止するのもより複雑になります。
これらは、7 層のオープン システム相互接続 (OSI) モデルで見られる一般的な DDoS 攻撃の種類です。
- ボリューム型攻撃は、ネットワークが動作不能になるほどの大量のトラフィックでネットワークを圧倒するように設計されています。 これらの攻撃は通常、ボットネットを使用して実行されます。ボットネットとは、単一の攻撃者によって制御される侵害されたデバイスのネットワークです。
- プロトコル攻撃はOSI モデルのネットワーク層を標的とし、TCP/IP、ICMP、UDP などのネットワーク プロトコルの脆弱性を悪用します。 これらの攻撃は、ファイアウォール、ルーター、ロードバランサーなどのネットワークデバイスのリソースに過負荷をかけ、サービスの中断を引き起こすように設計されています。 これらは「計算」攻撃とも呼ばれます。
- アプリケーション層攻撃は、 OSI モデルのアプリケーション層を標的とし、HTTP、HTTPS、DNS などの Web アプリケーションの脆弱性を悪用します。 これらの攻撃は、Web サーバーのリソースを使い果たしてサービスの中断を引き起こすように設計されています。
DDoS 攻撃で使用される一般的な攻撃ベクトル:
- UDPフラッド: この攻撃は、ターゲット サーバーにユーザー データグラム プロトコル (UDP) パケットを大量に送信し、サーバーがクラッシュしたり、応答しなくなったりする可能性があります。
- TCP SYNフラッド: この攻撃は、2 つのデバイス間の接続を確立するために伝送制御プロトコル (TCP) によって使用される 3 ウェイ ハンドシェイク プロセスを悪用します。 攻撃者は大量の SYN パケットをターゲット サーバーに送信し、サーバーが応答しなくなる可能性があります。
- HTTPフラッド: この攻撃は、Web サーバーを標的とし、大量の HTTP リクエストをターゲット サーバーに送信して、サーバーが応答しなくなるようにします。
- DNS増幅: この攻撃は、ドメイン ネーム システム (DNS) を悪用して、ターゲット サーバーに DNS 応答パケットを大量に送信し、サーバーが応答しなくなる可能性があります。
- NTP増幅: この攻撃は、ネットワーク タイム プロトコル (NTP) を悪用して、ターゲット サーバーに NTP 応答パケットを大量に送信し、サーバーが応答しなくなる可能性があります。
- SSDP増幅: この攻撃は、Simple Service Discovery Protocol (SSDP) を悪用して、ターゲット サーバーに SSDP 応答パケットを大量に送信し、サーバーが応答しなくなる可能性があります。
- SYN-ACKフラッド: この攻撃は、TCP の 3 ウェイ ハンドシェイク プロセスを悪用し、大量の SYN-ACK パケットをターゲット サーバーに送信して、サーバーが応答しなくなるようにする可能性があります。
- HTTP 読み取り速度が遅い: この攻撃は、ターゲット サーバーに HTTP リクエストを送信しますが、応答の読み取りが遅いため、サーバーが応答しなくなる可能性があります。
- 死の音: この攻撃は、ターゲット サーバーに特大の ping パケットを送信し、サーバーがクラッシュしたり応答しなくなったりする可能性があります。
- スマーフ攻撃: この攻撃は、インターネット制御メッセージ プロトコル (ICMP) を悪用して、複数のソースからの ping 要求をターゲット サーバーに大量に送信し、サーバーが応答しなくなる可能性があります。
- 重いURL: 攻撃計画の偵察段階では、攻撃者は Web サイトの最も計算コストの高い URL を検索し、それを DDoS 攻撃の一部として使用します。 これらは、リクエスト時にサーバーに大きな負荷をかけることから、「重い」URL と呼ばれます。
- 低くゆっくり: これらの DDoS 攻撃の目的は、アプリケーション リソースを静かに、かつ密かにダウンさせることであり、非常に少ない帯域幅を使用してそれを実行します。 そのため、検出が難しく、TCP 接続がすでに確立されているアプリケーション層で発生するため、HTTP リクエストは正当なものに見えます。
したがって、 DDoS 攻撃の脅威は非常に大きく、企業はサイバー攻撃に対してさらに脆弱になる可能性があります。 つまり、DDoS 攻撃がどのように発生するかを理解して、攻撃を軽減するための対策を講じることが重要です。
サイバーセキュリティ ポリシーの可用性において DDoS 緩和策を実装することが重要な理由:
DDoS 攻撃は、重大なダウンタイムを引き起こし、サービスの可用性を阻害し、経済的損失や評判の失墜につながる可能性があります。
保護: DDoS 緩和対策を組み込むことで、企業は悪意のあるトラフィックがネットワーク インフラストラクチャに到達するリスクを軽減し、正当なユーザーが Web サイトや Web アプリケーションにアクセスできるようにすることができます。 DDoS 攻撃は、データ侵害につながる可能性のある組織的な攻撃キャンペーンからセキュリティ チームの注意をそらすための煙幕として使用されることがあります。 そして、ある種の攻撃は、単純に「コード化」して排除することができません。
回復力: 効果的な DDoS 緩和テクノロジーに投資することで、国家レベルの敵やその他の悪意のある攻撃者に対する組織の回復力が強化され、攻撃の標的としての魅力が低下します。
コスト削減: DDoS 攻撃を迅速に緩和することで、組織は時間とコストを節約できます。
サイバーセキュリティ ポリシーに DDoS 緩和策を組み込むことで、組織はリソースを積極的に保護し、サービスの可用性を維持し、潜在的な DDoS 攻撃の影響を最小限に抑えることができます。
DDoS 緩和技術
これで、ビジネスに不可欠なデータやアプリケーションなど、DDoS 攻撃に対して脆弱になることで何が危険にさらされるのか、また DDoS 軽減ソリューションを導入することがなぜ重要なのかを理解できました。 ここで、 DDoS 緩和策の種類を確認し、お客様のニーズに最適なソリューションを決定できるようにします。
オンプレミス DDoS 緩和
DDoS 攻撃のリスクを軽減するために組織が実装できるオンプレミス ソリューションと対策には、いくつかの種類があります。 これらのいくつかは、クラウドベースのものに加えて、より強力な全体的な防御態勢を構築するためにも使用できます。
- ネットワークインフラの強化: このソリューションでは、DDoS 攻撃に耐えられるようにネットワーク インフラストラクチャを強化します。 これには、帯域幅の増加、冗長リンクの追加、ネットワーク デバイスのアップグレードが含まれます。
- レート制限とトラフィックシェーピング: このソリューションでは、ネットワークに入ることができるトラフィックの量を制限します。 これは、ネットワーク デバイスにレート制限を設定するか、トラフィック シェーピング技術を使用してトラフィックに優先順位を付けることによって実装できます。
- ファイアウォールと侵入防止システム (IPS): このソリューションでは、ファイアウォールとIPS デバイスを使用して悪意のあるトラフィックをフィルタリングします。 ファイアウォールは IP アドレス、ポート、プロトコルに基づいてトラフィックをブロックできますが、IPS デバイスはシグネチャに基づいて攻撃を検出してブロックできます。
クラウドベースの DDoS 緩和
DDoS 緩和の取り組みをクラウドまたはハイブリッド ソリューションに移行すると、効率、スケーラビリティ、有効性が向上します。 一部のクラウドベースのソリューションは、オンプレミスのソリューションと統合できます。 クラウドベースの DDoS 緩和ソリューションは、クラウド配信ネットワーク (CDN)上で動作します。
- エニーキャスト ルーティングは、トラフィックを処理できる最も近いデータ センターに分散します。 これは、ネットワークのさまざまな部分で同じネットワークをアナウンスすることで機能し、そのネットワークに到達するためのネットワークの「移動時間」を短縮します。 CDN ネットワークがエニーキャスト ルーティングを使用すると、トラフィックがより戦略的に分散され、受信ネットワークの表面積が拡大し、大量のトラフィックをより多くのデータ センターに再ルーティングできるようになります。
- トラフィック スクラビング センターは、正当なトラフィックから悪意のあるトラフィックをフィルタリングするように設計されたデータ センターです。 これらは、攻撃トラフィックをフィルタリングし、クリーンなトラフィックを顧客のサーバーに転送することで、DDoS 攻撃を軽減するために使用されます。 DDoS 攻撃が発生すると、トラフィックはスクラビング センターを経由してルーティングされ、そこで分析およびフィルタリングされます。 クリーンなトラフィックは顧客のサーバーに転送されます。
ハイブリッド クラウドベースの DDoS 緩和
DDoS 緩和の取り組みをハイブリッド ソリューションに移行すると、パブリック クラウドのセキュリティとプライベート クラウドまたはオンプレミスの管理を最大限に活用できます。 ハイブリッド モデルにより、企業は独自のデータ ニーズに合わせてセキュリティ体制をさらに調整できます。
アプリケーション DDoS 緩和
アプリは現代のビジネスの原動力となっていますが、DDoS 攻撃の標的となるケースが増えています。 従来の DDoS 緩和は静的かつ集中化されています。 しかし、アプリはクラウドやアーキテクチャ全体に分散されているため、最大限の保護を提供するには、スケーラブルで柔軟な DDoS 緩和ソリューションが必要です。
DDoS 緩和のコンポーネント
包括的な DDoS 緩和戦略には通常、いくつかの主要なコンポーネントが含まれます。
トラフィック分析と監視
DDoS 緩和の最初のステップは、潜在的な問題やリスクを検出することです。 脅威を識別して警告する主な 2 つの方法は、シグネチャベースの検出と異常ベースの検出です。
シグネチャベースの検出では、既知の侵害指標 (IOC) の事前にプログラムされたリストに基づいて脅威を識別します。 これらの IOC には、悪意のあるネットワーク攻撃の動作、電子メールの件名の内容、ファイル ハッシュ、既知のバイト シーケンス、悪意のあるドメインなどの問題が含まれる可能性があります。 シグネチャベースの検出は、既知の攻撃に対しては処理速度が速く、誤検出率も低いですが、ゼロデイ攻撃を検出することはできません。
一方、異常ベースの検出は、未知の疑わしい動作に対して警告を発することができます。 異常ベースの検出では、まず正規化されたベースラインを使用してシステムをトレーニングし、次にそのベースラインに対してアクティビティを比較します。異常が検出されると、アラートがトリガーされます。 異常ベースの検出では、誤検出率が高くなる可能性があります。
リアルタイムの交通迂回
DNS リソースの保護はビジネスにとって重要です。 2 つのリアルタイム交通迂回ソリューションが役立ちます。
- DNS リダイレクトでは、DNS クエリをあるドメイン名から別のドメイン名にリダイレクトします。 これは、Web サイトが新しいドメイン名に移動した場合や、企業がトラフィックをあるドメイン名から別のドメイン名にリダイレクトしたい場合に役立ちます。 DNS リダイレクトは、DNS ゾーン ファイルの CNAME レコードを使用して実装できます。 元のドメイン名に対する DNS クエリが受信されると、DNS サーバーは新しいドメイン名を指す CNAME レコードで応答します。 次に、クライアントは新しいドメイン名に対して新しい DNS クエリを送信します。
- BGP エニーキャストでは、インターネット上の複数の場所から同じ IP アドレスをアドバタイズします。 BGP エニーキャストでは、ボーダー ゲートウェイ プロトコル (BGP) を使用して複数の場所から IP アドレスをアドバタイズします。 クライアントが Anycast IP アドレスに DNS クエリを送信すると、そのクエリは IP アドレスをアドバタイズしている最も近い場所にルーティングされます。 これにより、レイテンシが短縮され、DNS サービスのパフォーマンスと可用性が向上します。 BGP エニーキャストは、通常、異なる地理的地域に複数のデータセンターを持つ大規模な組織で使用されます。
攻撃のフィルタリングとクリーニング
トラフィックがネットワークに向かって移動したり、ネットワークを通過したりする際には、悪意のあるアクティビティがないか継続的に監視する DDoS 緩和ソリューションが必要です。
- 悪意のあるトラフィックの識別は、クライアントからのトラフィックがアプリケーション層に送信される前にそのトラフィックを検査することで機能し、悪意のあるトラフィックがプロキシ バリアを通過しないようにします。 サーバーから返されるトラフィックは、クライアントに返すことが適切であると判断される前に、完全に検査されます。 これにより、クレジットカード番号や個人情報などの機密データがプロキシバリアを越えて渡されることがなくなります。
- スクラビング アルゴリズムとテクニックは、ネットワークに侵入した悪意のあるトラフィックを検出して削除するために使用されます。 スクラビング センターはトラフィックの最初の停止地点です。センターでは、トラフィックの特性と可能性のある攻撃手法に基づいてトラフィックがトリアージされます。 トラフィックはスクラビング センターを通過する際に引き続きチェックされ、悪意のあるトラフィックが完全に削除されたことが確認されます。 DDoS 攻撃により顧客環境への侵入パイプが簡単に圧倒される可能性があるため、このセキュリティ制御は重要です。
プロバイダーを選択する際に考慮すべき DDoS 緩和要因
組織のニーズに適した DDoS 緩和ソリューションを検討する際には、ビジネスの成長軌道と潜在的なリスク面を考慮して、次の要素を検討する必要があります。 クラウド サービスを検討する際には、複数のパブリック クラウド (AWS、Google Cloud、Microsoft Azure、Alibaba Cloud) とプライベート クラウド企業の中から選択できるようになりました。
DDoS 緩和プロバイダーを選択する際に考慮すべき要素
- スケーラビリティ: ソリューションは、会社のネットワークのトラフィック量を処理し、必要に応じてスケールアップまたはスケールダウンできる必要があります。
- 柔軟性: ソリューションは、変化する DDoS 攻撃の性質に適応し、新しい攻撃ベクトルから保護できるほど柔軟である必要があります。
- 信頼性: ソリューションは信頼性が高く、正当なトラフィックに影響を与えることなく、リアルタイムで攻撃を検出して軽減できる必要があります。
- 費用対効果: ソリューションはコスト効率が良く、費用対効果の高いものでなければなりません。
- 使いやすさ: ソリューションは、導入、構成、管理が容易である必要があります。
- サポート: ソリューションには、必要に応じて支援を提供できる対応力のあるサポートチームが必要です。
DDoS 緩和のベスト プラクティス
包括的な DDoS 軽減ソリューションは、リアルタイムのインシデント対応、継続的なテストとレビューにより、ネットワークを予防的にカバーし、最高のパフォーマンスを確保するのに役立ちます。
予防措置
ネットワークアーキテクチャ設計: 適切に設計されたネットワーク アーキテクチャは、ネットワークの回復力を高め、大量のトラフィックに耐えられるようにすることで、DDoS 攻撃を防ぐのに役立ちます。 たとえば、ファイアウォール、侵入検知システム、その他のセキュリティ対策を含む複数のセキュリティ層を備えたネットワークは、DDoS 攻撃がネットワークに侵入するのを防ぐのに役立ちます。 さらに、ネットワーク セグメンテーションは、影響を受けるネットワーク領域を分離することで、攻撃の影響を制限するのに役立ちます。
負荷分散: 負荷分散は、トラフィックを複数のサーバーに分散することで DDoS 攻撃を防ぎ、いずれかのサーバーが過負荷になるのを防ぐのに役立ちます。 これにより、DDoS 攻撃中でもネットワークが利用可能であることが保証されます。 ロード バランサは悪意のあるトラフィックを検出してブロックするのにも役立ち、DDoS 攻撃の成功を防ぐのに役立ちます。
詳細なベンダー SLA: DDoS 攻撃からの保護のためにサードパーティを検討する場合、あらゆる DDoS シナリオにおけるベンダーの能力を理解し、プロトコル、アクション、および応答を SLA に組み込むことが重要です。
インシデント対応
DDoS インシデントの処理手順: DDoS インシデントに迅速かつ効果的に対応するには、6 つの重要なステップが必要ですが、これらのステップは直線的に実行されるのではなく、ループ的に実行されることに留意することが重要です。
- 準備: 攻撃中に時間を節約するために、連絡先を確立し、手順を定義し、ツールを収集します。
- 検出: インシデントを検出し、その範囲を特定し、適切な関係者を関与させます。
- 分析: 攻撃トラフィックを分析してその特性を判断し、ターゲットを特定します。
- 封じ込め: トラフィックをフィルタリングし、悪意のあるトラフィックをブロックすることで攻撃を封じ込めます。
- 根絶: ネットワークから悪意のあるトラフィックを削除して攻撃を根絶します。
- 回復: サービスを復元し、インシデントを確認して攻撃から回復します。
DDoS インシデント発生時の緩和プロバイダーとの通信プロトコル: 最初から、企業とその緩和プロバイダーが厳格なコミュニケーション プロトコルに従うことが重要です。 インシデント発生時のコミュニケーションに関する推奨されるベストプラクティスは次のとおりです。
- コミュニケーション計画を立てる: 攻撃が発生する前に、DDoS 緩和プロバイダーとのコミュニケーション計画を確立します。 この計画には、主要担当者の連絡先情報、エスカレーション手順、および通信チャネルを含める必要があります。
- 詳細な情報を提供してください: DDoS 緩和プロバイダーに、攻撃の種類、ターゲット、攻撃の期間など、攻撃に関する詳細な情報を提供します。 この情報は、プロバイダーが効果的な軽減戦略を策定するのに役立ちます。
- プロバイダーと協力する: DDoS 緩和プロバイダーと緊密に連携して、組織のニーズに合わせた緩和戦略を策定します。 これには、トラフィック ルーティングの調整、トラフィックのフィルタリング、悪意のあるトラフィックのブロックなどが含まれる場合があります。
- 状況を監視: 状況を注意深く監視し、DDoS 緩和プロバイダーに定期的に更新情報を提供してください。 これにより、プロバイダーは必要に応じて緩和戦略を調整できるようになります。
- インシデントを確認する: 攻撃が軽減されたら、DDoS 軽減プロバイダーとインシデントを確認して改善すべき領域を特定し、必要に応じてインシデント対応計画を更新します。
定期的なテストとレビュー
IT チームとセキュリティ チームは定期的に分析とテストを実行する必要があります。 テストの 1 つのタイプはレッド チーム テストで、実際の攻撃者の戦術と手法をシミュレートします。 この場合、レッドチームのテスターはさまざまな DDoS 攻撃を試して、緩和ソリューションの応答を監視します。
また、世界中の犯罪者がその手法を変え続けているため、サイバー攻撃の傾向を常に把握しておくことも重要です。 緩和ソリューションは、拡張可能で、あらゆる新しいタイプの混乱に適応できるものでなければなりません。
DDoS 緩和のケーススタディ
あらゆる業種、あらゆる規模の組織、世界のあらゆる地域で事業を展開する組織は、信頼性の高い DDoS 軽減ソリューションを導入することでメリットを得ることができます。 これらのケーススタディは、DDoS 軽減ソリューションがどのようなシナリオでもどれほど効果的であるかを示しています。 あなた方のような企業は、DDoS リスクを引き受けることによって測定可能な成果を上げています。
- ケーススタディ: 大手保険会社がどのようにして DDoS 攻撃を阻止し、アプリケーションとユーザーを保護したかをご覧ください。
- ビデオ: F5 が電子メール プロバイダーのネットワーク機器を統合して潜在的な攻撃対象領域を減らし、運用セキュリティを強化した方法をご覧ください。
DDoS 緩和の今後の動向
DDoS 攻撃は数十年前から存在していますが、それを実行する悪質な行為者はますます巧妙かつ攻撃的になっています。 サイバーセキュリティの DDoS 分野における現在の傾向と今後の傾向を認識しておくことが重要です。
大まかに言えば、F5 は 2023 年に次のような傾向を発見しました。
- アプリケーション層攻撃は165%増加
- 2022年と比較して最も攻撃を受けたセクターとしてテクノロジーセクターがトップの座を獲得
- 観測されたイベント全体は -9.7% 減少しました
- ピーク帯域幅は2020年から216%増加
- すべての業界で、アプリケーションとマルチベクトルDDoSの増加が予想されます。
さらに、サイバーセキュリティの専門家が注目している成長分野が 3 つあります。
人工知能と機械学習: 製造業や顧客サービスなど、ビジネスの他の部分に AI と ML を導入する企業が増えるにつれ、DDoS 攻撃の検出と軽減において AI と ML が果たせる役割が生まれています。 最近の研究によると、人工知能の手法を使用して DDoS 攻撃を検出すると、96 パーセント以上の精度が得られることがわかりました。
モノのインターネット(IoT) : IoT は成長していますが、関連する追加のコンピューティング サーフェスを保護すると、これらのソリューションが攻撃に対してより脆弱になる可能性があります。 専門家は、攻撃を受けるリスクのあるデバイスの数を減らすために、より強力なセキュリティ対策、パスワード保護、ファイアウォールや VPS の使用を導入することを提案しています。
ブロックチェーン技術: ブロックチェーン技術は、その性質上、分散化されており、分散ストレージが保護されているため、DDoS 緩和のための興味深い選択肢となります。 これは、セキュリティも地理的に標的にされる可能性がある地理的攻撃に特に役立ちます。
DDoS 攻撃がなくならない一方で、現在および今後数年間にわたってこれらの攻撃を軽減するのに役立つツールが増えています。
F5 がどのように役立つか
分散型サービス拒否 (DDoS) 攻撃は何十年も前から存在しており、なくなる気配はありません。 そのため、企業は DDoS 緩和ソリューションについて将来を見据えて考える必要があります。 F5 では、サイバーセキュリティはほぼすべての業務の中心にあります。 当社の DDoS 軽減ソリューションと優れたサポートにより、組織は DDoS 攻撃のリスクを軽減するために必要な優位性を獲得できます。 また、DDoS 緩和ソリューションが企業のニーズに合わせて拡張および適応できること、そして DDoS 攻撃者の脅威の変化に対応できることも重要です。
F5 は、お客様とお客様のネットワークに必要なDDoS 攻撃からの保護をあらゆる面でサポートします。 当社は、お客様の組織のニーズに適したタイプの DDoS 緩和策を実装する豊富な経験を持っています。
