F5 Blog

 
アーカイブ 記事を検索

「Security Days Fall 2017」講演レポート

デジタル ビジネスを支えるWeb基盤の高可用性を実現するセキュリティ対策とは?
~最新の脅威に対する包括的な防御の実現方法~

F5 Silverline クラウド サービス
シニア バイス プレジデント
イアン・ジョーンズ

2017年9月28日、東京・JPタワーホール&カンファレンスで開催された「Security Days Fall 2017」にて、F5のクラウド型サービスSilverline担当シニア バイス プレジデントのイアン・ジョーンズが登壇し、講演を行いました。テーマは、アプリケーション攻撃とDDoS攻撃を防御するためのセキュリティ対策。最新の脅威の実態と、F5が提唱する「ハイブリッド防御」が紹介されました。その講演の内容をここに掲載します。

Services for private coulds

 

アプリケーション攻撃とDDoS攻撃が大きな脅威に

私はテクノロジー業界に30年以上おりますが、この業界はいま、かつてないほど大きな変化を遂げようとしています。クラウドでどこででもアプリケーションやデータにアクセスできるように、環境がダイナミックに変わりつつあるのです。これに伴いリスクも変化しており、さまざまな形のセキュリティ脅威が生じています。

サイバー攻撃の数は増大し、規模も大きくなっています。またマスコミにも頻繁に取り上げられるようになりました。直近の2週間を見るだけでも、日本の証券会社等金融系サービス企業が大規模な攻撃を受けています。また米国でもサイバー攻撃を受け、CEOが辞任したケースがあります。企業の評判も損なわれます。これは大きな課題なのです。

Services for private coulds
Security Days Fall 2017 F5 講演資料

これは決して他人事ではありません。ある独立系調査会社の調査結果によれば、ハッキングを受けた米国企業の割合は80%となっており、ヨーロッパでは92%に達しています。本日は残念ながら日本のみを対象にしたデータは持ってきていませんが、アジア、アフリカ、中南米では85%となっています。サイバー攻撃は特定の地域の話ではなく、世界中あらゆる地域で発生しています。

Services for private coulds
Security Days Fall 2017 F5 講演資料

攻撃の威力も増大しています。ボットネットで使用されるIPアドレスの数は増えており、データの不正入手を目的としたWebアプリケーション攻撃も一般的になっています。Webアプリケーション攻撃で最も多いのはSQLインジェクションで、これは43%を占めています。

そしてもう1つ大きな脅威となっているのがDDoS攻撃です。F5は448Gbpsの攻撃を防御した経験を持っていますが、インターネット全体ではこれまでに、1.2Tbpsの攻撃が発生しています。また最近ではシステムインフラが複雑になった結果、マルチレイヤを対象にした巧妙な攻撃も増えています。今後IoTが普及し、インターネットに接続されるデバイスが増大すれば、DDoS攻撃のリスクはさらに高くなるでしょう。

Services for private coulds

DDoS攻撃は、攻撃対象のシステムのリソースや帯域を枯渇させ、サービス不能に追い込む攻撃ですが、これによって当然ながらビジネスが停止し、収益に影響を与えます。またデータを保護しきれなかった場合には、その復旧にもコストがかかります。そして何より恐ろしいのは、これによって評判も下がってしまうことです。ブランドを構築するには長い年月が必要ですが、DDoS攻撃を受けることで一瞬にして、これを失う危険性もあるのです。

DDoS攻撃のリスクは身近なところに潜んでいます。ある大学では、試験を受けたくない学生が試験を妨害するために、DDoS攻撃を行ったケースもあります。それだけの労力を費やすなら勉強すればいいのにと私なら思いますが、この大学は結果的に再試験を行う必要が生じ、名声も失ってしまいました。

効果的な防御を可能にする「ハイブリッド防御」

それではこれらの攻撃を効果的に防御するには、どのようなアプローチを取ればいいのでしょうか。F5が提唱しているのは「ハイブリッド型防御」です。クラウドとオンプレミスを組み合わせ、連携させて多段防御を行うのです。

Services for private coulds
Security Days Fall 2017 F5 講演資料

例えばDDoS攻撃を防御することを考えてみましょう。クラウド型サービスとオンプレミスの防御には、それぞれ一長一短があります。まずクラウド型サービスを使用した場合には、自分のサイトにまでDDoS攻撃が到達しないため、大規模な攻撃が発生しても帯域の枯渇を心配する必要がありません。しかし特定レイヤにフォーカスしたソリューションになることが多く、すべてのレイヤを対象にした保護を実現することは困難です。これに対してオンプレミス防御は、あらゆるレイヤに対するきめ細かい防御が可能です。しかし攻撃の緩和は最大受信接続サイズまでに制限され、これを超える規模の攻撃を受けた場合には手も足も出ない、という状況に陥ってしまいます。

Services for private coulds
Security Days Fall 2017 F5 講演資料

ハイブリッド防御であれば、それぞれの弱点を補うことができます。大規模な攻撃にも耐えることができ、あらゆるレイヤに対するきめ細かい防御も実現できるのです。

F5はそのために、DDoS攻撃やアプリケーション攻撃を、F5のハードウェア「F5 BIG-IP」によるオンプレミス型アプリケーションサービスと、クラウド型のスクラビング サービスである「F5 Silverline」を提供しています。これらを組み合わせることで、大規模なDDoS攻撃(ボリュメトリック攻撃)はクラウド上のSilverlineで食い止め、比較的小規模なDDoS攻撃はBIG-IPのファイアウォール機能、アプリケーション攻撃はBIG-IP ASM(Application Security Manager)が提供するWAF機能で防ぐことが可能になります。なおASMの機能はSilverlineにも実装されており、これをマネージド サービスとして利用することも可能です。

Services for private coulds
Security Days Fall 2017 F5 講演資料

F5は、このようなハイブリッド型の統合型スクラビング サービスを一括して提供できる、唯一のベンダです。すでにハードウェア ベースのDDoS攻撃防御を数多くのお客様に提供しており、それと同等の機能をクラウドでも提供しているのです。またSSLで暗号化された攻撃も、高いパフォーマンスで復号、解析 できます。

ただし実際の運用には、高度なスキルを持つ専門家が必要です。最近ではゼロデイ攻撃が増えており、防御のためのポリシーを、攻撃を受けた時点で決めなければならないケースも少なくないからです。F5はそのために、シアトルとワルシャワにSOC(Security Operation Center)を設置し、セキュリティ専門家による24時間365日体制のサポートを提供しています。このサポートはグローバルに提供されており、日本語にも対応しています。

Services for private coulds
Security Days Fall 2017 F5 講演資料

448Gbpsの攻撃を防御し攻撃者が諦めた事例も

ではここから、実際の事例をご紹介しましょう。1つは英国の通信事業者様のケースです。

Services for private coulds
Security Days Fall 2017 F5 講演資料

このお客様はDDoS攻撃でサービスを妨害された上、SQLインジェクション攻撃によって顧客情報や金融情報も失い、最終的な損失額は3000万~3500万ポンド(45億~50億円)に上りました。その後、F5のハイブリッド型ソリューションを導入することで、攻撃の緩和が実現されています。なお被害につながった攻撃を受けたのは1年半前ですが、現在でも復旧作業が続いています。

もう1つはグローバル オンライン決済企業様のケースです。

Services for private coulds
Security Days Fall 2017 F5 講演資料

ここはすでにSilverlineが導入されていましたが、あるとき200GbpsのDDoS攻撃を受けました。これはSilverlineで軽減され問題は発生しなかったのですが、その後さらに400Gbpsへと攻撃規模が拡大、最終的には448Gbpsに達しました。Silverlineはこれにも対応したため、攻撃者はここで諦め、攻撃は終息しました。この攻撃は、これまで発生した中でも最大規模のDDoS攻撃の1つであり、Silverlineの有効性を実証する結果となりました。

これを支えているのがF5 SOCです。お客様からもこのようなコメントを頂いており、お客様満足度も10点満点中9.4点に達しています。

Services for private coulds
Security Days Fall 2017 F5 講演資料

セキュリティの境界線はネットワークからアプリケーションへ

セキュリティ上の境界線は、かつては物理的なネットワーク上で明確に示すことができ、ここにファイアウォールを設置することで攻撃を防御できました。しかし現在ではアプリケーションが新たな境界線となっています。アプリケーションはデータへの入り口であり、だからこそ多くの攻撃がアプリケーションを狙うようになっているのです。

Services for private coulds
Security Days Fall 2017 F5 講演資料

セキュリティ対策も、この新しい境界線を意識したものに変わらなければなりません。いまこそセキュリティ アーキテクチャを見直すべきです。

すでにF5は、新しい時代に対応したアーキテクチャを確立しています。脅威リスクの大きさとその影響を適切に判断するためのコンテキスト評価、多様なセキュリティ機能を連携させたチェーン セキュリティ サービス、そして常にパフォーマンスをトラッキングしながらハイブリッドで提供されるアプリケーション防御によって、高度なセキュリティ脅威に対抗するためのフルプロキシ型防御を実現しています。

Services for private coulds
Security Days Fall 2017 F5 講演資料

セキュリティ アーキテクチャは、今後も継続的に見直していく必要があります。脅威は常に進化しており、それへの対応が欠かせないからです。警戒を怠らずに準備を万端にしておくこと。その心構えこそが、ビジネス活動を支えるシステムやデータを守ることにつながるのです。

Services for private coulds
Tags:
お問い合わせ