これは、Link11 のソリューション エンジニアリング担当副社長、Jag Bains 氏によるゲスト寄稿記事です。
ジャンプ先:
- 「ブラックホール化」がもはや戦略として不十分な理由
- DDoS対策のアウトソーシングは危険なリスクをもたらす
- DDoS戦略に不可欠なサイバーセキュリティマニュアル
トラフィック量が多くない、またはトランザクション集約型のオンラインコマースを提供していない Web サイトは、魅力的なターゲットではないため、DDoS 攻撃に備える必要はありません。
このような考え方は完全に間違っているが、多くの意思決定者はそのように考えている。
サイバー犯罪者は、ウェブサイトの人気度やユーザーに提供するサービスには全く関心がありません。さらに、ハッカーは常に、より複雑で効果的な攻撃を仕掛ける新たな手法を模索しており、備えのできていない被害者には深刻な経済的損害や評判の失墜をもたらす可能性があります。
現在、中規模から大規模のサイバー攻撃を仕掛けるのは容易かつ安価です。あるいは、無数の怪しいプラットフォームにDDoS攻撃を依頼すれば、自ら技術に手を出す必要すらありません。特にホスティング会社やISPは、標的の状況が常に変化する可能性があるため、複雑な課題に直面しています。そのため、セキュリティを保証または予測することはさらに困難です。そのため、これらの企業にとって、保護対策を徹底的に実施し、常に最善の防御策を講じることが、これまで以上に重要になっています。
DDoS攻撃への備えが必要なかった時代はとうに過ぎ去りました。企業の規模、業種、知名度などは関係ありません。
どのような場合でも、企業の保護対策は常に最新の状態にしておく必要があり、DDoS 攻撃に対してどれだけ準備ができているかを常に自問する必要があります。準備ができていない場合は、深刻な結果に直面することになります。
「ブラックホール化」がもはや戦略として不十分な理由
かつて、DDoS攻撃を阻止するためによく用いられた戦略の一つは、標的のIPアドレスに「ブラックホール」を作り出し、そのアドレスをITインフラの他の部分から分離することで被害の拡大を防ぐというものでした。ブラックホールが作られたIPアドレスは、ブラックホールが除去されるまでアクセスできません。多くの企業が現在でもこのタイプの防御策を採用していますが、この防御戦略には限界があります。
CISOが企業のインフラストラクチャを評価する際、ITシステムに優先度が付けられます。優先度の低いシステムは一定期間使用しなくても構いませんが、優先度の高いシステムはほぼ交換不可能です。
少なくとも、それは理論上の話です。実際には、多くのアプリケーション・プログラム・インターフェース、マイクロサービス・アーキテクチャ、その他多くの重複により、システムへの依存度は大幅に高まっています。
こうした依存関係と重複により、かつては不要と思われていたシステムが、もはやそれほど重要ではなくなりました。連鎖反応の危険性は常に存在し、ブラックホール戦略は以前ほど効果的に機能しなくなりました。
DDoS対策のアウトソーシングは危険なリスクをもたらす
IT管理者がDDoS対策をクラウドプロバイダーやISPにアウトソーシングすることは珍しくありません。外部パートナーに責任を委ねることで、リソースの節約を目指しているのです。これは賢明なアイデアですが、軽視すべきではないリスクを伴います。
このようなパートナーのDDoS防御は、多くの場合初歩的なものであり、最新の基準を満たしていることはほとんどありません。ブラックホール化から単純なACLやレート制限まで、その対策は多岐にわたります。こうしたプロバイダーは、プロトコルレベルやアプリケーションレベルの攻撃に対する備えが不十分な場合が多く、攻撃者が大混乱を引き起こすのをただ見守るしかありません。一部の孤立したISPやクラウドサービスでは、顧客に最新のL3-L7 DDoS防御対策を提供していますが、攻撃発生時に直接対応が行われるのはごくまれです。
しかし、応答時間が極めて重要な状況では、一秒一秒が重要です。さらに、クラウドユーザーはロードバランサーやクラウドファイアウォールなどの追加サービスを頻繁に必要とするため、不必要なコスト増加につながります。
DDoS対策をアウトソーシングすると、攻撃発生時に自らの行動を制御できなくなり、安全だと錯覚してしまう可能性があります。IT管理者は、選択したサービスプロバイダーの能力を十分に理解し、インフラストラクチャ保護対策が攻撃に対して効果的な介入となるよう徹底する必要があります。
DDoS戦略に不可欠なサイバーセキュリティマニュアル
企業がサイバーセキュリティマニュアルを策定する際には、DDoS攻撃への緊急事態への対応戦略を盛り込むべきです。攻撃が発生した場合、対応策が明確である必要があります。そうでなければ、自社サービスの稼働時間と可用性が危険にさらされることになります。DDoS攻撃が発生した場合に備えて、技術的対策と組織的対策を含む多層的なソリューションアプローチを用意しておくことをお勧めします。
最先端のファイアウォール(次世代ファイアウォール)は一定の保護機能を提供しますが、その能力には限界があるため、広範囲にわたる攻撃に対する防御には限定的な効果しか期待できません。さらに、クラウドベースのアプリケーションを防御することはできず、いわゆるステート実行攻撃に対して脆弱です。
社内の保護戦略に人工知能ベースのソリューションを組み込むことは、効果的で実績のあるアプローチです。このような自動化された保護は、人為的なミスを起こさずに動作し、データベースを常に最新の状態に保ちます。
DDoS防御とクラウドを組み合わせたハイブリッドアプローチも選択肢の一つです。これにより、リアルタイムのトラフィックフィルタリングと検査が可能になり、高度なDDoS防御を確保できます。ここでは閾値が設定されており、閾値に達した場合、クラウドソリューションは悪意のあるトラフィックをリアルタイムでフィルタリングし、正当なトラフィックのみをターゲットに流入させます。
まとめると、ハイブリッドソリューションは保護を最大化するための魅力的なアプローチです。両方の長所を組み合わせ、ローカルまたはクラウドのみで運用する対策よりも高いレベルの保護を提供します。
すべての企業は包括的なDDoS対策を実施する必要があります。このような戦略を策定することでのみ、攻撃の影響を軽減し、標的型DDoS攻撃を受けた場合でもシステムの運用を継続し、影響を受けないようにすることができます。
次に読む:チートシート:分散型サービス拒否(DDoS)攻撃(無料PDF )(TechRepublic Premium)
