DDoS対策は、たとえば自動車のエアバッグシステムのようなものだと考えれば、わかりやすいでしょう。つまり、実際に必要になるまでは真価がわかりにくい存在です。エアバッグとDDoS対策は、どちらも想像したくもないような恐ろしい脅威に対する保護です。常備が不可欠であり、これが貴重な安心感を与えてくれます。
現在、DDoS攻撃が増加していますが、これは今後もなくなりそうにありません。今こそ、対策を導入することのメリット、対策をしないと生じるおそれのある損害について検討するときです。
DDoS攻撃はなくならない
現在のDDoS攻撃は、多岐にわたる形態や方法があります。攻撃者はプロのハッカーの場合もあれば、勝負に焦る競合他社、元従業員、いずこの民族国家が背後にいる団体のほか、不満を募らせた顧客の場合さえあります。何とかして標的に大ダメージを与え、サービスの中断に追い込もうというのが目的です。
DDoS攻撃は、レイヤ3またはレイヤ4のボリューム攻撃から、レイヤ7でひっそり、ゆっくりと仕掛けられる巧妙な攻撃まで、あらゆる場所で発生します。ラドウェアの調べでは、組織の3分の1が、遅かれ早かれDDoS攻撃を受けています。金を出せば利用できるbotnetがダークウェブで出回り、大規模なDDoS攻撃を仕掛けるのも以前よりはるかに簡単になっています。組織が備えを怠れば、とてつもなく大きなリスクにさらされ続けることになります。
[関連記事: Layer 7 Attack Mitigation(レイヤ7の攻撃対策)]
インターネットのトラフィックは、暗号化によってセキュリティを強化する傾向が続いています。したがって、企業が目に見えない脅威から自社を守るには、暗号化されたフラッド攻撃に対する保護策が必須になってきます。
攻撃による損害
ラドウェアの調査によれば、サイバー攻撃による損害の額は、1回あたり推定110万ドルにのぼります。DDoS対策の導入は、単なるネットワーク保護にとどまらない、優れたROIを発揮します。攻撃による潜在的な損害を見積もる際に考慮すべき主な側面としては、次の点が挙げられます。
- ユーザーエクスペリエンス ― Gartnerの調査によると、企業の89%は、主として顧客エクスペリエンスの優劣を競争の基準としています。消費者が製品やサービスを公の場でレビューする機会が今までになく増えていますので、安定したエクスペリエンスを提供し続けることが、何より大切です。DDoS攻撃でネットワークに障害が発生すると、企業の製品やサービスを利用するユーザーが困る場面が発生します。使いたいリソースにアクセスできなくなるなど、サービスの低下や完全な停止が発生して、エクスペリエンスが阻害されます。DDoS攻撃を受けると、苦労して獲得した顧客の信頼が損なわれ、顧客の維持・獲得に費やしてきたリソースが無駄になる可能性があります。
- ブランドの評判 ― デジタルの世界は、信頼関係がすべてです。オンラインストアの利用者が、利用規約を読まずにクレジットカード番号や個人情報をすすんで入力するのは、相手方との間に相互信頼関係があると感じているからです。このようなストアが、簡単に防げるはずのサイバー攻撃を防げなかったことを知ったら、顧客はどう感じるでしょうか。攻撃の範囲にかかわらず、顧客は信頼を裏切られたと感じ、運営会社に対して不安を抱くに違いありません。信頼を得るのは難しいですが、失うのはいとも簡単です。
- 顧客の取りこぼし ― カート廃棄や在庫切れ、404エラー、到達不能なページなどは、いずれもDDoS攻撃によって引き起こされる可能性のある問題です。これらはすべて、収益の損失という実質的な影響を及ぼします。どれほど多額の費用をマーケティングキャンペーンにつぎ込んでも、肝心なタイミングで顧客が使うネットワークが利用不可になってしまっては、顧客のコンバージョンにこぎつけられません。
土壇場の導入は負担が大きく、困難なうえに何が起きるか予測できない
自社が攻撃を受けていることが判明し、セキュリティチームが対処にあたっている最中の土壇場のタイミングで初期の準備が複雑なDDoS対策を導入しようというのは、きわめて困難です。
[関連記事: 5 Myths About DDoS in 2020(DDoSにまつわる5つの誤解・2020年版)]
そのうえ、クラウド型DDoS対策サービスを導入するにはISP(インターネットサービスプロバイダー)の協力が不可欠ですが、ISPにも自社の都合がありますから、タイミングよく協力を得られるとは限りません。また、セキュリティチームの責任ではない事情で、導入のプロセスが数日間に及ぶ場合もあります。あらかじめしっかり用意しておかないと、その間にDDoS攻撃によって大きなダメージを被りかねません。