年末が近づいてきました。今年を振り返ってみますと、2020年は記録的なDDoSの1年でした。この12か月の間に、過去最大のDDoS攻撃や世界中で金融サービス業を標的にしたDDoSによるランサムウェア作戦、ゲーミングサービスを狙った大規模攻撃が発生しました。そして、COVID-19も忘れてはいけません。悪意のある攻撃者は、新型コロナウイルスが引き起こした危機にも付け入っています。
DDoS攻撃の規模が大きくなり、巧妙になるにつれて、このような脅威から自社を守る方法を模索する組織が出始め、当然の成り行きとしてDDoS対策に対する関心が高まってきています。
ところが、各種のDDoS対策を比較検討し始めた企業の多くがすぐに気付いたのは、オンデマンド型クラウドサービス、常時接続型クラウドサービス、オンプレミスアプライアンス、ハイブリッド型など、DDoS対策にはさまざまな方式があって、どれが自社に最適かを考えなければならないという点です。
そして、その答えは一言で言ってしまうと、「ケースバイケース」です。
使用環境によって異なる最適な導入方式
まず理解しておいていただきたいのは、DDoS対策に「もっとも優れた方式」というものは存在しないということです。これはとても大切な点です。むしろ、各種の導入方式にそれぞれ長所と短所がありますので、どれが最適かは企業によってケースバイケースです。
いいかえれば、問題は「どの方式のDDoS対策が最も優秀か」ではなく、「どの導入方式が自社のニーズに最適か」なのです。
[関連記事: DDoS Protection is Like Airbags in Your Car(DDoS対策は自動車のエアバッグのようなもの])]
ハードウェアアプライアンス:高機能だが容量に制限
従来、DDoSに対する保護は、顧客のデータセンターに設置するハードウェアアプライアンスに依存していました。ハードウェアアプライアンスは、遅延が少なく、ネットワーク管理者が細かく制御できるなど、多くは高度な保護を提供してくれます。
ところが、容量については、ハードウェアアプライアンスやトラフィックを運ぶパイプに限界があり、制約を受けてしまいます。こうした制約から、ハードウェアアプライアンスは大規模なボリューム攻撃の影響を受けやすく、組織のトラフィックを受け持つパイプが飽和状態になることがあります。さらに、組織内では管理のオーバーヘッドが増し、購入に多額の先行投資(CAPEX)が求められるほか、運用するための専任スタッフも必要です。
したがって、現在、スタンドアロンのハードウェアアプライアンスが適しているのは、DDoSの緩和策として自社独自のスクラビングセンターを構築する(通常は複数のハードウェアデバイスを設置する)大規模な組織やサービスプロバイダーか、国や業界の規制によってクラウドセキュリティサービスの使用が禁止されている組織です。
[関連記事: 3 Reasons Why DDoS Protection is Your Best Investment(DDoS対策への投資が大切な3つの理由)]
オンデマンド型クラウドサービス:大容量を必要なときにのみ利用
ハードウェアアプライアンスには容量の制約があるため、その解決策として多くの組織が検討し始めているのが、クラウドベースのスクラビングサービスです。スタンドアロンのハードウェアアプライアンスと比べると、クラウド型スクラビングサービスはテラビット単位の大容量にも対応可能な場合が一般的で、管理オーバーヘッドを抑えられるだけでなく、コストは柔軟な従量課金のサブスクリプション(OPEX)となります。ただし、クラウドサービスでは、普通はイングレストラフィックに対する可性しかなく、防御可能な攻撃の種類が限られます。
クラウドベースのDDoS対策のひとつが、オンデマンド型サービスです。オンデマンド型サービスは、その名前が示すとおり、攻撃が検出された場合にのみ有効化されます。平時においては、いつものように、トラフィックが顧客のネットワークに直接流れます。ひとたび攻撃が検出されると、トラフィックがクラウドのスクラビングセンターに迂回されます。トラフィックに紛れ込んでいる悪質なトラフィックがそこで「洗い流され」、「浄化された」トラフィックのみが顧客のサイトに送り返されます。
オンデマンド型アプローチの利点は、通常はトラフィックが顧客のサイトに直接流れるため、平時には遅延が発生しないことです。オンデマンド型サービスの場合、運用上のオーバーヘッドがほとんどなく、日常的な管理や保守は必要ないのが普通です。さらに、一般的には他の方式よりも安価です。
[関連記事: How to Choose a Cloud DDoS Scrubbing Service(適切なクラウド型DDoSスクラビングサービスを選ぶには)]
一方、オンデマンド型クラウドサービスの欠点は、攻撃の検出が一般的にはボリューム(ネットフローのトラフィックレート)のみに基づいている点と、トラフィックの迂回が発生した場合、迂回が完了するまでに一定の時間(通常は数分)が必要となり、その間は保護が効いていない状態になる点です。
したがって、一般的な考え方として、オンデマンド型の保護が適している組織は、攻撃の発生は低頻度で保護の対象がミッションクリティカルなアセットではなく、「迂回時の時間的なギャップ」が生じてもかまわないが、万が一の攻撃に対する何らかの「保険」をかけておきたい組織やコストに敏感な組織です。
常時接続型クラウドサービス:一定の遅延はあるが継続的な保護
オンデマンド型対策の代わりとしては、常時接続型のクラウドサービスがあります。常時接続型モデルでは、トラフィックが常時クラウドのスクラビングセンターを経由し、DDoSトラフィックの有無について検査が行われます。
常時接続型モデルの長所は、攻撃が発生したときの迂回がなく、24時間365日の保護が提供されることです。また、ボリューム攻撃ではない攻撃の検出も含め、より細かく攻撃を検出できます。
ただし、一般的にはオンデマンド型サービスよりも高価で、利用者の通信にわずかな遅延が生じる場合があります。
これらの理由から、この方式は、頻繁に攻撃を受ける組織や、遅延にさほど影響を受けないアプリケーションに最適であると言えます。
ハイブリッド型対策:両者の長所を兼ね備えた方式
ハイブリッド型防御モデルは、オンプレミスアプライアンスとクラウドサービスを組み合わせた方式です。これにより、ハードウェアアプライアンスの高度な機能とクラウドサービスの大容量という両者のメリットを享受できます。すなわち、大規模な攻撃と巧妙な攻撃の両方に対する防御が可能になります。また、多層的な防御となるため、攻撃がクラウド防御をすり抜けた場合でも、アプライアンスによって緩和されます。ただし、ハイブリッド型ソリューションは、アプライアンスとクラウドサービスの両方を組み合わせるため、高価になるのが普通です。
したがって、一般的にハイブリッド型の防御が最適なのは、銀行業やEコマース、SaaSといった業種でダウンタイムが許されないミッションクリティカルなアプリケーションを使用している大企業です。
「もっとも優れた」ソリューションは存在しない ― ニーズに合わせた選択を
結論として、DDoS対策ソリューションを選択する場合に「正解」や「不正解」はありません。答えはむしろ、個々のニーズや制約、脅威の特性によって決まります。どのモデルが自社に最も適しているかを検討しましょう。また、アセットによって異なる防御方法を混在させることも視野に入れて、自社にぴったりのソリューションを構築してください。