DDoS攻撃対策にCDNは有効？　サイバー攻撃に有効なセキュリティソリューションの解説

DDoS（Distributed Denial of Service）攻撃は激化かつ複雑化しており、Webサイトを運営する企業や団体は、セキュリティ対策の必要に迫られています。CDN（Content Delivery Network）は攻撃の緩和に効果的であると言われていますが、その実態についてCDNベンダーの目線から解説します。

お役立ち資料　【押さえておきたい “サイバー攻撃の発生状況” と “Webセキュリティ対策”】

1. DDoS攻撃とは

DDoS攻撃はサイバー攻撃の一種で、攻撃対象のWebサイト等に対して短時間に大量のアクセスを行うことで、Webサーバーやシステムの機能を停止させようとするものです。1台の端末を使って行われることが多いDoS（Denial of Service）攻撃と異なり、多数の端末を踏み台として利用した分散型の攻撃を行います。踏み台とされる端末は不特定多数であり、DoS攻撃よりもセキュリティ対策が難しくなります。
DDoS攻撃はIPA（独立行政法人情報処理推進機構）が発表するレポートにおいても、対策を講じるべき重大なセキュリティ上の脅威とされています。

参考：情報セキュリティ10大脅威 2020

攻撃の標的とされ、Webサイトの正常な表示に支障をきたしてしまった場合、オンラインで展開するサービスが停止してしまうことによる直接的な損害はもちろんのこと、企業サイトの場合であれば機会損失やブランドイメージの低下等、様々な影響が考えられるため、積極的な対策を講じる必要があります。

2. DDoS攻撃は激化・多様化傾向

DDoSは古くから行われている攻撃手法ですが、年々その規模は拡大し、また手法自体も多様化しています。
攻撃の規模は数Gbpsから数百Gbpsまで、更に大きいものでは1Tbpsを越える例までもが報告されており、激化傾向にあると言えます。

参考：「GitHub」に1.35Tbps規模のDDoS攻撃 – 「memcached」によるリフレクション攻撃で

近年ではIoTの普及によって家具や家電等がインターネットに接続されるようになってきています。ユーザーは新しい価値を享受できるようになる反面、これらがサイバー攻撃の温床となってしまう場合もあります。ネットワークに接続された家庭用ルーターや監視カメラ、ビデオレコーダーなどのIoT機器へ感染し、DDoS攻撃の踏み台にしてしまうマルウェアが登場した例もあり、攻撃の脅威は多様化しています。
DDoS攻撃は単なる嫌がらせ目的のものから社会的、政治的な活動のために行われるものまで様々ですが、攻撃の停止、あるいは予告した攻撃を撤回する条件として金銭を要求するようなものまで発生しています。攻撃手法のみならず、その目的も多様化していると言えるでしょう。

3. DDoS攻撃の種類

DDoS攻撃の手法にはいくつかの種類があります。最も基本的なパターンとしては、前述のように短時間の内に大量のトラフィックを攻撃対象のWebサイトやサーバー等へ送信して通信障害を発生させるものが挙げられます。例えばクライアントとサーバーの接続を確立させるプロトコルの仕組みを悪用して、クライアントからサーバーへの接続要求を大量に送信し、その応答処理によってサーバーへ負荷をかけようとするものが代表的です。
またIPアドレスを偽った状態でサーバーへ接続要求をし、要求に応答したサーバーを、存在しないIPアドレスのクライアントからの返答待ち状態にしてしまうことで、サーバーリソースを消費しようとするものも存在します。
他に大量のアクセスではなくとも、クライアントとサーバーの接続状態を長時間持続させるように操作をすることで、正当なクライアントからの接続要求を受け付けられない状態にしてしまうもの等、種類は様々です。DDoS攻撃への対策もまた、それに追従するように高度な手法である必要があります。

4. DDoS対策として注目されるCDN

DDoS攻撃の対策や緩和のためにはいくつかのシステムやソリューションの利用が推奨されていますが、その一つとしてよく名前が挙げられるのがCDNです。CDNはクライアントとWebサーバーの中間に位置し、Webサーバーからレスポンスされたコンテンツをそのままキャッシュすることで、クライアントに対してWebサーバーの代わりにコンテンツを配信するシステムです。CDNは多数のキャッシュサーバーで構成された、大規模配信に特化したネットワークであり、大量アクセスによるWebサーバーのダウンの回避に効果的です。特に、ユーザーの多いWebサービスや、広告により集客を行うWebサイト等を中心に幅広く利用されています。

CDNはWebサーバーに代わってクライアントからのアクセスを一次受けするシステムなので、CDNを利用しているWebサイトがDDoS攻撃の標的となった場合、その攻撃はまずCDNが受けることになります。CDNは元々Webサーバーの前面で大量アクセスを受け止め、大規模配信を行うためのシステムなので、攻撃を受け止め切ってしまうことによって被害を軽減する効果が期待されています。

5. CDNは本当にDDoS対策に効果的？

一見CDNを利用していればWebサイトに対するDDoS攻撃への対策としては十分であるように思われます。しかしながらその実態については一考の余地があります。

トラフィック量によっては受け止め切れない

CDNはその利用目的上、非常に強いネットワークの可用性を持っています。しかし当然CDNの通信キャパシティにも限度がありますので、どれだけ強大な攻撃が来ても問題が無いとは言い切れません。しかもCDN事業者は、そのネットワークを各顧客に対して共用させる形でサービスを提供しています。共用であるが故に、攻撃に対してその時どれくらいの回線帯域を割くことができるかについてはベストエフォートであり、確実な対策とは言えません。

キャッシュしていないコンテンツへの攻撃を受けられない

CDNはあくまでWebサーバーからレスポンスされたキャッシュコンテンツを保持するのであって、オリジナルのファイルそのものを持っている訳ではありません。CDNがキャッシュしているコンテンツに対する攻撃であれば、Webサーバーに対しての影響の軽減は期待が出来ます。しかしキャッシュしていないコンテンツに対する攻撃の場合は、攻撃がCDNを通り抜けてWebサーバーへ到達してしまいます。

CDNは大量のリクエストに対して同じキャッシュコンテンツを大量にレスポンスするという用途に特化しているため、例えばアクセスしたユーザーの名前を表示するようなWebサイトにおける、動的な処理がなされるコンテンツはキャッシュすべきではありません。そうしたコンテンツに対するリクエストは必ずオリジナルのWebサーバーまでアクセスを到達させるよう、CDNに設定を行います。その部分が攻撃の対象となった場合、CDNによる攻撃への防御は期待できないことになります。

攻撃に対するレスポンスが課金対象になる

CDNでキャッシュしているコンテンツに対する攻撃の場合、前述の通りCDNがリクエストを受けることになるので、Webサーバーへの影響の軽減が期待できます。ただしCDNは配信トラフィックのボリュームが課金対象となることが多く、攻撃としてのアクセスに対するレスポンスの配信も課金対象になってしまいます。これによりCDNの利用費として思わぬ請求が発生する懸念もあり、DDoS攻撃への防御に対する予算を検討する上では不安材料になるでしょう。

6. サイバー攻撃には専用のソリューションを

CDNはWebサイトに対するDDoS攻撃へのある程度の対策としては効果を見込めるものでしたが、それはCDN本来の用途ではなく、あくまで副次的なものでした。それではセキュリティ対策としてはどのような方法が有効なのでしょうか。

ファイアウォール

ファイアウォールは通信の送信元のIPアドレスやポート番号、プロトコル等を監視することで、不正なアクセスを遮断するものです。通常インターネットと内部ネットワークの間に設置され、内部ネットワークへの不正な侵入を防ぐことに効果があります。インターネットに公開しているWebサイトやシステムではなく、例えば社内など限られた範囲で利用される情報システムに対する防御に適しています。

IDS/IPS

IDS（Intrusion Detection System）は不正な通信の検知を、IPS（Intrusion Prevention System）は通信の内容に対して不正を検知した場合にこれを遮断するものです。
ファイアウォールは通信の内容まではチェックをせず、ポート番号やプロトコルに不審な点が無い通信であれば通過させてしまいます。そのため、DDoS攻撃のような大量アクセスであっても、通信として正常であれば攻撃であることを検知できない場合があります。
IDS/IPSを利用することで、ファイアウォールが通過させてしまった不正な通信を検知し、遮断することが出来ます。

WAF

WAF（Web Application Firewall）はWebアプリケーションに対する攻撃を検知、遮断します。Webアプリケーションとは、インターネットを通じて利用するアプリケーションソフトウェアのことで、HTTPなどのアプリケーション層の通信で配信されます。アプリケーション層はファイアウォールやIDS/IPSによる防御の対象としているネットワーク階層よりも上位に位置するため、Webアプリケーションを対象とした攻撃への対処のためにはWAFを用いる必要があります。
Webサイトに対する攻撃についてはWAFの利用が有効です。CDNはWebサイトに対する大量トラフィックを受け止めることで防御に繋がるというものでしたが、WAFは不正な通信をそもそも遮断してしまうという点で、攻撃への対策としてより相応しいものと言えます。
またDDoSのような大量トラフィックによる攻撃以外にも、Webサイトの改ざんに繋がるような攻撃や、アプリケーションの脆弱性を狙った不正な通信等への対処にも効果的です。

攻撃への備えには多重防御が必要

このようにそれぞれ得意とする防御領域の異なるシステムが複数存在します。どれか一つを利用すれば完全というものは無く、併用による多重防御が推奨されます。ファイアウォールとIDS/IPSはUTM（Unified Threat Management）として機能をまとめられた状態でサービス提供されている場合もあります。利用するシステムの選定にあたっては、各システムが提供する機能や仕様が、求める攻撃対策に適しているか理解して検討することが必要です。

7. Ｊストリームが提供するクラウドセキュリティソリューション

Ｊストリームでは自社で構築・運用するCDNソリューション「J-Stream CDNext」を提供しています。大量のトラフィックを集める人気Webコンテンツの配信実績も豊富で、DDoS攻撃に対する防御もある程度期待は出来るでしょう。
ただし自社でCDNサービスを運営するＪストリームだからこそ、DDoS攻撃の備えとしてCDNを利用することが、完全な対策としては不足であると前述のように考えています。サイバー攻撃が激化・多様化していく中で、Ｊストリームは「Imperva App Protect」や「BLUE Sphere」によってお客様のセキュリティ課題にお応えしていきます。

8. Imperva App Protectとは

「Imperva App Protect」はImperva（インパーバ）社がグローバルに提供するWAFソリューションです。DDoS攻撃に対する防御はもちろんのこと、Webサイト改ざんからの保護や大量配信に対する可用性の確保にも効果的で、攻撃への備えだけでなくパフォーマンスの向上にも貢献します。クラウド型として提供が可能であり、ハードウェアの購入や既存のネットワーク構成の大掛かりな変更をせずにサービス導入が出来ます。
ネットワークとしてもグローバルに数十の配信拠点を持っており、ピーク時1Tbpsを越えるDDoS攻撃からWebサイトを防御した実績もあります。

WAFは日々多様化するサイバー攻撃に対応するため、様々な攻撃パターンを学習し、不正な通信を見抜く能力をアップデートしていく機構を持っています。したがってより多くの顧客サイトを保護しており、それによって攻撃への防御に関する経験値を獲得していくことが、ソリューションとしての能力と精度を高めていくことと関係します。「Imperva App Protect」では300万サイト以上の顧客サイトを保護している実績があり、その規模は世界的に見てもトップクラスです。
またユーザー独自の防御ルールを設定することも可能です。サービス側で判断する以外の要素によって、その通信が不正であるか否かの判定を行うことも出来ます。

「Imperva App Protect」の信頼性とコストメリット

「Imperva App Protect」はPCI DSS level1に準拠しており、センシティブな情報を取り扱うWebサイトにおいても安心してご利用いただけます。
またその費用については95パーセンタイルで計算されるため、突発的なアクセス集中が即座に超過費用に繋がる心配が比較的低いことが特徴です。

「Imperva App Protect」における95パーセンタイルとは、月間のトラフィックを5分ごとに測定し、値を昇順に並び変えたグラフを用意した時に、上位5%を除いた地点を課金根拠とする考え方です。従って上位5%は契約上規定された配信帯域を超過しても課金対象にはなりません。予期せぬピークトラフィックの発生が直ちに費用へ跳ね返るものではないという点が、利用上の安心材料となるでしょう。

SOCで安定運用される「Imperva App Protect」

お客様が利用するサービス環境を24時間365日体制で監視するSOC（Security Operation Center）サービスの提供を行っています。攻撃の分析や、影響度・考えられる被害の確認、対策の実施に至るまでを、専門の知識を持ったエンジニアがサポートし、お客様へ通知します。

Imperva社の紹介

Imperva社は世界150ヶ国以上にサービスを展開するサイバーセキュリティソリューション提供企業です。米国に本社を置き、日本法人も設立されています。
提供する製品は政府機関や世界的な銀行、金融、保険サービス企業等、保護すべき情報を大量に抱えている企業や団体においても豊富なサービス導入実績があります。ITソリューションの調査や格付けを行っている第三者企業からも数年に渡って市場リーダーと位置づけられており、非常に信頼性の高いソリューションを提供していると評価されています。

帯域無制限のDDoS防御を始めとする充実した標準機能

Imperva社は昨今のサイバー攻撃の激化状況を鑑み、「Imperva App Protect」における標準機能の拡充を行っています。DDoS攻撃への防御については標準で帯域無制限での防御を行えるようになっています。DDoS攻撃はその発生や規模の予測が大変難しいため、攻撃トラフィックの制限が無いという点は、ユーザーにとって大きなメリットになります。
他にも「Imperva App Protect」が受け取ったアクセスログ、セキュリティログを、ユーザーのSIEM（Security Information and Event Management）環境へ連携する機能や、Webサイトへの攻撃の傾向を分析してレポーティングする機能が標準で搭載されています。
他の多くのWAFソリューションにおいて、これだけの機能をオーダーした場合の費用は非常に高額です。特にDDoS攻撃への帯域無制限での防御は、通常の場合はオプションとして提供されていることが多く、費用に大きく影響する要素の一つです。「Imperva App Protect」ではこの機能を標準搭載しており、またその費用についても、他の製品と比較して非常に安価です。

DNS Zone DDoSへの対策も

DNSサーバーを対象としたDDoS攻撃も存在します。無効な名前解決のリクエストを大量に送信し、DNSサーバーへ負荷をかけることで、通常の名前解決もできない状態にしてしまい、Webサイトへの正常なアクセスに影響を与えます。
「Imperva App Protect」はDNSサーバーに対する攻撃への防御機能も標準搭載しています。名前解決に際して、Webサイトの権威ネームサーバーとして「Imperva App Protect」が提供するDNSを参照するように指定することで、対象のDNSゾーンを保護します。

9. BLUE Sphereとは

「BLUE Sphere」は、アイロバ社が開発・提供する国産のWAFサービスです。

「WAF」「DDoS防御」「改ざん検知」などのWebサイト保護機能を有しながら、明解かつリーズナブルな課金体系で提供されます。日々新しく生み出される未知のサイバー攻撃に備えるため、サービス利用者ではなくサービス事業者により攻撃手法の分析と防御設定（振る舞い解析、シグネチャの更新運用）を行っています。

BLUE Sphereは導入件数 約1,000サイトであり、アイティクラウド株式会社発表の「ITreview Grid Award 2022 Summer」において、顧客満足度と認知度が高いソリューションとしてWebセキュリティ部門・WAF部門で「Leader」を受賞（7期連続）しています。そのほかにも、スマートキャンプ株式会社発表の「BOXIL SaaS AWARD 2022」セキュリティ部門1位を獲得、株式会社Innovation & Co.発表の「ITトレンド年間ランキング2021」WAF部門1位を獲得など、複数の国内レビューサイトにおいて市場リーダーの評価を受けています。

アイロバ社の紹介

アイロバ社は、サイバーセキュリティとITインフラを専門とする企業です。2016年設立、BLUE Sphereを始めとする各種セキュリティソリューションや、Webサイトに対する脆弱性診断、サーバー・ネットワーク・クラウド等のITインフラサービスを提供しています。

10. CDNベンダーとして知見のあるＪストリーム

昨今CDNはWAFと併用されるケースも見られるようになり、WAF機能を搭載したCDNを提供するベンダーも登場しています。「Imperva App Protect」もCDN機能を標準で備えており、セキュリティ対策機能を持ったCDNとして利用することが可能です。
CDNを導入する際には、DNSによってWebサーバーへのリクエストをCDNサーバーへ誘導するように設定します。クラウド型のWAFの場合も導入方法は同じであり、環境構築におけるノウハウとして両者で共通する部分は少なくありません。Ｊストリームは自社でCDNサービスを構築、運用してきた実績と経験を活かし、お客様に対して最適な手法によって、優れたセキュリティソリューションを提供します。
また「Imperva App Protect」に加えて、安価で気軽に導入できる「BLUE Sphere」も取り扱っており、お客様の要望や検討の状況に合わせ、最適なサービスをご提案いたします。

以上、CDNにおけるDDoS攻撃への対策の有効性、及びセキュリティ対策について紹介しました。
DDoSを始めとするサイバー攻撃は日々激化・多様化しており、専用のソリューションによってセキュリティ対策を行う必要性も増しています。
紹介した各種ソリューションについては、それぞれの役割を正しく理解して、課題に対して最適なものを採用し、最適な設定によって利用する必要があります。当社では経験豊富なサポートチームの体制により、まずは課題の整理から対応し、相応しい手法をご提案します。お気軽にお問合せ下さい。

ソリューション詳細はこちら

• Webアプリケーションファイアウォール（WAF）