JストリームBlog

J-Stream Blog

2016.07.21

日本でも巧妙化・大規模化するセキュリティ攻撃、 その対策として注目されている「セキュリティCDN」とは?

数年前まで、Webサーバーを機能不全にすることを目的としたDDoS攻撃は、海外で発生することが多く、日本の企業や官公庁をあまり攻撃対象としてきませんでした。
しかし、近年(特に2016年以降顕著に)日本の企業や官公庁を対象にしたDDoS攻撃が増加しており、2016年1月~2月には財務省・金融庁も攻撃を受け、Webサイトの閲覧障害が発生しました。

また、DDoS攻撃に限らず、セキュリティ攻撃は年々巧妙化・大規模化しており、日本においても、企業の社会的信用の失墜、Webサイトの長期閉鎖による機会損失、それに伴う大幅な売り上げ減などを未然に防ぐための事前対策が求められるようになりました。

その対策の1つとして「セキュリティCDN」が注目されています。本稿では、「セキュリティCDN」とは何か、そしてなぜ注目されるようになったのかについて解説します。

■セキュリティCDNとは

セキュリティCDNとは、ネットワーク攻撃に対する防御機能をCDNに付け加えたもので、Webサイトを攻撃者から守るために使用されます。この時、CDNは、以下の図のように(善意悪意を問わず)ユーザーからのリクエストをWebサーバーの代わりに受け取り、正常なリクエストのみをWebサイトに届ける防御壁として動作します。

CDN_security_img01

■セキュリティ攻撃の種類

セキュリティCDNで防御の対象となる攻撃は、以下の2種類に分類されます。

 攻撃の方法攻撃の影響
Webアプリケーション攻撃細工の施された通信情報漏えい
DDoS攻撃*注1大量の通信サービス停止

注1:DDoS=Distributed Denial of Service(分散型サービス妨害)

ここからは、それぞれの攻撃について見ていきます。

Webアプリケーション攻撃

Webアプリケーション攻撃とは、細工を施した通信を攻撃対象のWebサーバーに送り、Webサーバーに異常動作(情報漏えいなど)を発生させることです。これを防御するセキュリティ対策製品は一般的にWAF(Web Application Firewall)と呼ばれており、以下のような基本機能を持っています。

●シグネチャと呼ばれる攻撃検知ルールを使用し、攻撃HTTPリクエストを遮断
●HTTPレスポンスを監視し、個人情報の漏えい(メールアドレス、電話番号、クレジットカード番号等)が発生しようとしている場合、そのレスポンスを破棄
●通信の学習によりHTTPリクエストが正常かどうか判断し、攻撃と思われる通信を遮断

これらの機能をすべて備えた専用WAFサーバーは、高度なセキュリティ対策が必要とされる金融機関や大規模ECサイトで導入されてきました。しかし、専用WAFサーバーは高価であり、運用も難しいため、その導入は一部の大手サイトに限られていました。

一方、安価かつ少ない手間で利用できるWAFに対するニーズも強く、これに応えたサービスがクラウド型WAFです。セキュリティCDNは、このクラウド型WAFに分類され、CDNにクラウドWAF機能を付けたサービスになります。ただし、セキュリティCDNのWAF機能は、一般的に簡易版であり、フルセットのWAFに対して以下のような制限があります。

●学習による異常通信の遮断ができない
●シグネチャの数が少ない
●カスタムルールの作成ができない

セキュリティCDNは、簡易版ではあるものの、多くの攻撃に対する防御に有効であり、導入によりセキュリティ強度を向上させることができます。また、専用WAFの負荷をさげるために、セキュリティCDNと専用WAFを組み合わせた運用も一般的になっています。

DDoS攻撃

DDoS攻撃とは、大量の通信を攻撃対象のWebサーバーに送り、機能不全にすることです。DDoSについては、攻撃の種類により以下のように分類されます。

攻撃レイヤー 概要
レイヤー3攻撃大量のパケットを送信することにより、標的サーバーの上位回線を埋め、通信路を使えなくします
レイヤー4攻撃大量のTCP開始パケットを送信することにより、標的サーバーで通信ができなくなるようにします
レイヤー7攻撃大量のHTTPリクエストを送信することにより、標的サーバーが処理できなくなるようにします


DDoS攻撃への対策機能を持たない一般のCDNも、DDoSに対する一定の耐性を持ちます。たとえば、十分な帯域とサーバー数を持ったCDNであれば、単純なレイヤー3攻撃を防御できます。(2015年時点で)国内へのDDoS攻撃は最大でも数十Gbps程度であると言われており、100Gbps程度の上位回線を持つCDN事業者であれば、大量のパケットで上位回線が埋め尽くされることはありません。

また、CDNでは複数の配信拠点を使用しているため、いくつかの配信拠点がDDoSで機能不全に陥っても、残った拠点で配信を継続できます。このCDNの特性とISPが提供しているDDoS対策サービスを組み合わせることにより、レイヤー4、7攻撃への耐性を高めることができます。たとえば、Jストリームが提供しているJ-Stream CDNextでは、特定拠点でこのISPのDDoS対策サービスを導入しており、数十Gbps程度のレイヤー4、7攻撃にも耐えられるCDNを提供しています(注2)。
注2:CDNextのこのサービス(DDoS対策)は基本契約だけで有効化されます。

ただし、この方法では、本格的な(レイヤー7で全配信拠点をつぶして行く等)DDoS攻撃への対策として不十分です。このようなDDoS攻撃に対しては、別途スクラビングサービスが必要になります。スクラビングサービスは、ISPのDDoS対策サービスに対して以下のようなアドバンテージを持っています。

●数百Gbps以上のDDoS攻撃に耐えられる(防御のネットワーク分散かつ大規模化)
●高セキュリティな運用をしている(一般にはセキュリティオペレーションセンターを持つ)

このスクラビングサービスをCDNに組み込んだものが、一般的にDDoS対策CDNと呼ばれているものです。これは、もともとDDoS攻撃に対する耐性の高いCDNをDDoS対策専用のスクラビングサービスと組み合わせた、DDoS攻撃に対する最も強力な防御と言え、金融などのクリティカルなサービスで使用されています。

  • このエントリーをはてなブックマークに追加

関連サービス

関連記事

電話でのお問い合わせは

0120-65-8140

TEL03-5765-7000

(受付時間:平日9:30-18:30)

電話でのお問い合わせは
0120-65-8140