ハイブリッド型のDDoS対策がCDNより適しているワケ

2018年3月26日 ケビン・ウォーレン

企業の中には、DDoS攻撃の対策としてCDN(Content Delivery Networks)を検討しているところがあります。CDNはストリーミングビデオのようなWebコンテンツを提供するグローバルな分散ネットワークです。
CDNサービスは、地理的に分散され、帯域幅にも余裕があるので、自らのサービス向けにDDoS防御を提供するほか、サービスプロバイダー(ISP)や企業向けにも提供しています。これが実行可能な選択肢となる場合もありますが、CDNを検討中の企業は、DDoS攻撃専用のマネージドサービスと比較してみるべきではないでしょうか。
CDNプロバイダーにとって、セキュリティは最重要項目ではありません。彼らのビジネスの中核はコンテンツやアプリケーションの配信です。攻撃の調査や対抗手段の開発、脅威インテリジェンスは二の次です。加えて、CDNプロバイダーには、攻撃の性質を研究・分析・理解し、セキュリティを増強するための確かな提言を行う専門性が欠けています。
当然のことですが、CDNが第一に守りたいのは彼らのサービスです。最近ますます増えている超巨大な攻撃において、CDNは顧客の資産すべてを保護する能力は備えていないかもしれません。資産の一部をさらしてしまうことになってしまいます。また、CDNの自動化された対策は、正規のトラフィックを遮断してしまうこともあると言われています。さらに、CDNのDDoSミティゲーション(攻撃緩和)戦略においては、静的なフィルターやWebアプリケーションファイアウォール(WAF)を利用するので、クラウドサービスを保護するのに必要なインテリジェンスや柔軟性に欠けます。

「常時オン」がいいとは限らない

CDNでは「常時オン」の保護を約束しています。一見よさそうに思えますが、詳細な調査においてはいくつかの問題が生じます。「常時オン」とは大抵、次の2つのうちどちらかを意味します。すなわち、動的に調査して、自動でブロックするミティゲーションシステムを常に通過する(「常時ミティゲーション」)、あるいは、可能な限り攻撃を検出し、オンデマンドでミティゲーションを起動するために単にモニタリングし、要求があれば調査する(「常時モニタリング」)、のどちらかです。この区別を理解し、プロバイダーがどちらを提供しているのかを知ることが重要です。
「常時ミティゲーション」なら、攻撃に対する緩和の最大化と正規のトラフィックへの影響の最小化のバランスを評価することが必要です。常時ミティゲーションによって考えられる巻き添え被害は、誤検出だけではありません。不必要なトラフィック調査でもサービスは遅くなります。「常時モニタリング」の場合、攻撃からの保護ポリシーや対応時間が可視化できないリスクがあります。不要なミティゲーションを避けたいのかもしれませんが、関係のある攻撃指標を見逃すことになりかねません。さらに、ボリューム攻撃用に設計された常時オンのソリューションは、アプリケーション層攻撃のような小規模の攻撃を見逃す可能性があります。
「常時オン」の保護モデルでは、通常の運用を維持しながら、DDoS攻撃を緩和するために複雑なトラフィックをバランスすることが求められます。これは簡単なことではありません。最近は大規模な攻撃が観測されており、攻撃を受けていない顧客にミティゲーションの影響を与えたり、攻撃を受けた顧客をCDNの一部に隔離せざるを得なくなったりするかもしれません。常時オンのソリューションを提供するプロバイダーが、他に影響を与えることなく攻撃を緩和するのに十分に拡張性を持っているかどうか、評価すべきです。

ハイブリッド型DDoSソリューション

アナリストや専門家は、DDoS保護のベストプラクティスとして、ハイブリッド型のセキュリティソリューションを挙げることが増えてきました。ハイブリッド型ソリューションは、常時オンの保護に特化したオンプレミスでのミティゲーションと、オンデマンドのクラウドベースのミティゲーションを組み合わせます。ローカルのアプライアンスは、CDNよりもアプリケーションのトラフィックの情報を持っているので、トラフィックのパターンの例外を識別しやすくなります。クラウドベースのミティゲーションは、攻撃がオンプレミスの能力を明らかに超えた場合にのみ、自動的に起動します。クラウドのコンポーネントは「常時オン」である必要がないので、実際に攻撃があった時のために能力を節約してコストも抑えられます。
コストはCDNプロバイダーにとってアピールポイントの1つになっているようですが、ハイブリッド型ソリューションのほうが意外にも安価です。高価なハードウェアは仮想化技術によって置き換えることができますし、DDoSのエキスパートの支援のもとで完全なマネージドサービスを展開するので、社内のIT機器もセキュリティ要員も少なくて済みます。
最後に、一般的に自動化に大きく頼っているのが、CDNのソリューションの特徴です。現代の攻撃者は抜け目なく創造性があります。自動化された保護とミティゲーションは必要不可欠ですが、攻撃を阻止するには、悪意あるアクターを出し抜くための訓練を受けた経験豊富な専門家チームも必要です。優れた脅威インテリジェンスとリサーチで、ハイブリッド型ソリューションの効果は何倍にも拡大します。セキュリティに関しては二の次のCDNプロバイダーよりも、DDoS専業のセキュリティ専門家に強みがあることが、ご理解いただけるのではないでしょうか。
ハイブリッド型ソリューションは思ったより安価で価値があります。最近はオンプレミスの防御は仮想化できます。完全なマネージドサービスを活用すれば、社内要員を減らせるためコストが抑えられます。クラウドで使った分だけコストを負担すれば済むのです。
詳細はNETSCOUT Arborのハイブリッド型DDoSソリューションのサイトをご参照ください。