DDoS対応の6つのフェーズ

Kevin Whalen on January 16, 2018

顧客やステークホルダーとネットを介して対話する現代の企業は、DDoS攻撃を検知し、緩和するための堅牢な防御システムの構築が必要です。また一方で、DDoSに特化した対応計画とプロセスを用意しておくことも同じように重要です。そうしなければ、防御に対する投資がすべて無駄になってしまいます。

あるオンラインゲーム会社はこの教訓を、身をもって知らされることになりました。この会社では、ある著名なDDoSマネージドサービスプロバイダーと契約しており、防御に関しては問題ないものと考えていました。その日曜日は担当部門の主要メンバーが休みをとっていましたが、ボリューム型攻撃から連続して標的にされ、サイトがダウンしました。インシデントをサービスプロバイダーに報告できるシニアな社員は数人いましたが、運悪く彼らはすぐに対応できませんでした。インシデントが発見された際、社内チームとサービスプロバイダーの連絡が行き違いになってしまったこともあって、対応がかなり遅れ、攻撃緩和手段を実行したときはすでに遅きに失していました。その結果、この会社のゲームサービスは90分以上もダウンすることになってしまったのです。オンラインゲームの愛好者は、高品質で最速のサービスを求めます。それが完全にオフラインになってしまえば、到底受け入れられません。ゲームは他にもたくさんあります。このゲーム会社は少なくとも100万ドルの売上を失いました。顧客との関係性へのダメージや関係性を保つためのプロモーション費用も、長期的に見ればDDoS攻撃の成功になるのです。

どんなサービスプロバイダーを選べばいいのか

どこに間違いがあったのでしょうか。そのゲーム会社は、評判のよいDDoS防御サービスを利用していれば、自社のセキュリティースタッフは少なくても十分のような気がしていました。インシデント対応と攻撃緩和の成功に最も重要な要素はスピードだということを、このゲーム会社は完全には理解しておらず、DDoSサービスプロバイダーも説明しませんでした。この会社のセキュリティーチームはトレーニングを受けていませんでしたし、こうした不測の事態を想定した訓練の経験もありませんでした。知識と権限を持つ数名の個人に頼らなくてよい権限移譲のプロセスも持っていませんでした。DDoS攻撃の場合、インシデント対応が後手に回ってしまうことがよくあります。では、効果的なインシデント対応プログラムとはどういうものでしょうか。それは6つのフェーズに分けて考えることができます。計画、準備、実践、攻撃の間に何を見つけ何をすればいいのか、次の機会に対応をよりよくするために攻撃から何を学ぶのか、ということをカバーしたプロセスです。これらのプロセスは決して一直線に進むわけではなく、むしろ何度も繰り返すことを留意する必要があります。

  1. 準備

    基礎を築くために最も難しく、最も重要なフェーズです。正確に計画できなければ、失敗は目に見えています。攻撃の最中に対応方法を考える時間はありません。まず、チームを作ってメンバーの責任範囲を決めます。高度な脅威への対応はセキュリティー運用部門の責任範囲と見なされることがよくありますが、DDoS攻撃に対する防御は通常、セキュリティー部門ではなくネットワーク部門の責任になります。攻撃の最中のコミュニケーションには、こうした部門間の壁を壊すことが重要です。上流においても下流においてもリレーションシップを構築して、連絡の手順を決めましょう。

  2. 識別

    企業において、ネットワークを十分に可視化しなければ、サービスやアプリケーション性能の劣化がDDoS攻撃に起因するものなのか、ネットワークの設定ミスによるものなのかを理解するのに必要な情報が不足します。オンプレミスのソリューションなら、すばやく問題を診断する決め手となるトラフィックを可視化できるので、ITチームやネットワークチームは短時間で性能を改善することが可能です。

  3. 解明

    どんな種類の攻撃を受けているかによって、対応をどのように進められるのか、どのような防御手段をとるべきなのかがわかります。

  4. トレースバック

    攻撃はどこから来たのか、攻撃元を突き止めます。その攻撃はどこでどのようにネットワークに影響を与えているのでしょうか。これは、ネットワークの他の問題が攻撃に関係しているかどうかを明確にするのにも役立ちます。

  5. 対処

    攻撃を識別し、解明し、トレースバックすることによって、最適なミティゲーション(攻撃緩和)ツールを実行する周到な準備を行います。すべての状況に対応するツールやテクニックは存在しません。手元に多様なツールキットを用意しておくことは損になりませんし、可能な限り自動で対処できる機能を活用するのも有益です。

  6. 事後分析

    起きた事象を分析します。そこから何を学ぶことができるのか。どこを改善できるのか。見逃してしまった手段は何か。次の機会に対策を早く簡単に行い、被害を最小限にとどめるにはどうすればいいのか。学んだことの全てをフェーズ1に戻し、準備プロセスに組み入れます。

防御のベストプラクティスを活用して対応力を強化

このオンラインゲームの運用担当者が経験したことは、クラウドとオンプレミスの組み合わせによるハイブリッドの検知およびミティゲーションの必要性も強調することになりました。こうしたハイブリッドのソリューションは、多くのセキュリティーアナリストがDDoSミティゲーションのベストプラクティスだと考えていることです。クラウドベースのサービスだけを利用していると、サービスプロバイダーに攻撃が開始されたことを知らせるのはユーザーの仕事になります。オンプレミスのDDoSソリューション(アプライアンス型でも仮想型でも)を使えばネットワークが可視化でき、攻撃を検知したら自動で接続を切断する組み込み型の防御手段を取ることができます。手動で対応することなく、常に攻撃に気づく前に対処可能です。これによって速やかにインシデント対応が実行できます。
ベストプラクティスのシナリオでは、オンプレミスでの防御とクラウドでの防御をシームレスに統合します。アーバーネットワークスの技術である「クラウドシグナリング」によって、オンプレミスの機器はクラウド基盤にアラートを出し、ネットワーク上で攻撃のトラフィックが特定の容量を超えた場合にミティゲーションを開始します。
自動化がインシデント対応の重要な点であることは間違いありません。しかし、完全に頼ってはいけません。確かなインシデント対応プランが必要です。攻撃者は洗練された技術を採用しますが、彼らの本当の強みはその抜け目のなさにあります。効果的なDDoS対応には、不正行為を阻止する先進技術と人間の知見の組み合わせが求められています。そして訓練あるのみです。