さらに、インターネットにおけるDDoS対策の難しさは、法制度にもある。電話ネットワーク輻輳対策において、重要通信の確保のために一般利用者に我慢を強いる行為が法律で認められていることは、前回述べた通りだ。しかしながら、インターネットでのDDoS攻撃対策においては、そこまでの社会的コンセンサスや法整備が追い付いていないのが現状である。
まず大きな壁となっているのが、電気通信事業者に義務付けられる通信の秘密保持義務だ(電気通信事業法第4条)。例えば、上述のb)を行うこと、つまりある通信が、混雑しているWebサイト向けの通信であることを識別する行為や、c)のように攻撃パケットか否かを識別するためにパケットの中身を分析するという行為も、通信の秘密保持義務に抵触する恐れがある。ISPにとって、電気通信事業法の制約の中で攻撃を止める行為を行うのは簡単なことではない。
ただし、この問題については、総務省の「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」での議論を踏まえ、業界団体である「インターネットの安定的運用に関する協議会」から「電気通信事業者におけるサイバー攻撃等への対処と通信の秘密に関するガイドライン第4版」が2015年11月に公開された。
このガイドラインによれば、ISPが攻撃を遮断してもよい代表的なケースとして、攻撃対象となったユーザーからの要請およびISP自身の設備の正常運営保護を目的とした場合が挙げられている。このようなケースでは、遮断を行ったとしても、通信の秘密保持義務には抵触しない。こうした業界コンセンサスが得られたことは、大きな前進であろう。
しかしながら、攻撃対象ユーザーからの要請がない段階では通信秘密保持義務の範囲内にあり、予備的な攻撃解析などを自由に行うことはできない。また、ガイドラインで示された範囲であっても、b)を実現するための効果的な情報連絡、つまり攻撃対象のWebサイト所有者から規制要請を受けたISP #1が、ISP #2〜ISP #Nへ規制を要請できるような枠組みや、c)を実現するために各ISPが攻撃パケットを有効に識別、遮断可能とするための技術など、DDoS対策における制度面・技術面での整備はまだまだ不足している。
さて、今回は現在のインターネットがDDoS攻撃に効果的に対処できない要因について解説した。本稿を通じて、ISP事業者側だけでDDoS攻撃に対処するのが難しいという現状を理解いただけたと思う。そこで次回は、Webサイトに攻撃が加えられると何が起きるのか、Webサイト側で実施可能な対策(とその限界)にはどのようなものがあるのかについて詳しく解説する。
Copyright © ITmedia, Inc. All Rights Reserved.