インターネットにおけるDDoS対策が難しい理由（その2）：DDoS攻撃クロニクル（3）（4/4 ページ）

[新村信（アカマイ・テクノロジーズ），＠IT]

Webサイト側での対策

　前ページの図2の通り、DDoS攻撃の規模が1〜10Gbpsに集中していることを考えれば、攻撃をWebサイト側で防御するためには、Webシステムの全ての構成要素で最低でも10Gbps、できれば100Gbpsレベルの耐久力を確保することが求められるが、これは現実的に企業が準備できるような規模ではない。一部の高性能なWAF製品の中には、フラッディング攻撃を検出、防止できることをうたっているものもあるが、10Gbpsを超える能力を有する製品はほとんど市場に出回っていない。実績のある対抗手段としては、「クラウドベースのDDoS対策ソリューション」があるが、これについては次回以降詳しく解説することにして、今回は、Webサイト運営サイドとしてできること、やるべきことを考えてみたい。

　まずは何よりも、現在のWebサイトの“実力”を知ること、すなわち運営しているWebサイトの「処理能力目標値」がどの程度であったかを把握しておくことが重要である。特に、増設を繰り返しているサイトでは目標値自体がよく分からなくなっているケースも多い。この機会に、自社のWebサイトがどれだけの負荷までなら処理可能としているのか、目標値を再確認してみてほしい。

　攻撃を受けたときにその兆候を捕らえるための仕組みを導入することも重要だ。ネットワーク上を流れるパケットの数やWebサーバのアクセス数を監視し、それらが急増した場合、あるいは完全に停止してしまった場合にアラートを上げるといった仕組みを導入することはそんなに難しくないはずだ。

　また、攻撃が開始されてからWebサイトが落ちてしまうまでの間に、攻撃に関する情報を収集することも重要である。攻撃手法や攻撃が発生した地域によっては、収集した情報に基づいて、ISPやホスティング事業者で暫定的に適用できる防御策があるかもしれない。また捜査当局に情報を提供することで、犯人の特定に役立つ可能性もある。

　技術的要素以外にも、組織としての体制整備、特に「情報連絡系統」を明確に決めておき、日頃から訓練を実施しておくことも大切である。これにより、攻撃発生時に組織がパニックに陥らず、責任者が正しい情報を素早く得て判断を実施できるようになる。

　というわけで今回は、Webサイトの構成要素全てがDDoS攻撃の標的になることや、現実に発生している攻撃の規模・手法から、Webサイト運営側で考慮すべき対策について解説した。次回は、先に少し触れた「クラウドベースのDDoS対策ソリューション」について紹介する。

著者プロフィル

新村　信（にいむら　まこと）

アカマイ・テクノロジーズ合同会社 最高技術責任者。

早稲田大学理工学部電子通信学科を卒業し、日本電信電話公社（現NTT）に入社。

電話交換機ソフトウェア、ネットワークオペレーションシステムの開発を担当。

ワシントン大学経営大学院留学を経て、SI基盤の研究、開発に従事。

マクロメディア（現アドビシステムズ）にてRIA普及を推進。

2009年にアカマイ・テクノロジーズ入社。2012年より現職。