DDoS 攻撃を阻止する方法

はじめに :

分散型サービス妨害 (DDoS) 攻撃を防止することは、特に分散ネットワークアーキテクチャやトラフィックが多い期間には困難になります。解決策は DDoS 対策サービスを実装することです。 

攻撃が検出されると、即座に緩和策を開始します。正当なトラフィックはインテリジェントフィルターを介して許可され、悪質なトラフィックはソースで遮断されます。常時稼働のセキュリティレイヤーをインフラストラクチャの前に配置することによってボットを阻止しながら、顧客へのサービスを中断することなく提供できます。

DDoS 対策の仕組みと、安全を確保するためにプロアクティブに実行できる対策については、以下をご覧ください。

DDoS トラフィックの一般的なタイプ

DDoS 攻撃はさまざまな形式で実行され、それぞれがネットワークインフラストラクチャやサービスのさまざまな脆弱性を悪用するように設計されています。効果的なセキュリティ戦略を確立するには、それぞれの攻撃タイプを理解することが重要です。次に、最も一般的な例について説明します。 

1. ボリューム型攻撃

この手法は、ネットワーク帯域幅のリソースを消費して混乱を起こすことを目的としています。攻撃者は、大量の不要なトラフィックを生成してリンクを溢れさせ、帯域幅の容量を枯渇させます。この手法の代表的な例としては、ターゲットシステムに UDP パケットを大量に浴びせる UDP フラッド、ICMP ping リクエストを使用して同様のことを実行する ICMP フラッドがあります。 

2. プロトコル攻撃

プロトコル攻撃は、大量のトラフィックのみに頼るのではなく、特定のネットワークプロトコルの脆弱性を悪用しようとします。例としては、攻撃者が複数の SYN リクエストを送信して接続を開き、ハンドシェイクプロセスを完了しない SYN フラッドがあります。これにより、半開状態の接続が積み重なり、利用可能なリソースが消費されます。もう1つの例としては、断片化された ICMP パケットや過大な ICMP パケットを送信してシステムをクラッシュさせる PoD (Ping of Death) 攻撃があります。

3. アプリケーションレイヤー攻撃

アプリケーションレイヤーに対する攻撃は、特定のサービスやソフトウェアの脆弱性を標的にします。例としては、HTTP フラッド攻撃と Slowloris 攻撃があります。HTTP フラッド攻撃は、特定のポートまたは URL に大量のリクエストを浴びせます。Slowloris 攻撃は、多数の接続を開いてできるだけ長く開いたままにし、最小限のデータしか送信しないことによってリソースを占有します。

DDoS 攻撃がビジネスの脅威になる理由

DDoS 攻撃の影響は、一時的な停止を超えて広範囲に及ぶことがあります。以下は、これらの攻撃がビジネスに与える 影響です。

  • 財政的な損失につながる : ダウンタイムの1分ごとに、顧客による製品購入やサイトサービスへのアクセスできなくなるため、収益が失われます。長時間にわたる攻撃や繰り返しの攻撃は、多額のコストを生じさせ、最終的な収益に大きな打撃を与えます。

  • 通常業務の妨げになる : 業務の遅延、注文のキャンセル、プロジェクトの中断により、生産性と満足度が損なわれます。攻撃期間中に特定のサービスが利用できなくなると、業務の遂行が困難になります。

  • 評判の低下につながる : 今日の顧客は、一貫性のある信頼できるデジタル体験を企業に求めています。DDoS 攻撃によって Web サイトのダウンタイムが長引くと、顧客から見たブランドイメージが低下します。これにより、顧客がビジネスに対する信頼を失って競合他社に乗り換える可能性があります。 

  • セキュリティリスクの増大 : 攻撃によって既存のセキュリティ機能が圧倒されると、ハッカーがさらに悪用できる脆弱性が公開されます。これにより、DDoS 攻撃が終了した後でも、データ窃盗やネットワーク侵入のリスクが増大します。攻撃によって公開されたセキュリティ欠陥により、機密性の高い顧客データが盗まれる可能性があり、被害がさらに深刻化します。

DDoS 攻撃の主な4つの兆候とは

DDoS 攻撃の主な4つの兆候には、異常に遅いネットワークパフォーマンス、特定の Web サイトやサービスの利用不能、単一の IP または地域からのランダムなトラフィックの増大、およびサーバークラッシュやシステムシャットダウンがあります。DDoS 攻撃の詳細を簡単に確認する方法を見てみましょう。 

1. 遅いネットワークパフォーマンス

社内のシステムおよび外部の Web サイトやサービスへのアクセスの両方において、突然ネットワーク速度が異常に遅くなった場合は、DDoS 攻撃によって帯域幅が飽和状態になっている可能性があります。この攻撃は、利用可能なインターネット回線を圧倒することを目的としているため、配信ネットワーク全体のパフォーマンスが低下します。

2. Web サイトの利用不能

DDoS 攻撃の一般的な目的の1つは、Web サイトを強制的にオフラインにすることです。ビジネスのメインサイトや内部ツールにアクセスできなくなったり、非常に遅くなったりした場合は、攻撃を受けている明らかな兆候になります。顧客や従業員がページを読み込めなくなることは、典型的な兆候です。

3. 特定の IP からのトラフィックの増大

ネットワーク監視は、トラフィックのパターンとボリュームを追跡するように設定する必要があります。特定の IP アドレスからのトラフィックの増大、特に通常の使用と異なる突発的な短い増大は、攻撃の進行を示している可能性があります。 

4. 原因不明の停止

オンラインプレゼンスや内部システムにおいて、原因不明のダウンタイムが頻繁に発生する場合や長引く場合は、巧妙な攻撃者が防御を突破中であることの示唆である可能性があります。

DDoS 攻撃を阻止する方法

DDoS 攻撃に対する防御には、プロアクティブな対策と反応的な戦略を組み合わせた多面的な手法が必要です。DDoS 攻撃を完全に防ぐことは困難かもしれませんが、組織は強固な防御計画を実装することにより、その影響を大幅に軽減できます。DDoS の潜在的な脅威に備え、デジタル資産を保護してビジネスの継続性を維持するための主な手順とベストプラクティスについて説明します。

  • トラフィックパターンの監視

最初の防御策は継続的な監視です。Webサイトのトラフィックを24時間365日分析して、異常なスパイクや変化を警告するツールをインストールします。異常を早期に発見することにより、チームは深刻な過負荷が発生する前に調査して、ボットや潜在的な攻撃を阻止できます。

  • Web アプリケーションファイアウォール (WAF) の使用

Fastly のNext-Gen WAF は Web サーバーの前に配置され、悪意のあるアクティビティの兆候を検出するためにリクエストをフィルタリングします。これにより、ボットを停止して、アプリケーションに到達する前に SQL インジェクション、クロスサイトスクリプティングなどの一般的な悪用を検出してブロックすることが可能です。Fastly の WAF は、有害なトラフィックを予防するため、攻撃後の中断への対応に追われることがなくなります。

  • レート制限の実装

どのようなシステムもトラフィックを無期限に処理することはできません。エッジレート制限を使用してアクセスのしきい値を設定し、異常なトラフィック量を自動的に管理して、一般ユーザーに影響を与えないようにします。これにより、トラフィック負荷が上昇した場合にも、正規顧客に対するデジタルプレゼンスの応答性を常に維持できます。

  • コンテンツ配信ネットワーク (CDN) の使用

CDN を使用することで、Webサイトのデジタル資産が世界中の複数のサーバーロケーションから配信可能になります。この分散型アーキテクチャにより、ある地域でトラフィックが急増した場合に、近隣の他の地域が過剰な負荷を処理できるため、顧客へのサービスを継続できます。

  • IP ブラックリストの採用

過去に問題が発生したことが知られている特定の IP アドレス からのアクセスを禁止することもできます。疑わしいトラフィックパターンに関与しているアドレスを記録すると、そのアドレスからのその後のリクエストは自動的に拒否されます。これにより、悪意のある攻撃者によりお客様の業務が中断されることがなくなります。

  • 定期的なセキュリティ監査の実施

防御対策は定期的に確認します。脅威が進化するにつれて、対策も進化させる必要があります。セキュリティ監査を定期的に実施することで、ツールを常に最新の状態で適切に設定および維持して、業務を保護できるようになります。

  • インシデントレスポンスプランの確立

どれほど堅牢な対策を講じていても、すべての攻撃を防止できるわけではありません。問題が発生した場合に備える詳細な計画を準備しておけば、チームは迅速に対応して影響を最小限に抑えることができます。実行可能なプロセスを用意しておくことで、障害に効率的に対処して、顧客へのサービスを継続できます。

統合された DDoS 対策の詳細については、セキュリティチームが Fastly の次世代 WAF に移行している理由の資料をご覧ください。

DDoS 攻撃に対抗する際の課題とは

DDoS 攻撃は、オンラインビジネスや組織にとって重大な脅威であり、サービスの中断、財務的な損失、ブランドイメージの低下を引き起こす可能性があります。これらの攻撃に対抗するための DDoS 対策サービスは各種ありますが、効果的な対策を実装して維持するには、それ自体に課題が伴います。DDoS 攻撃の対策に関して、企業が直面する主な障害を確認してみましょう。

  • コストへの影響

DDoS 攻撃の数は、年々増加の一途をたどっています。効果的なソリューションには、大量の不要なトラフィックをフィルタリングしながら、正規ユーザーを遅延なく通過させる能力が必要です。このレベルのパフォーマンスとスケーラビリティは、追加コストなしでは実現されません。脅威の進化に合わせて拡張できるサービスを入手するために、予算を適切に編成する必要があります。

  • 実装の複雑さ

もう1つの課題は、対策ソリューションのデプロイと管理における技術的な難しさです。通常の Webサイト機能を中断させることなく、攻撃を検出してトラフィックをフィルターに誘導するには、適切な設定が必要です。継続的なメンテナンスは、信頼性の高い対策を確保するためにも重要です。このレベルの統合には、多くの場合、相当な時間と人員が必要になります。一部の企業では、短期間での習得に困難が伴う場合もあります。

  • 誤検知

すべてのフィルタリングアルゴリズムが完璧というわけではないため、一部で遅延やエラーが発生する可能性があります。プロバイダーは、ユーザーエクスペリエンスを維持しながら攻撃を阻止するために、そのような誤検知を最小限に抑えるための慎重な調整を行う必要があります。

  • 脅威の進化

攻撃戦略が撃退されるたびに、別の攻撃戦略が生まれます。DDoS 攻撃に対する防御策は、新しい戦術に適応し続けなければ、すぐに陳腐化する恐れがあります。プロバイダーは、進化するリスクの先を進むことに重点を置いた専用の研究チームを維持する必要があります。そのような俊敏なセキュリティがなければ、今日の最先端の対策でさえ、明日には脆弱になります。

  • リソース集約度

DDoS 攻撃はあらゆる規模で発生しますが、大規模な攻撃に対抗するには、大量の不要なトラフィックを吸収できる大規模なインフラストラクチャが必要です。そのためには、膨大なリソースとネットワーク容量が必要になることがあり、個々の企業がそれを常に維持することは現実的ではありません。経験豊富な対策プロバイダーは、顧客のニーズに合わせてリソースを拡張できるため、そのようなプロバイダーにアウトソーシングすることが重要になります。 

Fastly が DDoS 攻撃防止の最善策になる理由

DDoS 攻撃に対する包括的なセキュリティ対策の維持には、コスト、複雑さ、誤検知、進化する脅威、リソース集約度において大きな困難が伴います。Fastly のクラウドベースの DDoS 対策ソリューションは、このすべての懸念事項を直接解決します。

Fastly の DDoS 対策の主なメリットは次のとおりです。

  • 低コスト : Fastly は費用対効果に優れた DDoS 対策を提供します。このソリューションは、CDN サービスに含まれています。柔軟な支払いオプションにより、お客様のニーズに適合するパッケージを選択でき、超過分の保護も無制限で受けられます。セキュリティ、CDN、およびエッジクラウドのサービスを単一のベンダーに統合することは、より安価な選択肢になります。

  • 複雑さの解消 : Fastly のソリューションは、複雑な設定や手作業の調整は不要です。ネットワークはレイヤー 3/4 攻撃を自動的に吸収し、次世代 WAF はレイヤー 7 の脅威をシームレスに処理します。

  • 誤検知の削減 : Fastly の高度な SmartParse 検出エンジンは、リクエストを正確に分類し、正規ユーザーをブロックすることがある誤検知を最小限に抑えます。

  • 継続的な進化 : Fastly は確実なインテリジェンスに基づいて検出と対策を強化し、最近の Reset 攻撃などの進化するグローバルな攻撃のトレンドに先手を打つことができます。

  • リソースの効率 : Fastly の大規模な 336Tbps ネットワークには、パフォーマンスを低下させることなく、極度に大規模な攻撃を吸収する能力も組み込まれています。エッジで自動化された対策により、オリジンサーバーの負荷も軽減されます。

無料トライアルにサインアップして、Fastly がどのように安心をもたらし、悪質なアクターによるデジタルプレゼンスへの妨害を防ぐかをご体験ください。

無料トライアルへのサインアップ

詳細情報