「Cloudflare」DDoS対策の強み
ーコラムー
2020年8月4日号
ここ数年、IPA発表の情報セキュリティ10大脅威にサービス妨害攻撃によるサービスの停止や、IoT機器に関する脅威がランクインし続けています。 脆弱なIoT機器(Webカメラやプリンター、様々なセンサーデバイス等)が乗っ取られ、それらの機器がボットネットを形成し、大規模なDDoS攻撃の送信元になっています。 現在も多数の機器が攻撃者の指示を待ち、ネット上に潜伏しています。
また、安価に時間単位でDDoS攻撃をサービスとして提供する闇のDDoS代行業者も多数登場しています。
以前に日本においても、16歳の高校生がスイスのDDoS代行業者に依頼し、オンラインゲームを一時サービス停止に追い込んだ事件がありました。この時少年がDDoS代行業者へ支払った額はわずか800円です。少しのお金さえ払えば、誰でも簡単にDDoS攻撃を首謀することができる訳です。数百Gbpsの攻撃も珍しくなくなっています。多数のユーザのうち、たった一人のユーザから恨みを買うことで狙われたらひとたまりもありません。
さらに、DDoS攻撃を停止する代わりに身代金を要求するケースもあります(ランサムDDoS)。
サービス停止の損害に加え、身代金の損失、信用低下のリスクを考えると、必要な対策への投資は行うべきだと言えます。
当方も調査目的であることを隠してDDoS代行業者へ問い合わせしてみたことがあります。やり取りは多くの場合、ICQなどのコミュニケーション用アプリで行われます(下記画像は一部情報をマスクしています)。
問い合わせてみた感想としては、多くのセキュリティベンダー顔負けの迅速・丁寧な対応で大変驚きました。
当然のことながら利用はしませんでしたが、いつでも簡単に依頼が可能だと確認でき、危機感がより強くなりました。
CloudflareのDDoS対策はエッジサーバを90ヵ国200ヶ所のデータセンターに分散したアーキテクチャーとなっており、高い性能と耐障害性を確保しています。
数十~数百Gbpsの攻撃も珍しくないため、オンプレミスのDDoS対策製品の場合は契約回線が攻撃パケットで埋め尽くされる問題に対して無力ですが、上記のような対策なら安心です。
ミサイル防衛と同じで、攻撃はできるだけ早く打ち落としたいですよね。ミサイル防衛の世界ではTHAADミサイルやSM-3といった迎撃ミサイルで守る訳ですが、Cloudflareの場合はIP Anycastというテクノロジーを採用することで、送信元の近くのエッジサーバへトラフィックを誘導し、オリジンサーバやその接続回線を完全に保護します。
私が管理しているサイトで、CDN・WAF・DDoS ProtectionをパックにしたCloudflare以外のサービスを利用したことがあるのですが、DDoS Protectionの性能が1Gbpsとなっていました。これではDDoS対策とは言えませんね。
Cloudflareでは400Gbps以上のDDoS攻撃から顧客のサイトを守った実績が複数あります。
また、CloudflareではDDoS攻撃によりトラフィック量が増えても利用料金は増えることなく定額です。攻撃の量が増えたことでセキュリティの予算を増額する必要はありません。あくまで正常トラフィックの量が大きく増えた時(=ビジネスが成長した時)のみ契約の見直しが必要になりますのでユーザにとって都合が良いです。
また、CloudflareによるDDoS Protectionの別の強みとして、常時稼働している点があげられます。
他社のサービスでは、攻撃検知をトリガーとして動的に経路を変え、スクラビングセンターへトラフィックを誘導するという手法を取ったものがありますが、この場合経路の切り替えに少々の時間がかかるものと思われます。
しかしCloudflareでは経路切り替えの処理はなく、常時同じセンターでトラフィックを終端しCDN、WAF、DDoS Protectionの機能を提供しているため、切り替え時間がありません。
過去に日本企業をしらみつぶしに狙った攻撃事例もありますので、「当社は狙われない」という根拠のない油断は禁物です。DDoS攻撃対策を導入済みの場合でも脅威トレンドや料金を鑑みて定期的に見直しの要否を判断することが重要です。
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事