分散サービス妨害(DDoS)

DDoS攻撃について教えてください。

分散サービス妨害(DDoS)攻撃は、ターゲットまたはその周辺のインフラストラクチャーを圧倒的大量のインターネット・トラフィックで混乱させ、ターゲットとなったサーバー、サービス、またはネットワークの正常なトラフィックを妨害しようとする悪意のある試みです。DDoS攻撃は、暗号漏えいした複数のコンピューター・システムを攻撃トラフィックのソースとして利用することによって効果を達成します。悪用されるマシンには、コンピューターのほか、IoTデバイスなどの他のネットワーク・リソースも含まれることがあります。DDoS攻撃は、上から見ると高速道路で交通渋滞を起こし、通常の交通の流れが目的の行き先まで到着するのを妨げている様子に似ています。

DDoS攻撃の仕組みを教えてください。

DDoS攻撃を実行するためには、攻撃者がオンライン・マシンのネットワークの制御を獲得する必要があります。コンピューターやその他の機械(IoTデバイスなど)がマルウェアに感染し、それぞれがボット(またはゾンビ)に変わります。攻撃者は、次にボットのグループに対するリモート制御を獲得します。このようなボットのグループをボットネットといいます。ボットネットが確立すると、攻撃者は、リモート制御という方法で各ボットに更新された命令を送信して、マシンを誘導することができます。被害者のIPアドレスがボットネットのターゲットになると、各ボットが応答してそのターゲットに要求を送信します。このため、ターゲットとなったサーバーまたはネットワークで容量のオーバーフローが起こる可能性があり、その結果、通常のトラフィックへのサービス妨害が発生します。各ボットは正規のインターネット・デバイスであるため、攻撃トラフィックと通常のトラフィックを分離することは困難です。

一般的なDDoS攻撃のタイプにはどのようなものがありますか。

さまざまなDDoS攻撃ベクトルがネットワーク接続のさまざまなコンポーネントをターゲットにします。多様なDDoS攻撃の仕組みを理解するには、ネットワーク接続がどのように行われるのかを知る必要があります。インターネット上のネットワーク接続は、複数の異なるコンポーネント(つまり「層」)で構成されています。地面から上に向かって家を建てる場合のように、モデル内の各ステップが持つ目的は異なっています。OSIモデルは、7つの異なる層でネットワーク接続を記述するために使用される概念的なフレームワークです。

DDoS攻撃を緩和するためのプロセスを教えてください。

DDoSの詳細を見る

ほとんどすべてのDDoS攻撃で、ターゲットのデバイスやネットワークが大量のトラフィックであふれることになりますが、攻撃は3つのカテゴリーに分類できます。攻撃者は、ターゲットが取る対策に基づいて、1つまたは複数の異なる攻撃ベクトルを利用したり、攻撃ベクトルを反復したりする場合があります。現在のインターネットでは、DDoSトラフィックはさまざまな形態を取っています。なりすましの形を取っていない単一ソースの攻撃から、複雑で適応性のあるマルチベクトル攻撃まで、トラフィックの設計は多種多様です。マルチベクトルDDoS攻撃では、さまざまな方法でターゲットを制圧するために複数の攻撃パスが使用され、1つの進入経路に対する緩和の努力を妨害する可能性があります。マルチベクトルDDoSの一例として、HTTPフラッディング(層7がターゲット)とDNS増幅(層3および4がターゲット)の結合など、プロトコル・スタックの複数の層を同時にターゲットとする攻撃があります。マルチベクトルDDoS攻撃を緩和するには、異なる侵入経路に対抗するためのさまざまな戦略が必要です。一般的に言えば、攻撃が複雑になるほど、攻撃トラフィックを通常のトラフィックと分離することは難しくなります。可能な限り混ざり込んで緩和策の効率をできる限り落とすことが攻撃者の目標なのです。トラフィックを無差別に低減または制限する試みを伴う緩和策は、良好なトラフィックを不良トラフィックと一緒に排除してしまう可能性があります。また、対策を回避するために、攻撃が変更されたり適応したりする場合もあります。破壊しようとする複雑な試みに打ち勝つには、階層化された解決策が大きな利点をもたらします。

Webアプリケーション・ファイアウォール(WAF)

Webアプリケーション・ファイアウォールとはどのようなものですか。

Webアプリケーション・ファイアウォール(WAF)は、Webアプリケーションとインターネットの間のHTTPトラフィックのフィルターやモニターの働きをするもので、Webアプリケーションを保護するために役立ちます。このファイアウォールの代表的機能は攻撃(とりわけクロスサイト・フォージェリー、クロスサイト・スクリプティング(XSS)、ファイルの組み込み、SQLインジェクションなどの攻撃)からWebアプリケーションを保護することです。WAFはプロトコル第7層の防御層(OSIモデルの場合)ですが、すべてのタイプの攻撃を防御できるように設計されているわけではありません。この攻撃緩和方法は、通常、一連の攻撃ベクトルに対する総合的な防御を形成する一連のツールの一部となるものです。Webアプリケーションの前面にWAFを配置することで、Webアプリケーションとインターネットの間にシールドを置くことができます。プロキシー・サーバーは、中継を利用してクライアント・マシンのIDを保護します。これに対して、WAFはリバース・プロキシーの一種であり、クライアントがサーバーに到達する前にWAFを通過させることによってサーバーを機密漏れから保護します。WAFは、よくポリシーと呼ばれる一連の規則に従って作動します。これらのポリシーの目的は、悪意のあるトラフィックをフィルターで排除することによってアプリケーション内の脆弱性に対する保護を提供することです。WAFの価値の1つは、ポリシー変更の実装が素早く簡単にでき、さまざまに変化する攻撃ベクトルに迅速に対応できることです。DDoS攻撃の際には、WAFポリシーを変更することによって、速度制限を素早く実装できます。

ブラックリストWAFとホワイトリストWAFの違いを教えてください。

WAFの詳細を見る

ブラックリスト(ネガティブ・セキュリティー・モデル)に基づいて動作するWAFは、既知の攻撃からの保護を提供します。ブラックリストWAFとしては、ドレス・コードを満たしていないゲストの入場を拒否するよう命令されているクラブの警備員を思い浮かべてください。逆に、ホワイトリスト(ポジティブ・セキュリティー・モデル)に基づくWAFは、事前に承認されたトラフィックのみを許可します。これは排他的なパーティーの警備員のようなもので、リストに記載された人々だけに入場を許可します。ブラックリストとホワイトリストには、どちらも利点と欠点があります。だからこそ、多くのWAFが両方を実装できるハイブリッド・セキュリティー・モデルを提供しているのです。

コンテンツ配信ネットワーク(CDN)

コンテンツ配信ネットワークとはどのようなものですか?

コンテンツ配信ネットワーク(CDN)は地理的に分散したサーバーで構成されるグループです。グループ内のサーバーは連携して、インターネット・コンテンツの高速配信を提供します。CDNを使用すると、HTMLページ、JavaScriptファイル、スタイルシート、イメージ、ビデオなど、インターネット・コンテンツをロードするために必要な資産を迅速に転送できます。CDNサービスの人気は拡大し続け、今日ではWebトラフィックの大部分はCDNを通じてサービスの提供を受けています。

CDNの仕組みを教えてください。

CDNの中核になっているのは、できるだけ速く安く、確実に安全にコンテンツを配信することを目的として相互にリンクされたサーバーのネットワークです。速度と接続性を向上させるために、CDNでは、異なるネットワーク間の交換ポイントにサーバーを配置します。インターネット交換ポイント(IXP)は、異なるネットワークから発信されたトラフィックに相互にアクセスできるようにするために、さまざまなインターネット・プロバイダーが接続する1次ロケーションです。CDNプロバイダーは、高速で高度に相互接続されたこれらのロケーションに接続することで、高速データ配信のコストと通過時間を削減できます。

CDNでWebサイトのロード時間が向上する仕組みを教えてください。

CDNの詳細を見る

コンテンツをロードするWebサイトの場合、サイトがスローダウンするとユーザーはすぐに離れて行きます。グローバルに分散しているというCDNの性質は、ユーザーとWebサイト・リソースの間の距離が短くなることを意味します。CDNでは、ユーザーは、Webサイトの発信元サーバーが稼働している場所に接続する必要はなく、地理的に近いデータセンターに接続できます。伝送時間が少なくなるほど、サービスが高速化します。

ドメイン・ネーム・システム(DNS)

DNSとはどのようなものですか?

ドメイン・ネーム・システム(DNS)は、インターネットの電話帳です。ユーザーは、オンラインで情報にアクセスするときに、nytimes.comやespn.comなどのドメイン名を使用します。Webブラウザーは、インターネット・プロトコル(IP)アドレスを介して対話します。DNSは、ドメイン名をIPアドレスに変換し、ブラウザーがインターネット・リソースをロードできるようにします。インターネットに接続された個々のデバイスには固有のIPアドレスがあり、このIPアドレスを使用して他のマシンがそのデバイスを検出します。DNSサーバーの登場で、192.168.1.1などのIPアドレス(IPv4の場合)や、さらに複雑な2400:cb00:2048:1:c629:d7a2のような新しい英数字のIPアドレス(IPv6の場合)を覚える必要がなくなりました。

DNSの仕組みを教えてください。

DNS解決のプロセスには、ホスト名(www.ibm.com など)をコンピューター・フレンドリーIPアドレス(例えば、192.168.1.1など)に変換する処理が含まれます。IPアドレスはインターネット上の個々のデバイスに与えられており、該当のインターネット・デバイスを見つけるためにはそのアドレスが必要です。つまり、特定の家を見つける場合に住所を使用するようなものです。ユーザーがWebページをロードする場合、ユーザーがWebブラウザーに入力する内容(example.com)と、example.comのWebページを見つけるために必要なマシン・フレンドリー・アドレスとの間での変換処理が必要です。DNS解決の背後にあるプロセスを理解するには、DNS照会が通過しなければならないさまざまなハードウェア・コンポーネントについて理解することが重要です。Webブラウザーの場合、DNS参照は「舞台裏」で実行され、初期要求を別にすれば、ユーザーのコンピューターからの対話は必要ありません。

DNSリゾルバーとはどのようなものですか。

DNSの詳細を見る

DNSリゾルバーは、DNS参照が最初に立ち寄る停止点で、初期要求を行ったクライアントの処理を担当します。リゾルバーは照会のシーケンスを開始します。このシーケンスは必要なIPアドレスに変換され、最終的にURLにつながります。注記: キャッチされていない代表的なDNS参照には、再帰的照会と反復照会の両方が含まれています。再帰的DNS照会と再帰的DNSリゾルバーを区別することが重要です。照会は、照会の解決を必要とするDNSリゾルバーに対して行われた要求のことです。DNS再帰的リゾルバーは、再帰的照会を受け入れ、必要な要求を実行して応答を処理するコンピューターです。

機能を試してみる

始める準備はできましたか?ポータルとAPIを使用すると、クリックするだけで、より高速で安全なインターネットを実現できます。