F5ネットワークスジャパン株式会社
シニアソリューション
マーケティングマネージャ
帆士 敏博 氏
シニアソリューション
マーケティングマネージャ
帆士 敏博 氏
ECサイトやネットバンキング、ゲームサイト、会員向けサイトなど、Webサイトを狙ったサイバー攻撃による被害が後を絶たない。その背景として攻撃の手口が巧妙化、複雑化しており管理者として対策がし切れないのが現実だ。ある金融サイトでは、DDoS攻撃を受けサービス停止が発生した。当初、一般的なDDoS攻撃だと思われたが、2日後 実はDDoS攻撃の裏でアプリケーションの脆弱を突いた不正送金が行われ1億円違い損害を受けていることが発覚し、サービスの停止と原因追究に1カ月近く費やした例もある。
攻撃のなかでも、特に対策が困難なのがDoS/DDoS攻撃だ。「DoS/DDoS攻撃の対策では、回線側とアプリケーション側の大きく二つの視点が必要であり、双方の対策が不可欠です」と指摘するのは、F5ネットワークスジャパンの帆士敏博氏だ。
第1のポイントである回線側へのDoS/DDoS攻撃の手口は、攻撃者が大量のパケットを送りつけ、企業が契約する回線の帯域幅をパンクさせるというもの。その結果、サービスを利用する正規のトラフィックが契約回線を通過できず、サービス妨害などの被害を受けることになる。こうした帯域消費型のDoS/DDoS攻撃を防ぐには、ISP(Internet Service Provider)が提供するDoS/DDoS攻撃対策サービスを活用するのが最善だ。ISPのバックボーン網側で攻撃を遮断し、自社で契約している回線への不正トラフィック流入自体を防ぐ。これにより、サービス利用に必要な帯域幅を確保できる。
そして、第2のDoS/DDoS対策のポイントは、アプリケーション側で講じる必要がある。具体的な対策は次ページで解説しよう。