CDN(Content Delivery Network)サービスを、ファイル配信以外の目的で導入する企業が増えている。その多くは、セキュリティなどの機能を追加するためだ。「動画などの配信事業は頭打ちだが、セキュリティ事業は大きく伸びている」(Jストリームの鍋島氏)という声もある。例えばアカマイの決算資料を見ると、2014年までトップだった動画配信事業の売り上げは、2015年にWebサーバーのセキュリティ機能などを提供する事業に逆転されている。
企業が主に追加する機能は、DDoS攻撃対策やTLS/SSL▼だ。既存のWebサーバーに手を加えずに導入できる。増加するサイバー攻撃に対して、手っ取り早く対応できるメリットが受けている。本パートでは、これらの機能が提供される仕組みや利用するメリット、利用時の注意点などを見ていこう。
物量型と負荷型の攻撃に備える
まずは、DDoS攻撃対策だ。DDoS攻撃は、複数のコンピュータを使って標的のWebサーバーのサービス停止を狙う攻撃である。
攻撃は2種類ある。一つは、大量のパケットを送りつけてWebサーバーにつなぐネットワークを飽和状態にしてアクセスできなくする「物量型」。もう一つは、サーバーの処理が大きくなるパケットを送りつけてWebサーバーが処理できなくする「負荷型」である。
標準のCDNサービスを利用するだけで、物量型の攻撃に強くなる▼。攻撃が複数ある配信サーバーに分散されるからだ。ただ負荷型の攻撃だと、標準サービスだけではWebサイトがダウンする恐れがある。配信サーバーに高い負荷がかかったり、Webサーバーのアクセスが増えたりするからだ。
アカマイや米ライムライト・ネットワークスなどのCDNサービスでは、こういった攻撃を防ぐオプションを用意している。Webサーバーに負荷をかけるような通信を遮断するオプションだ。DDoS攻撃対策としてCDNサービスを導入するときは、こういったオプションを付加するとよい。
このオプションは、WAF▼などのファイアウオール機能を備えた機器を配信サーバーとインターネットの間に設置したり、サードパーティが提供するWAFのクラウドサービスと組み合わせたりして提供される▼。
TLSはTransport Layer Securityの略で、SSLの後継プロトコル。SSLはSecure Sockets Layerの略。
大量のパケットが配信サーバーに届くだけの攻撃なら問題ないが、Webサーバーのファイルをダウンロードするような攻撃では、CDNサービスの利用料金が膨らんでしまう。こういったケースに備えるには、後述するDDoS攻撃対策のオプションを付ける。
Web Application Firewallの略。
ライムライトでは、DDoS攻撃対策とWAFを区別して提供する。DDoS攻撃のパケットをフィルタリングする機能はDDoS攻撃対策、SQLインジェクション攻撃などWebアプリケーションの予期せぬ動作を引き起こす攻撃を防ぐ機能はWAFとして提供する。