ケーススタディ 強力かつ運用性に優れたDDoS攻撃対策を実現
ビックローブ株式会社様
ビックローブ株式会社では、同社の運営サービスの根幹にあたるDNSサーバーおよびクラウドサービスをDDoS攻撃から確実に守るために、DDoS攻撃対策品「Arbor SP/TMS」「Arbor APS」を新たに導入した。これにより従来のDDoS攻撃対策におけるさまざまな課題を解決することができた。
Before/After
課題/目的
- DDoS攻撃装置の不安があるなか、DNSサーバーへの新手の攻撃が増加
- 特定のエンジニアのみポリシー変更が可能な属人的な運用
日商エレクトロニクスの支援により、NETSCOUTを導入
効果
- DDoS攻撃の際の迅速な実態把握
- 商品に精通していないオペレータでもポリシー変更可能に
- DDoS攻撃の想定における日商エレの万全な実証実験サポート
- 企業名:
- ビックローブ株式会社様
- 所在地:
- 東京都品川区東品川4-12-4 品川シーサイドパークタワー
- 設立:
- 1986年4月
- 従業員数:
- 非公開(規定による)
- 事業内容:
- 個人向けに光インターネットや格安モバイル、法人向けには各種クラウドサービス(ホスティング、メール、ストレージ)などを提供し、インターネットサービスを通じて、ネットとリアルの世界でお客様の"Quality of life"をより豊かにする「Life-changing Company」となることを目指している。
DDoS攻撃からDNSサーバー、クラウドサービスを守るには?
日本を代表するインターネットサービスプロバイダーの1つ、ビッグローブ株式会社(以下、BIGLOBE)。数百万を越える会員に対する個人向けサービスや6,000社以上の法人に対して各種クラウドサービスを提供している。
大規模プロバイダゆえ、BIGLOBEの提供するサービスに対しては、国内外からDDOS攻撃ふくめ、日々多くのサイバー攻撃が仕掛けられている。これに対して同社では、早くからDDoS攻撃対策専用装置を導入し、サーバーやネットワークを護ってきた。
しかし、BIGLOBEシステム基盤本部 主任 津山訓司氏によれば、それまで利用していた装置による対策について、数年前より不安があったという。
「世界的に見て、DDoS攻撃の規模や頻度は年々増加しつつあり、この傾向は今後も続くと予想されます。これに対して、それまで利用していた装置では、パフォーマンス面で不安があり、さらに複雑化する攻撃への対応力もありませんでした。そんな中でDNSサーバーを狙った新手の大規模な攻撃が世界的なニュースになり、DDoS攻撃対策の見直しの必要性が急速に高まりました。」
DNSサーバーがDDoS攻撃によってダウンしてしまうと、同社のサービスに大きな影響が出てしまう。そのため、BIGLOBE経営幹部から、より確実な対策が求められていた。
また、BIGLOBEシステム基盤本部 主任 成澤佳介氏によれば、従来の装置の運用性においても課題があったという。
「それまで利用していた装置は、ポリシー変更を行う際、製品知識を持った技術者しか変更を行うことができませんでした。本来なら、DDoS攻撃の状況に応じて、柔軟にポリシー変更を行うようにすることで、より確実な防御を実現したかったのですが、特定のエンジニアしかポリシー変更を行うことができない属人的な運用となっていました。」
DDoS攻撃対策製品 「Arbor SP/TMS」「Arbor APS」を採用
こうしてBIGLOBEは2016年から、それまで利用していた装置に代わる新たなソリューションの検討を始めた。主だったDDoS攻撃対策製品を一通り比較検討し、実機を使った評価の結果、最終的に同社が選んだのが、日商エレクトロニクスが提供する「Arbor SP/TMS」および「Arbor APS」だった。
これら2製品は、米NETSCOUT(旧Arbor Networks)社が開発するDDoS攻撃対策製品で、Arbor SP/TMSはボリューム型のDDoS攻撃の対策に強みを持っており、一方のArbor APSは、アプリケーション型のDDoS攻撃に対して有効だとされている。
DNSサーバーのDDoSには、キャッシュDNSへのボリューム型攻撃(例:DNSアンプリフィケーション攻撃)や権威DNSへのアプリケーション型攻撃(例:水責め攻撃)などの脅威がある。BIGLOBEは、それぞれの製品の特性を理解したうえで、下図のような構成を組んだ。
数あるDDoS攻撃対策製品の中からこの2つを選んだ理由について、津山氏は次のように説明する。
「それまで利用していた装置は、DDoS攻撃の状況を把握するのに多くの手間と時間を必要としました。しかしNETSCOUT社製品は、攻撃元や攻撃先の基本的な情報だけではなく、"GeoIP"や"攻撃パケットの特性"など詳細な情報をレポートで確認できます。また、"DDoS攻撃のミティゲーション状況"、"ミティゲーション対象とした理由"が一目で把握できるため、判断が迅速に行うことができます。さらには、防御ポリシー変更を非常に簡単に行える点も高く評価しました。ポリシー変更は、直観的に操作できるGUIを通じて行えるため、製品に精通していないオペレータでも簡単に操作できると感じました。」
また成澤氏は、ボリューム型とアプリケーション型の攻撃が混在したマルチベクター型の攻撃を防ぐポリシーを簡単に操作できるArbor APSの機能がとても印象的だったと述べる。
「マルチベクター型の攻撃を確実にミティゲーションするためには、DDoS攻撃の状況に応じて、さまざまなポリシー変更を行う必要があります。それまで利用していた装置は、ポリシー設計が複雑で、容易にポリシー変更をすることができませんでした。しかしArbor APSではあらかじめ用意されたポリシーセットが明確で、かつそれらを簡単な操作でON/OFFしたり、しきい値を変更したりできるため、権威DNSサーバーをアプリケーション型の攻撃から守る上では極めて有用だと感じました。」
DDoS攻撃対策の強化と属人化排除を同時に実現
こうしてArbor SP/TMSおよびArbor APSの採用を決めたBIGLOBEは、設計や設定内容、運用方法を検討すべくプロジェクトチームを結成。ネットワークチーム、サーバーチーム、セキュリティチームからメンバーを集め、日商エレクトロニクスの検証用ラボに構築した検証環境で約2カ月間に渡り入念に検証作業を行った。
この間、実際のDDoS攻撃を想定して大量トラフィックを生成したり、さまざまなDDoS攻撃シナリオに対する挙動を確認したが、こうした作業を行うにあたっては日商エレクトロニクスの技術者のサポートがとても心強かったと津山氏は振り返る。
「検証作業を行う際には、ラボの提供から試験環境構築のサポート、ポリシー設計に関するアドバイスなど、日商エレクトロニクスの技術者の方々には全面的に支援いただきました。またそれだけではなく、弊社のエンジニアに対する製品トレーニングも実施していただき、大変助かりました。」
こうした過程を経て、BIGLOBEでは2017年10月よりArbor SP/TMSおよびArbor APSを使った新たなDDoS攻撃対策が本格的に稼働した。その結果、DDoS攻撃対策のレベルが格段に向上したとともに、その運用も大幅に改善されたという。
「DDoS攻撃の状況が容易に把握できるようになったことで、素早く的確な対応がとれるようになりました。またポリシー変更の操作も簡単に行えるため、『DDoS攻撃対策の属人化』という弊社が従来抱えていた問題を解決できました。」(成澤氏)
その後、他拠点のDNSサーバーならびにクラウドサービスをDDoS攻撃から守るためにArbor TMSを追加導入するなど、同社ではNETSCOUT社製品を使ったDDoS攻撃対策をより完璧にすべく、適用範囲を広げた。
Arborのさらなる活用を検討
今後は、NETSCOUT社が提供するクラウド型のDDoS攻撃対策サービス「Arbor Cloud」の利用や、APIを通じて製品機能を「DDoS攻撃対策サービス」としてユーザーに提供するなど、NETSCOUT社製品のさらなる活用を考えている。
ケーススタディ
ケーススタディに関するお問い合わせは、
こちらのフォームからご連絡ください。