ホワイト ペーパー

シスコ自己防衛型ネットワークによる DDoS 攻撃の防止

企業のインターネットへの接続が広く普及している現在、あらゆる企業が、大規模で巧妙な Distributed Denial of Service（DDoS; 分散型サービス拒絶）攻撃の対象となっています。大きな被害をもたらす DDoS 攻撃から企業を保護するための対策が必要とされているのです。

概要

インターネットベースの取引やコミュニケーションが普及するに従い、DDoS 攻撃によって企業の業務が停止に追い込まれる可能性が増大しています。対策が不十分な企業が DDoS 攻撃を受けて業務停止に陥れば、顧客離れ、収益悪化、および企業イメージの低下を招く危険があります。このホワイト ペーパーでは、大きな被害をもたらす DDoS 攻撃の識別、対処、および回避を行う場合の課題について説明します。シスコの自己防衛型ネットワークを利用すると、企業は多層的な手段を講じて DDoS 攻撃を検出し、その影響を緩和することができます。

セキュリティの展望

e- ビジネスは便利で優れた機能を持ち、世界中のどこからでも利用できるため、消費者と企業の双方にメリットをもたらします。しかし、業務システムへのアクセスが容易になると、セキュリティ上の課題も大きくなります。e- コマース サイト、オンライン バンク、パートナー ネットワーク、インターネット サーバ、および E メール サーバは、報復や利益を目的とする多くのハッカーの標的になっています。これは深刻な問題であり、米国 FBI では、テロリズム対策およびスパイ対策に次ぐ 3 番目に重要な懸案事項としてインターネット犯罪対策を取り上げています。

ネットワーク セキュリティは非常に新しい分野です。そのため、有能なセキュリティ専門家を探し、適正なセキュリティ支出を判断することは容易ではありません。通常、ネットワークや IT に関する費用は Return On Investment（ROI; 投資対効果）に基づいて評価されますが、ネットワーク セキュリティは従来からコスト センターとみなされてきました。しかし、セキュリティ違反による業務停止が社会的な注目を集めるなど、包括的なネットワーク セキュリティが企業の損失防止に役立つことが明らかになるにつれて、この考え方も変化しています。

DDoS 防止における課題

DDoS 攻撃では、企業のサーバ、ルータ、ファイアウォール、またはネットワーク リンクに対して短時間に大量のトラフィックを送りつけます。DDoS 攻撃が成功すると、ネットワークやネットワーク上のリソースが不正なトラフィックであふれ、正規のトラフィックを処理することができなくなって業務が停止することになります。DDoS 攻撃によって業務が停止すると、企業は顧客離れ、サービスレベル アグリーメント違反、企業イメージの低下などの大きな被害に見舞われます。また、IT 部門やセキュリティ部門では、すべてのリソースを投入して攻撃に対処せざるをえなくなります。しかし、このような対応では遅すぎるうえ、効果も限定的です。DDoS 攻撃から業務を守るためには、DDoS 攻撃を即座に検出して対処すると同時に、顧客、パートナー、および社員がクリティカルなネットワーク リソースを継続的に使用できるようにするセキュリティ戦略が必要です。

DDoS 攻撃は企業にとって被害総額が 2 番目に大きいセキュリティ インシデントです。* 大手 e- コマース企業の場合、24 時間の業務停止によるコストは 3000 万ドルに達すると見込まれています。また、小規模な企業も例外ではなく、12% の企業が過去 1 年間に DDoS 攻撃を経験したことがあると回答しています。** Gartner 社はインターネットに接続された全企業の半数が、この先 2 年以内に DDoS 攻撃の影響を受けるだろうと予測しています。 ***

* 出典：『2004 CSI/FBI Computer Crime and Security Survey』
** 出典：『Small and Medium Business Infrastructure Survey』Yankee Group（2004 年 12 月）
*** 出典：Gartner（2004 年 12 月）

DDoS 攻撃の効果的な検出と防御はますます難しくなっています。これまでの単純な DoS 攻撃を防止するには、特定の送信元アドレスをフィルタリングするだけで十分でした。しかし DDoS 攻撃の場合、数万から数十万にも上る分散した送信元から発信されます。ブロードバンドに接続したコンピュータが乗っ取られ、「ゾンビ」として使用されるのです。ゾンビから送信されるトラフィックは正規のユーザ トラフィックを模倣しているため、両者の識別は非常に困難で、正確に識別しようとすれば大量のコンピュータ リソースが必要となる場合があります。

ハッカーは、もともといたずらや報復を目的として DDoS 攻撃を行っていました。しかし、現在では、利益を目的とした犯罪のプロが、ネットワークにより大きな打撃を与え、より多くの利益を得ようと、巧妙な DDoS 攻撃を仕掛けています。一部のハッカーは大手金融機関や e- コマース サイトに金銭を要求し、支払わなければ攻撃を仕掛けると脅迫しています。また、競合他社の e- ビジネス業務の停止をもくろむ企業や、株価操作を目的として DDoS 攻撃を仕掛けようとする企業に雇われるようなハッカーもいます。多くの場合、これらの攻撃はショッピング シーズンの初日や新製品の発売直前といった最も大きな被害をもたらすタイミングで実行されます。

DDoS 攻撃の陰には他のセキュリティ上の脅威が隠れている場合があります。たとえば、ハッカーはクレジット カード番号などの情報を盗み出す際の陽動作戦として DDoS 攻撃を使用します。DDoS 攻撃を使用して大量のトラフィックを送りつければ、ネットワークの不審な動作を隠蔽したり、セキュリティ リソースを迂回したりすることができます。また、侵入の検知と防御を行うセキュリティ監視デバイスをシャットダウンさせることもできます。

企業は DDoS 攻撃による被害を防ぐために、DDoS 攻撃を自動的に検知および緩和して、攻撃を受けた場合でも正規のトラフィック処理を継続できるようにする必要があります。また、今後現れるであろうさまざまなタイプの DDoS 攻撃にもスケーラブルに対応できる適応力の高いソリューションを実現する必要があります。

さらに、企業はネットワークのエンドポイント（デスクトップ、サーバ、ノート型パソコンなど）がゾンビとして悪用されないように保護しなければなりません。エンドポイントがゾンビとして悪用されると、DDoS 攻撃の発信源にされて、重要なネットワーク リソースが利用されてしまう可能性があります。このような課題を解決するには、包括的なシステムベースのネットワーク セキュリティが必要です。ネットワークに接続されたすべてのデバイスが、ネットワークのセキュリティ保護に関与しなければならないのです。

シスコ自己防衛型ネットワーク

最近の DDoS 攻撃は巧妙で短時間のうちに実行されます。セキュリティ システムでは、DDoS 攻撃を迅速かつ自動的に検知および緩和して、ネットワークやネットワーク リソースに被害が及ぶのを未然に防ぐ必要があります。ネットワークのすべての場所にセキュリティ システムを統合し、どの場所が攻撃を受けても組織的に対処できる仕組みを構築しなければなりません。そのためには、正常なトラフィックやイベントに潜む脅威を見つけ出すインテリジェントなセキュリティ機能が必要です。また、変化の著しいネットワーク セキュリティ条件に対応できる適応力の高さも必要です。シスコ自己防衛型ネットワークはシスコシステムズのネットワーク セキュリティ戦略であり、社内および社外における脅威の検出と防御を行い、これらの脅威に適応します。シスコ自己防衛型ネットワークを利用すると、企業は自社のネットワーク リソースを有効に活用できるため、ネットワークの保護だけでなく、ネットワークへの投資も保護できます。このため、企業はコストを大幅に抑えながらビジネス プロセスを改善することができます。

自己防衛型ネットワークには次の 3 つの特長があります。このような特長を兼ね備えることにより、今後現れるさまざまな脅威に継続的に対応可能な、ネットワークからアプリケーション レイヤまでをカバーするインテリジェントなセキュリティ機能を実現できます。

• 統合化セキュリティ - ルーティング、スイッチング、ワイヤレス、およびセキュリティ プラットフォームを含むすべてのネットワーク要素にセキュリティ機能を搭載することによって、ネットワークのすべての場所を保護します。搭載されるセキュリティ機能には、ファイアウォール機能、VPN 機能、信頼性およびアイデンティティ管理機能などがあります。
• コラボレーション セキュリティ - セキュリティ機能を搭載したネットワーク コンポーネントは 1 つのシステムとして協調的に動作し、企業のセキュリティ ポリシーを確実に実現します。コラボレーション セキュリティの代表例は複数のベンダーによって運営される Network Admission Control（NAC）です。NAC では、各種のネットワーク セキュリティ ポリシーに適合しているエンドポイントのみがネットワークへのアクセスを許可されます。
• 適応型防御セキュリティ - 自己防衛型ネットワークでは、新たなセキュリティ上の脅威や絶えず変化するネットワーク状態に対処するさまざまな手段が用意されています。アプリケーション認識機能はインターネット対応アプリケーションを経由してネットワークに侵入する脅威を防ぎます。動作認識機能はワーム、ウイルス、スパイウェア、および DDoS 攻撃などの脅威を防御します。ネットワーク制御機能はセキュリティ インフラストラクチャをインテリジェントに監視および管理します。ネットワーク制御機能を使用すると、IT マネージャはさまざまなネットワーク セキュリティ イベントの監査、制御、および相関分析を行うことができます。

DDoS 攻撃の多層防御

DDoS 攻撃では、企業ネットワーク内の多くの場所が被害を受ける可能性があります。通常、DDoS 攻撃の標的になるのはサーバ（e- コマース サーバ、Web サーバ、E メール サーバなど）です。これらのサーバは物理的には企業のデータ センター内に位置しますが、論理的にはインターネットに接続されています。ファイアウォールやルータなどの重要なネットワーク コンポーネントも攻撃の対象になります。ハッカーは企業のインターネット接続に攻撃を加えて、クリティカルなデータ センターへのすべてのアクセスを遮断しようとする可能性もあります。また、企業のエンドポイントがゾンビとして悪用されると、DDoS 攻撃の間接的な被害を被る可能性もあります。このような多様な攻撃に対処するには、多層的なセキュリティ保護が必要です。シスコ自己防衛型ネットワークでは、さまざまなレイヤで DDoS 攻撃に対する防御を行います。

プロアクティブな防御

DDoS 攻撃の影響を回避または最小化するための費用有効で基本的な手段は、既存のネットワーク インフラストラクチャでシスコの統合型セキュリティ機能を利用することです。シスコはすべてのルータ、スイッチ、およびファイアウォールに DDoS 攻撃の影響からデバイスを保護するソフトウェア機能を組み込んでいます。そのため、攻撃を受けた場合でも、これらのデバイスは正規のトラフィックを転送し続けることができます。高度なセキュリティ オプションを備えた Cisco IOS^® ソフトウェア フィーチャ セットや Cisco Catalyst^® の統合セキュリティ ソフトウェア オプションは、ルータやスイッチのプロセッサ、コントロール プレーン、フォワーディング テーブル、インターフェイスを DDoS 攻撃の影響から保護します。Cisco IOS ルータや Cisco Catalyst スイッチを保護する統合型セキュリティ機能には、ネットワーク（またはルータやスイッチ）が攻撃を受けた場合に不正なトラフィックを廃棄または抑制するさまざまな仕組みが利用されています。セキュリティ マネージャは、ルータやスイッチに直接送信できるトラフィック タイプを制限することができます。これにより、偽のトラフィックによってルータやスイッチのプロセッサが過負荷になるのを防ぐことができます。

しかし、大規模な DDoS 攻撃によって何らかのデバイスやリンクが影響を受け、その影響を抑制するアクションを実行した場合、正規のユーザやトランザクションへのサービスにも影響が出る可能性があります。ネットワーク コンポーネントが保護されても、正規のトランザクションが利用できなくなれば、DDoS 攻撃に対する防御が成功したとは言えません。

DDoS 攻撃の検出と抑制

DDoS 攻撃を検出した場合、攻撃の影響を自動的に抑制または緩和する必要があります。スイッチ、ルータ、およびスタンドアロン型のアプライアンスに搭載されたシスコの統合型セキュリティ機能は、DDoS 攻撃の検出と抑制に役立ちます。ルータからのネットワーク パフォーマンス データを分析すると、DDoS 攻撃を検出することができます。また、ファイアウォールでは、単純な手法を使った DDoS 攻撃に関連する各種プロトコルをブロックすることができます。

しかし、巧妙で大規模な DDoS 攻撃を抑制するには、ファイアウォール、Intrusion Prevention System（IPS; 侵入防御システム）、あるいはルータやスイッチに統合されたセキュリティ機能では不十分です。多くの DDoS 攻撃では、大量のゾンビから巧みに偽装したパケットや正規の送信元アドレスを使用した膨大なトラフィックが送信されます。このトラフィックは有効なトランザクションを装っており、多くの場合、異常なコードや不正なコードを含んでいません。そのため、ルータ、スイッチ、およびアプライアンスの通常のフィルタリング システムを通過してしまいます。このような攻撃は短時間のうちに企業のリソースに到達し、大きな被害を与えます。

シスコでは、あらゆるタイプの DDoS 攻撃を検出して自動的に防御する優れた適応型ソリューションを提供しています。このソリューションを利用すると、企業は確実に業務を継続することができます。Cisco Traffic Anomaly Detector XT 5600 および Cisco Guard XT 5650 DDoS 軽減対策アプライアンスは、シスコ自己防衛型ネットワーク ソリューションを構成するインテリジェントなデバイスです。Cisco Traffic Anomaly Detector および Cisco Guard は、単体のアプライアンスとして、または Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータに内蔵するサービス モジュールとして提供されます。Cisco Traffic Anomaly Detector は正常なトラフィックの動作を学習し、トラフィックの異常パターンを識別します。Cisco Traffic Anomaly Detector は特定のサーバやネットワーク要素に対して送信される異常なトラフィックを検出すると、疑わしいパケットだけでなく、その宛先へ送信されるすべてのトラフィックを Cisco Guard に誘導します。それ以外のトラフィックは影響を受けません。Cisco Guard は動作認識と多層的防御を利用して、DDoS 攻撃に関連するパケットの検出と排除を行います。巧妙な攻撃の発信元や不正パケットを正規のトランザクションと正確に区別するには、アクティブな送信元検証と異常認識を組み合わせる必要があります。トラフィックの処理が済むと、Cisco Guard は正規のトラフィックを所定の宛先に転送します。このようにして、攻撃を抑制すると同時に、業務の中断を回避できます。

マネージド DDoS サービス

DDoS 攻撃が企業のデータ センターに影響を与える前に攻撃を防御することは、技術的にも経済的にも賢明な方法です。通常、企業とインターネットを接続するアクセス回線は大規模な DDoS 攻撃に耐えることができません。企業はインターネットの接続回線に過剰に投資するよりも、サービス プロバイダーと協力してプロバイダーのネットワーク内で DDoS 攻撃に対処する方が経済的であると考えています。Cisco Guard および Cisco Traffic Anomaly Detector ソリューションを利用すると、マネージド DDoS サービスに必要なパフォーマンス、スケーラビリティ、およびアーキテクチャを実現できます。主要なサービス プロバイダーの多くは Cisco Guard および Cisco Traffic Anomaly Detector ソリューションを利用して、企業のデータ センターやアクセス回線に DDoS 攻撃が到達する前に攻撃を防御するマネージド DDoS 防止サービスを既に提供しています。マネージド DDoS 防止サービスの構成は企業のニーズやトラフィック パターンによって異なります。包括的な DDoS 防止サービスは、複数の企業で安全に共用することも、1 つの企業に対して専用のサービスを提供することもできます。また、DDoS 防止サービスは単独で提供することも、Web ホスティングや e- コマース ソリューションと組み合わせて提供することもできます。Cisco Traffic Anomaly Detector を Customer Premises Equipment（CPE; 顧客宅内機器）として導入することも可能です。この場合、企業は DDoS 防止管理をより詳細に行うことができます。自営のバックボーン回線や広帯域接続を使用している一部の大企業では、ソリューションを直接管理するためにこのような構成を利用する場合があります。

業務継続性の確保

企業は万が一攻撃を受けた場合でも、混乱を最小限に抑えて業務機能を維持し、顧客に対して継続的にサービスを提供したいと考えています。業務継続のためには、リスクや潜在的なセキュリティ上の脅威を特定し、DDoS 攻撃などのインシデントの検出と緩和を迅速に実行するプロセスを、技術面および業務面の両方から規定します。金融業界などの一部の業界では業務継続計画が必須です。また、適切な業務継続計画の作成は、どのような企業にとっても役立ちます。

Cisco Traffic Anomaly Detector および Cisco Guard を組み合わせて使用すると、DDoS 攻撃を受けた場合でも業務を確実に継続できる優れた DDoS 防止ソリューションを実現できます。Cisco Traffic Anomaly Detector および Cisco Guard は DDoS 攻撃を正確に検出して防御すると同時に、攻撃を受けている間も正規のトラフィックを所定のデバイスに転送し続けます。また、Cisco Guard にトラフィックを迂回させることによって、サービス プロバイダーと企業間のリンクが DDoS 攻撃のトラフィックにより妨害されるのを防ぎます。Cisco Traffic Anomaly Detector および Cisco Guard はスケーラビリティに優れているため、巨大企業に対する DDoS 攻撃の影響で膨大なオンライン トラフィックが発生した場合でも十分に対応できます。

他社に対する攻撃の防止

脆弱なエンドポイントは十分な機能を発揮できません。企業は自社のデスクトップやノート型パソコンを不正なモバイル コードから適切に保護しておかないと、自社または他社に対する DDoS 攻撃に知らずに関与してしまう可能性があります。一部のワームやウイルスはコンピュータに「バックドア」を作成します。このバックドアを利用すると、ハッカーは感染したコンピュータを介して攻撃対象の企業に大量のトラフィックを送信できます。また、特定のサーバに対する要求送信を特定の日時に自動的に開始するような命令を含んだワームやウイルスも存在します。

Cisco Security Agent は動作に基づく評価を用いて、エンドポイント上での不正動作の識別と防御を行います。Cisco Security Agent はシステムの動作を分析し、分析した動作に基づいて既知および未知（「デイゼロ攻撃」）のセキュリティ リスクを解消することができます。Cisco Security Agent では、ホストへの侵入防止、分散型ファイアウォール、不正なモバイル コードからの保護、オペレーティング システムの整合性の保証、監査ログといった多様なセキュリティ機能を 1 つのソフトウェア パッケージに統合しています。

ネットワークのセキュリティ状態の監視と管理

大規模な分散型ネットワークの場合、全体を把握することは困難です。管理ステーションには、ファイアウォール、IPS アプライアンス、ルータ、スイッチ、および保護されたエンドポイントから、ネットワーク セキュリティに関する膨大な量の情報が絶え間なく送られてきます。IT スタッフがこの情報を分析して対処するにはインテリジェントなツールが必要です。

Cisco Security Monitoring, Analysis and Response System（CS-MARS）は、企業のセキュリティ インフラストラクチャの監視と、ネットワーク デバイスやセキュリティ デバイスの情報、アプリケーション ログ、およびセキュリティ イベントの相関分析を行うハイ パフォーマンスでスケーラブルなアプライアンス ファミリです。CS-MARS を使用することで、ネットワークをグラフィカルに表示して、すべてのセキュリティ デバイスを統合的に監視できます。このため、IT スタッフはインシデントや攻撃のリアルタイムな識別、トラッキング、分析、および緩和を一元的に行うことができます。また、CS-MARS は、ネットワークのセキュリティ状態に関するレポートの作成や情報の保管を行うこともできます。この機能は、企業における法令遵守や監査対策にも役立ちます。

シスコの自己防衛型ネットワークによる DDoS 攻撃の防止

企業は DDoS 攻撃による業務の中断を回避すると同時に、セキュアなネットワークの導入と維持にかかるコストを抑える必要があります。シスコの自己防衛型ネットワークは、変化し続けるセキュリティ上の脅威を識別および防御し、これに適応することによって、企業資産の保護、業務継続性の確保、およびネットワークの総所有コストの抑制を実現します。シスコの自己防衛型ネットワークは多層的なセキュリティ対策をとることにより、企業のサーバ、ネットワーク要素、またはインターネット接続を DDoS 攻撃から確実に保護します。

シスコはネットワーキング ソリューションおよびセキュリティ ソリューションにおける業界トップの企業です。ネットワーキングおよびセキュリティの技術とサービスをインテリジェントに連携させて、業務上のセキュリティに関する独自のシステマティックなソリューションを提供しているのはシスコだけです。シスコは大きな被害をもたらす DDoS 攻撃からあらゆる規模の企業を確実に保護する、インテリジェントな適応力の高い統合型セキュリティ ソリューションを業界で最も幅広く提供しています。

DDoS 攻撃の防止およびシスコの自己防衛型ネットワーク戦略に関する情報については、次の URL を参照してください。
http://www.cisco.com/jp/solution/netsol/security/ddos/