4月7日、東京都港区の東京コンファレンスセンター・品川にて、A10ネットワークス主催の年次カンファレンス「A10 Forum 2016 ~サイバー攻撃や情報漏洩のリスクに備える、ネットワーク対策~」が開催された。

カンファレンスには、米A10 Networks 創業者兼CEOのLee Chen氏らが登壇。ADC(Application Delivery Controller)分野で高いシェアを誇る同社だが、ここ数年はネットワークセキュリティ製品を強化していることなどを紹介したうえで、専用アプライアンス「aGalaxy」によりさまざまなネットワーク機器を集中管理していくことを明かした。

ソフトバンク・テクノロジーのシニアセキュリティエバンジェリスト 辻 伸弘氏

また、基調講演には、ソフトバンク・テクノロジーのシニアセキュリティエバンジェリスト 辻 伸弘氏が招かれ、A10ネットワークスでも対策製品の開発・販売を強化しているDDoS/DoS攻撃に関して、セキュリティの専門家の立場から対処方法などを紹介した。

特に、辻氏が登壇した基調講演では、攻撃の歴史や防御の考え方が具体例とともに解説されたほか、ユーザーの立場を踏まえた現実的な解決策も提示。随所にユーモアを交え、聴講者を強く惹きつける内容となった。

本稿では、基調講演の模様を簡単にご紹介しよう。

大切なのは、守る対象を明確にして”諦める”こと

「セキュリティ対策で最も大事なことは何か。それは『”どこ”にある”何”を守りたいのか』をはっきりさせることです」――辻氏の講演はこのような言葉から始まった。

「何を守るかが明確でないと、時間もお金もいくらあっても足りません。経営者は、事件や事故が話題になるたびに『うちは大丈夫か?』と言ってくるわけですが、場当たり的な対応では疲弊してしまいます。守るものが決まっていれば、経路をたどりながら、必要な対策とその優先度が明確になってきます」(辻氏)

続けて辻氏が必要性を訴えかけたのが「諦めること」。決してネガティブな意味ではないと補足し、次のように説明した。

「諦めるは元々、仏教用語で、『心理を悟る』『つまびらかにする』という意味があるようです。守るべき部分を明確にし、その範囲内は全力で守る。それ以外の部分は仕方ないと割り切り、リカバリー方法などを検討する。有限のリソースの中で現実としてすべてを防ぐのは無理ですから、計画的に対策を施し、今よりも良い環境を常に目指していくことが重要です」(辻氏)

辻氏は「諦めることが大切」と説く

では、今回の講演テーマに据えたDDoS/DoS攻撃はどのような手口で、どのような被害が起こりうるのか。また、守るのであればどういった対策が必要なのか。こうした疑問に対して辻氏は、「(D)DoSのよくある勘違い」というかたちで、聴講者に回答を示した。

辻氏が紹介した”勘違い”は以下の4つ。

  • 勘違い1 : 必ず多量のアクセスが発生する
  • 勘違い2 : すべての業種業態に大きなリスク
  • 勘違い3 : アプライアンス導入のみで解消できる
  • 勘違い4 : ターゲットリストを使う

勘違い1については、「攻撃者の目的は『Deny of Service』、すなわちサービスを利用できなくして注目を浴び、主義主張を知らしめたり脅迫したりすることです」と説明。サービスを停止させるためならば形は問わないため、多量アクセスが生じる分散型攻撃(Distributed Deny of Service)以外にも、小さなパケットで設定の不備を突いたり、セッション数のパンクを狙ってゆっくり定期的にアクセスしたり(Slow Read DoS)、といった攻撃もあることを明かした。

また、勘違い2に関しては、攻撃と聞くと防御しなければならないものに感じるが、必ずしもそうではないことを紹介。金融やメディア、オンラインゲームなどのサービスは、アクセスできなくなると大きな損失につながるが、サービス案内、会社案内などの一般的な企業サイトに関しては、一時的に利用不能になったところで深刻な事態にはならない。何時間くらいであれば止まっても問題ないかどうかということを予め考え、決めておくといいだろう。つまるところは費用対効果である。

「それを踏まえると、必ずしもすべての業務業態の組織が大きな予算を割いて防がなければならないものでもない」(辻氏)と説明し、”DDoS/DoS慣れ”している企業があるというエピソードも披露した。

勘違い3については、多量アクセスが生じるDDoSは、セキュリティアプライアンスにより攻撃を遮断してWebサーバなどを守れたとしても、そもそもネットワーク帯域のほうを埋め尽くされると、そちらがボトルネックとなりサービス不能状態に陥ることもあると解説。「例えば、お店の入口が広くてもその前の道が細ければ、来店者が殺到すると辿り着けません」(辻氏)と身近な例で示した。

そして勘違い4に関しては、Anonymousをはじめとするハクティビストなどの思想的な理由による攻撃では、事前に攻撃対象が公開されることが多いが、過去にAnonymousが行った攻撃を例に実際に攻撃されたサイトと突合すると、対象リストに名前がないにも関わらず攻撃を受けたサイトが31%にも上るという。

「事前の宣言に忠実かどうかは攻撃を実行する人によりますし、そもそも攻撃リストに載った後に対処しようとしてもほぼ手遅れ。攻撃対象に掲載されると、メディアやセキュリティベンダーらが騒ぎ出すことが多いですが、狼狽しても仕方ない。普段からの取り組みが大切です」(辻氏)

ハクティビストは、攻撃対象リストに掲載していない企業も攻撃している

>> トレンドはSaaS型に - DDoS今昔物語