DoS攻撃の大規模攻撃は業界最高速の専用アプライアンスで防ぐ

Thunder TPS
SCSK／A10ネットワークス
http://www.scsk.jp/

より大容量化するDDoS攻撃への対策は急務

　Webサービスの運営者やデータセンター事業者にとって、被害の止む気配がない「DDoS（Distributed Denial of Service）攻撃」は頭を悩ませる問題だ。

　A10ネットワークス APJビジネス本部 APJソリューション エンゲージメント ソリューションアーキテクトの高木真吾氏によれば、「最近、人気のサービスが攻撃を受け、有効な対策がとれず、復旧に時間がかかってしまうケースが発生しています。サービス停止に追いやられると、企業イメージが損なわれるだけでなく、機会損失にもつながります。また、攻撃の大容量化も進んでいます」という。

A10ネットワークス株式会社 APJ ビジネス本部 APJソリューション エンゲージメント ソリューションアーキテクト 高木真吾氏

　DDoS攻撃は手法・技術によっていくつかに分類できる。サーバーやアプリケーションの脆弱性をついて、対象を使用不能状態にする「アプリケーション攻撃」、サーバーリソースを消費させてサービスを中断させる「リソース攻撃」、プロトコルスタックを消費させて正規のトラフィックへの応答を妨害する「プロトコル攻撃」、そして最後が、大量のトラフィックを流してサービスを中断させる「ボリューム攻撃」である。

　攻撃対象によっても、「インフラ型」と「アプリケーション型」に分類される。インフラ型は、ボリューム攻撃やプロトコル攻撃を行ってネットワークリソースを消費させ、対象のサービスを利用できなくさせる手口である。一方のアプリケーション型は、アプリケーション攻撃やリソース攻撃を中心にサーバーリソースを消費させる手口だ。

　プロレキシック（現アカマイ）の調査によると、2013年第4四半期における世界のDDoS攻撃のうち、インフラ型のものが大半を占め、ボリューム攻撃の割合が30％を超えているという。さらに2014年の第2四半期には、ボリューム攻撃の割合が50％を超えている。DDoS攻撃のボリュームはどんどん巨大化しており、2012年には最大170Gbps、2013年には最大300Gbps、2014年にはピーク値で400Gbpsに達する攻撃が観測された。

　ユーザー企業にとっても事業者にとっても、DDoS攻撃への対策は急務のことであると言えよう。

物量作戦には専用チップで対抗　共有メモリーアーキテクチャー

　DDoS攻撃への対処方法としては、専門のセキュリティハードウェアが望ましい。セキュリティゲートウェイ製品のバンドル機能や、ソフトウェアを中心とした従来型の対策製品では、単純に性能が追いつかないからだ。

DDoS防御専用アプライアンス「Thunder 6435 TPS」

　そこで注目したいのが、A10ネットワークスの“業界最高速”をうたうDDoS防御専用アプライアンス「Thunder TPS」シリーズである。1台あたりのパフォーマンスはスループットで155Gbps、パケット単位（PPS）では200Mppsを処理することが可能で、従来型の3～4倍にあたる性能を発揮する。8台のクラスタ構成を採ることにより、最大1.2Tbpsのトラフィックを処理することが可能で、キャリアグレードにも耐えうる。

　この性能の基になっているのが、セキュリティ処理専用チップ（ASIC）の「Flexible Traffic Accelerator」と、マルチコア・マルチCPUで高速並列処理を実現するOS「ACOS」の存在だ。

セキュリティ処理専用チップ（ASIC）の「Flexible Traffic Accelerator」

　「DDoS攻撃のボリュームがこれほど巨大化すると、CPUによるソフトウェア処理だけでは追い付きません。Thunder TPSは、最大4基の専用チップを用いることで圧倒的なパフォーマンスを実現しました」（高木氏）

　ACOSは、同社が従来から提供しているADCにも搭載されており、高速なトラフィック処理で高く評価されている。ACOSが持つ数々の特徴のうち、特にThunder TPSの性能向上に寄与しているのが「共有メモリーアーキテクチャー」である。大量のトラフィックは、マルチコア・マルチCPUの並列処理が望ましい。一般的なシステムの場合、各CPUがキャッシュメモリーを持ち、それぞれの処理内容を他のCPUのメモリーにレプリケーションして情報を共有している。一方、ACOSの場合、各CPUが高性能なメモリーを共用し、トランザクション処理の情報を共有している。レプリケーション処理が発生しないため、CPUに不要な負荷をかけず、高速な処理が可能となるのだ（図）。

図：2～5倍のパフォーマンスアドバンテージを実現するACOS共有メモリーアーキテクチャ

　Thunder TPS、各種のDDoS攻撃に幅広く対応していることはもちろんだが、オープンアーキテクチャーを採用しており、APIを用いてさまざまなネットワーク機器と連携できるのも魅力である。例えば、フローコレクターと連携して情報を収集し、Thunder TPSでブロックするという使い方もある。昨今の複雑なサイバー攻撃に対抗するためにも、こうした多層的な防御は特に有効だ。

豊富な情報とノウハウでサービスを劣化させず導入支援

　SCSKは、A10ネットワークスの国内唯一のディストリビューターとしてパートナーシップを組み、製品と共にさまざまな情報とノウハウをユーザーに提供している。同社は、ユーザーが最適な状態でThunder TPSを導入できるように、SIer各社と強力なタッグを組んで支援にあたっている。その一つが、検証を含めた豊富な資料提供だ。

SCSK株式会社 プラットフォームソリューション事業部門 ITプロダクト&サービス事業本部 ネットワークセキュリティ部 技術課 岡本裕治氏

　SCSK プラットフォームソリューション事業部門 ITプロダクト＆サービス事業本部 ネットワークセキュリティ部 技術課の岡本裕治氏は、ユーザーが導入効果を想定できるよう、事前に徹底したテストを実施していると述べる。

　「データセンターでは、ユーザーのサービスに影響があってはビジネスとして成り立ちません。そこで当社は、高度な負荷装置を使って、事前にユーザー環境に近いトラフィックを生成するなどして、本番でも問題がないことを納得していただいています」（岡本氏）

　SCSKが提供するサービスの中で特に注目したいのは、ユーザー向けのサポートサービスだ。このサービスは、各製品のユーザーサポートをSCSK自身のコンタクトセンターで直接受け付けるものだ。全国各地の130拠点に優秀なエンジニアを置き、24時間365日の対応を提供している。

　データセンターは、数多くのユーザーサイトを抱える立場として、毎日のように直接的な攻撃にさらされる。Thunder TPSの高性能なDDoS攻撃対策は、自社のビジネスを守ることはもちろん、ユーザー向けの付加価値サービスとしてビジネスの競争力を高めることにもつながるはずだ。