前編「DDoS攻撃に対する誤解と攻撃の緩和戦略」では、DDoS攻撃の傾向の変化と緩和策の第一歩を紹介した。DDoS攻撃には、考慮すべきリスクがまだ隠されている。
Nominetのグールディング氏によると、ある程度成熟している企業の大半はDDoS攻撃の緩和策を既に検討している。そうでない企業は、可用性を必要とする資産がどれで、それがどこにあるかを特定することさえ始めていないという。
自社の弱点を特定したら、インシデント対応を定期的に実践し、資産にどのように影響するかを理解する必要があるとグールディング氏は補足する。
これらは、DDoS攻撃が他のサイバー攻撃のカムフラージュに使われていないことを確認するのに役立つ。
「DDoS攻撃を受けたらサービスの復旧を試みることになるが、ルーターやファイアウォールは起動時間が異なる。これが数分間の隙を生む恐れがある」(ミース氏)
自社の資産とそれをオンラインに戻す方法を把握したら、自社に最適と思われるサプライヤーを調べてアプローチする必要がある。
「サプライヤーを探す場合の着目点は、そのサプライヤーが攻撃の緩和に要する速度だ。攻撃は短時間で非常に壊滅的な結果をもたらす。そのため迅速に阻止する必要がある」(グラハム=カミング氏)
DDoS攻撃の緩和策を提供するサプライヤーは2種類ある。
一つは「常時オン」のDDoS攻撃緩和策を提供するサプライヤーだ。このサプライヤーは、顧客のネットワークを経由する全てのトラフィックを常時監視し、問題を検出する。もう一つは「オンデマンド」でDDoS攻撃緩和策を提供するサプライヤーだ。緩和策を開始するには、攻撃を受けた顧客がサプライヤーに連絡しなければならない。
「これまで一般的だったのはオンデマンド型だが、『常時オン』の方が容易で顧客企業は何もする必要がないため、普及し始めている。『常時オン』は緩和策を即座に実行するため、ダウンタイムも短くなる」と同氏は話す。
ミース氏が考える効果的な緩和策は、クラウドを使う方法だ。この緩和策はCDN(コンテンツ配信ネットワーク)を利用するか、スクラビングセンターを設置するかのいずれかで実現する。
「Webサイトを保護するだけならCDNが効果的だ。クラウドを利用する企業や、IPアドレスが1つしかなくて全てをそこで実行する企業などにとってはCDNが優れたプラットフォームになる。CDNにはDDoS攻撃緩和策を配置できるセキュリティ層が数多く存在するからだ」と同氏は語る。
複数のデータセンターを抱える企業などは、スクラビングセンターの方が優れた選択肢になる。スクラビングセンターは企業のIP空間全てを保護する。スクラビングセンターは、全てのトラフィックを調べて問題のないトラフィックを判断する。
「スクラビングセンターはクラウド内で顧客の前面に位置するインターネットのエッジに設置され、顧客の空間内に入る前に不適切なトラフィックを取り除く」とミース氏は話す。
「企業からインターネットへの接続パイプが1Gbpsだとすると、1.1GbpsのDDoS攻撃を受けると企業はオフラインになる。実にシンプルだ。現実的には、DDoS保護を自社から遠ざけ、エッジに移動しなければならない」
グールディング氏は、ネットワークトラフィックを記録できるようにすることが重要だと補足する。これにより、DDoS攻撃が発生したときに情報を警察に提供し、攻撃が起きた仕組みを理解し、さらなる緩和策を講じる。