DDoSなど激増するサイバー攻撃を防ぎ、事業を継続するために現実的かつ合理的なアプローチと仕組みとは：「2025年以降の成長」を支えるマイグレ／モダナイジャーニー「最終解」

サイバー攻撃が頻発している近年、多くの企業が改めて危機感を高めている。特に昨今は、年末年始に多発した大企業へのDDoS攻撃に関する報道を受けて、ビジネスへの影響と対策が注目されている。DDoSを含むさまざまな攻撃を防ぎ、事業を継続するために現実的かつ合理的なアプローチと仕組みは何か。多くの企業のセキュリティ対策を支援するAWSに聞いた。

PR／ITmedia

PR

本記事は、アマゾン ウェブ サービス ジャパン合同会社の依頼を受けて、同社の広告として掲載しています。

　サイバー攻撃が激化する中、企業には一層の対策強化が求められている。攻撃を受け、WebサイトやITサービスが正常に提供できなくなれば、ビジネスが停止している間の逸失利益はもちろん、社会的信頼やブランドが損なわれるからだ。金融、通信など法規制順守が強く求められる業界では当局への報告が必要で、不備があれば罰金も科されかねない。何より、一連の対応に追われることで、ただでさえ不足が叫ばれるIT／セキュリティ担当者が疲弊し、対策に影響が生じるリスクもある。

　アマゾン ウェブ サービス ジャパン（以下、AWS Japan）の中谷喜久氏は「インターネットを使ってビジネスをしていない企業はほとんどありません。例えば広告を出して顧客を獲得しようとしても、Webサイトがダウンしていれば顧客獲得どころか、炎上を招く恐れもあります」と警鐘を鳴らす。インターネットを含むインフラが安定して動いていることが「当たり前」とされる日本ではなおさらだ。

　一方で、安定性を重視するあまり、インフラを変革することへの不安を拭い去れない企業は多い。結果、古いOSやシステムを使い続けることで脆弱（ぜいじゃく）性が残るという悪循環に陥ってしまっている。加えて、大規模なインシデントが起き、報道されてから初めて動く企業も多くあり、“その場しのぎのピンポイント対策の集積”になっている例も目立つ。

AWS Japanの中谷喜久氏（サービス&テクノロジー事業統括本部　コアサービスソリューション本部　部長）

日本で改めて注目されるDDoS攻撃、オンプレミス環境での対策が難しい理由

　だが、昨今は全社的な観点に基づくセキュリティ対策への意識が改めて高まっている。特に年末年始に多発した大企業へのDDoS（Distributed Denial of Service）攻撃の報道を受けて、ビジネスへの影響と抜本的な対策が注目されている。

　マネージド型DDoS保護サービス「AWS Shield」のプリンシパルプロダクトマネージャーを務めるAmazon Web Services（以下、AWS）のSuresh Sridharan（スレシュ・スリダラン）氏は、「われわれの観測に基づくと、グローバルなDDoS攻撃のトレンドには顕著な増加も減少も見られませんが、日本では大幅にDDoS攻撃が増加しています」と指摘する。

AWSで観測したDDoS攻撃の状況。AWS を利用する全てのユーザーは、グローバルにおけるDDos攻撃の検出状況をダッシュボードで確認できる（提供：AWS Japan）

　スリダラン氏は、DDoS攻撃の影響が深刻化している要因を幾つか挙げる。1つ目は、サイバー攻撃全般の組織化も相まって、一度きりの短命な攻撃ではなく、長期間にわたって執拗（しつよう）に継続する、組織化された攻撃が増加していることだ。

　2つ目は、IT環境のクラウド移行の遅れだ。「日本では多くのITインフラがまだクラウドに移行していません。オンプレミス環境を対象にした『うまくいく攻撃パターン』を見つけると、攻撃者はそのパターンを他の企業に対しても容易に再現できてしまいます」（スリダラン氏）

AWSのスレシュ・スリダラン氏（プリンシパル プロダクトマネージャー, AWS Shield）

　歴史を振り返ると、オンプレミス環境は常にDDoS攻撃に対して後手の立場に立たされてきた。AWS Japanの中島章博氏は「オンプレミス環境は、大量の攻撃データによって簡単にダウンしてしまいます。回線を埋めるほどのトラフィックがあると、どうしようもありません」と指摘する。

AWS Japanの中島章博氏（パブリックセクター技術統括本部　エマージングテクノロジー本部　シニアセキュリティソリューションアーキテクト）

　加えて攻撃者は、インターネットにつながる膨大な数の脆弱なIoT機器を悪用するなどして、より容易に、より大規模なDDoS攻撃を実施できる状況になっている。これに対して防御側は、回線やそこにつながるネットワーク機器などのインフラを増強して対策しようにも手配の時間やコストがネックとなりがちだ。

　「何より、オンプレミスの場合、攻撃のターゲットになってしまうと自社だけで守らなければなりません。対抗しようとしても、人員やリソースには限界があるので、攻撃者はどこか手薄なところを突いてくるでしょう」（スリダラン氏）

DDoS攻撃対策にも効果的、クラウドによる「規模の経済」の恩恵

　このようにオンプレミスでのDDoS攻撃対策には限界があり、分かっていながらも対応できない状況が続いている。このような中、何がより効果的な対策アプローチとなるのか。スリダラン氏は「IT環境がクラウドにあれば、『規模の経済』の恩恵を享受できます」と話す。

　クラウドならではの利点は幾つかある。1つ目は、グローバルに構築されたインフラから多様なシグナルを拾うことでDDoS攻撃の兆候をいち早くつかみ、より早期に攻撃を検知して対処できることだ。「世界中の何百万もの顧客からセキュリティに関連するシグナルを集約し、そうした情報を基にリスクの全体像を描くことができます」（スリダラン氏）

AWSにおける世界中のDDoS攻撃対策の現状（提供：AWS Japan）

　2つ目は、自社だけで攻撃者に立ち向かうのではなく、クラウドプロバイダーのセキュリティチームと共に対策を講じることができる点だ。「攻撃者が侵害を試みても、標的企業とクラウドプロバイダー双方のセキュリティチームに対抗しなければならず、攻撃コストが高くつくことになります」（スリダラン氏）

　AWSはこうした「規模の経済」に裏打ちされた対策をAWS Shieldという形で提供している。まず、AWSのインフラを通して収集した情報を基にグローバルな脅威インテリジェンスを提供し、「DDoS攻撃を展開してくる攻撃アクターがどんな主体で、どんな手法を用いてくるか」を特定する。

　同時に、こうした情報に基づいてアンチDDoSサービスも提供し、悪意あるトラフィックを検知して緩和する。それも、一律にパケットを遮断するといった単純な方法ではなく、「瞬時に検知して疑わしいものも含めて全てをブロックしたいのか、それとも疑わしいものをブロックしつつある程度は許容するのかといった、お客さまのセキュリティポリシーやニーズに合わせて柔軟に緩和策を提供します」（スリダラン氏）

「AWS エッジネットワーキングサービス」を例にした「AWS Shield」による防御イメージ（提供：AWS Japan）

　ただ、DDoSに限らずあらゆるサイバー攻撃は、どれだけ予防に努めても発生する。そこでAWSは、顧客から依頼があればすぐ対策を支援する専門部隊「Shield Response Team」（SRT）を用意。これもAWS Shieldに含まれている。専門的な知識やスキルを持ち、多様なサイバー攻撃に対応できる人材を自社で確保するのは困難なことが一般的だが、SRTは「顧客のセキュリティチームを拡張するような形」で共に支援に当たる点が特徴だという。

　「特にDDoS攻撃対応はスピードが重要です。従来は30分かかっていたような場合でも、AWS Shieldによって数分へと短縮できます。SRTはクラウド上に集まるさまざまなシグナルをキャッチして、攻撃の迅速な特定から緩和まで支援することで、対応時間を短縮し、事業継続への影響を抑えることができます」（スリダラン氏）

モダナイゼーションが可能にする、本質的なリスク耐性の向上

　以上のように、AWS ShieldのようなDDoS攻撃対策を利用するには、保護するシステムをオンプレミスからクラウドに移行し、コントロール下に置くことが前提となる。換言すれば、「規模の経済の恩恵」を享受できるクラウド上にシステムがあることが、対策の選択肢を広げるとともに、実施のスピード、知識やスキル、コストといった複数の面で合理的であるわけだ。

　「例えば、クラウドはオートスケールを生かして柔軟に拡張できるアーキテクチャになっているため、たとえ大規模なDDoS攻撃を受けてもアプリケーションの稼働自体は継続でき、ダウンタイムが発生しにくいというメリットもあります。世界各国のお客さまが『オンプレミスにはセキュリティ面でも限界があり、クラウド移行によって多くのベネフィットがある』と認識しています」（スリダラン氏）

　「日本でも『オンプレミスからクラウドにサーバを持っていけるのならば、全部持っていきたい』というお客さまの方が多数派です。実際、一度クラウドを使えばその良さを実感していただけます。AWSに移行することでセキュリティと可視性の高度化を体験した後に『オンプレミスに戻りたい』というケースは聞いたことがありません」（中島氏）

　だが、現時点ではクラウドの利点を理解していても、多くのIT資産をオンプレミスで運用している企業は多い。そこでAWSは「ITトランスフォーメーションパッケージ」（ITX）など各種移行支援サービスを用意。ソリューションアーキテクトやパートナーが、各社の目的や状況に最適な移行を包括的に支援している。

　「マイグレーションが進むことは大きなメリットをもたらします。マネージドサ−ビスの活用が増えることで、仮想サーバなどの運用業務はもちろん、それに伴う脆弱性管理やウイルス対策といった各種セキュリティ対策もAWSにオフロードできます。これにより、時間やコストなどに余裕が生まれるため、自社ビジネスを伸ばすという本業にリソースを集中できるようになるのです」（中谷氏）

　さらに、マイグレーションを礎に、クラウドに適したアーキテクチャへとシステムを変革するモダナイゼーションに踏み切ることで、DDoS攻撃を含むさまざまなセキュリティリスクへの耐性を本質的に高めることができる。AWSはクラウド環境設計のベストプラクティス集である「AWS Well-Architected Framework」や、「AWS DDoSレジリエンシーのベストプラクティス」と題したドキュメント類を整備しており、それらを使って“各社に最適なあるべき姿”への移行をサポートするという。前述のSRTは、そうしたセキュリティ面でのモダナイゼーションも支援する。

　「アーキテクチャを変革し、クラウドを使い倒せるようになっていけば、DDoS攻撃などにその都度ピンポイントで対策することもなくなります。組織全体のセキュリティレベルが一段と向上し、セキュリティ・バイ・デザインやシフトレフトといったさらなる高度化に注力できるようになるでしょう」（中谷氏）

　安全性や可用性、事業継続性を守る部分はAWSに任せて、自社はビジネス価値の向上に集中する――「規模の経済の恩恵」と「自社にとっての合理性」を改めて見据えてみてはいかがだろうか。

Amazonギフトカードが当たる！アンケート実施中　＜本アンケートは終了しました＞

本記事に関連して「クラウドサービス」についてのアンケートを実施しています。回答された方から抽選で15名様にAmazonギフトカード3000円分をプレゼントいたします。ぜひ下記アンケートフォームよりご回答ください。当選発表は発送をもって代えさせていただきます。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。