CDNを導入する事でDDoS攻撃からWEBサイトを守る
CDNサービスを利用していればオリジンサーバーの代わりにキャッシュサーバーがDDoS攻撃を受けてくれます。
正常なユーザーアクセスを妨げる事もなく、サーバー運営コストの削減や負荷軽減につながります。
しかしキャッシュサーバーが攻撃を受けるため、CDN側の責任は重大になります。
DDoS攻撃は最も厄介なサイバー攻撃の一つ
WEBサイトがビジネスシーンにおいて無くてはならない存在となっている昨今、サイバー攻撃に対するセキュリティは企業にとって特に重要です。
中でもDDoS攻撃は今のところ完全な対応策が存在しないため、多くのサイト担当者は頭を悩ませています。
このDDoS攻撃からWEBサイトを守るため、いま一番に進めるべき対策がコンテンツ配信ネットワーク、いわゆる「CDN」と言われています。
CDNサーバーがDDoS攻撃の盾になる
CDNサービスを利用している場合、アクセスが直接自社サーバー(オリジンサーバー)に行くことはありません。
CDNネットワークが持つ最寄りのキャッシュサーバーが応答します。
大量データが送り込まれても、キャッシュサーバーがオリジンサーバーの盾となって守ってくれるのです。
相次ぐDDoS攻撃の被害
いまWEBサイトの役割は単なる情報閲覧だけにとどまりません。
ユーザーとのコミュニケーションやサポートの場、プラットフォーム、或いは商品購入の場としてなど多岐にわたります。
そして企業や個人・団体にとって、WEBサイトはいま以上に重要な存在となっていく事は間違いありません。
一方でWEBサイトの価値が高まる程、リスク面として考慮しなければならないのがサイバー攻撃(セキュリティ)です。
DDoS(Distributed Denial of Service)攻撃
特にDDoS攻撃は、大量のデータを送りつけて正常なWEBサイトの閲覧を妨害する事で有名です。
このDDoS攻撃に対するセキュリティ対策は、世界中の企業サイトが請け負う命題になっています。
最近の事件でいえば、有名なハッカー集団「Anonymous」が「OpKillingBay」「OpWhales」と銘打って、日本の官公庁や企業サイトに大規模なDDoS攻撃を実施しています。
マルウェア「Mirai」
このDDoS攻撃において注目されるのが、IoT機器に感染するマルウェア「Mirai」ですね。
Miraiに感染したIoT機器はC2サーバーから攻撃者により遠隔操作され、対象のWEBサイトに対して大量通信を掛けるのです。
2016年秋にはセキュリティ情報を発信ブログ「Krebs on Security」が、この種のDDoS攻撃を受けてサーバーダウンしています。
この時実に、600Gbps以上もの攻撃規模(帯域)が使われたとされています。
DDoS攻撃は脅迫にも使われる
さらには攻撃対象の企業を脅迫して金銭を要求し、実際に日本のある金融機関が脅迫されていた事実もあります。
要は「DDoS攻撃を止めてほしければ金を出せ」と脅迫するのですね。
企業側はサイトが映らない状態を回避するためには仕方ないと、金銭を渡してしまう事も多いのです。
こちらの記事もチェック:DDoS攻撃・DoS攻撃とは?その違いと対策をおさらい
DDoS攻撃の防御が難しい理由
DDoS攻撃でやっかいなのは、確固たる対応策が見つからない事です。
例えば単にWEBサイトへの不正侵入を試みるサイバー攻撃ならば、対応は明快です。
通常とは異なる異常なアクセスを検出したり、特定の攻撃元からのアクセスを遮断したりする訳です。
正常な通信と区別がつかない
しかしDDoS攻撃は正常な通信で大量のデータをサーバーに送り込むため、異常な通信と見分けがつきません。
また攻撃元が多数存在するため、全てを特定してアクセスを遮断する事は非常に困難です。
特に攻撃元が「PC」ではなく家電である「IoT製品」となると、それこそリストアップは不可能ですよね。
通信回線への対策も困難
では通信回線上に何らかの対策をすれば良いと思う事でしょう。しかしこれもなかなか難しいのです。
DDoS攻撃によって大量のパケットが送り込まれると、インターネット接続回線の帯域が消費されてしまいます。
そうすると正常なユーザーからのアクセスも阻害してしまう事になるのです。
サイバー攻撃は結果を重視
向こうからすればサーバーに直接負荷を与えなくても、大量の通信によって回線を詰まらせる事ができれば万々歳な訳ですね。
一般のユーザーに「WEBサイトを表示させない事」が目的なのですから。
脚光を浴びるコンテンツ配信ネットワーク「CDN」
このサイバー攻撃に対し、今一番の対応策として脚光を浴びているのが、コンテンツ配信ネットワーク、CDNの存在です。
これは本来の自社運営サーバー(オリジンサーバー)から直接ではなく、世界中に配置されたキャッシュサーバーを利用してコンテンツを配信するサービスです。
WEBサイトの表示速度UPおよびパフォーマンス向上を目的として利用されています。
全世界にキャッシュサーバーを設置
例えば日本にサーバーがあるWEBサイトに対し海外(アメリカ)からアクセスするとしましょう。
この場合地理的・距離的な影響もあり、日本からアクセスするよりも当然レスポンスは低下します。
一番近い位置のCDNサーバーがレスポンス
ここでCDNを利用した場合、日本のサーバーからではなくアクセス元から最も近い位置にあるキャッシュサーバーからコンテンツを表示します。
海外からのアクセスであっても常に近い「CDNサーバー」から配信されるので、高速かつ快適にアクセスする事が可能です。
CDNはこのように独自に構築したキャッシュサーバーやCDNネットワークを利用し、日々世界中のユーザーに迅速にWEBコンテンツを届ける役目を担っています。
CDNサーバーによるキャッシュ通信の特徴
・CDNサーバーはオリジンサーバーの情報を常にキャッシュしています。
・キャッシュしたコンテンツには有効期間が設定されています。
・キャッシュの有効期間内はユーザーからのアクセスに対し、キャッシュ情報を表示します。
・キャッシュが有効期間を超えている場合は、オリジンサーバーへ一旦確認をしにいきます。
・オリジン側の情報が更新されていれば受け取り、更新されていない場合は現情報を再度キャッシュします。
・キャッシュをする対象にはページ単位や各ページの共通部分単位など、様々な範囲指定と管理ができる様になっています。
関連記事
DDoS攻撃対策としてCDNが有効な理由
ではなぜCDNがDDoS攻撃対策として有効なのでしょうか。
オリジンサーバーはレスポンスしない
DDoS攻撃は、攻撃者に操られている世界中の通信端末からデータがサーバーに送り込まれます。
しかしCDNを使っている場合、接続先となるのは通信端末の最寄りとなるキャッシュサーバー(CDNサーバー)になります。
オリジンサーバーへデータ通信が届くことはほぼありません。
通常ユーザーのアクセスに対しても、やはり最寄りのCDNサーバーがキャッシュ表示で対応します。
これによって正常なユーザーのアクセス阻害や、DDoS攻撃の被害を抑えられるという訳です。
CDNはオリジンサーバーの負担を減らすサービス
元々CDNは、WEBサイトのオリジンサーバー負荷を軽減させる事が目的のサービスです。
CDNを利用すれば多数のユーザーからのアクセスに対して世界中のキャッシュサーバーで応答する事が可能になります。
自社のWEBサーバー運用負荷の軽減につながりに、運営するサーバー台数自体も削減できる事になります。
同時にインターネット接続回線の帯域も節約できるため、WEBサーバー運営コストの適正化が図れます。
CDN導入のメリット
・キャッシュサーバーから代理配信するため、最低限の設備を用意するだけで済む
・キャッシュサーバーのキャパを利用できるので、増設の必要性がない
・エンドユーザー直近のキャッシュサーバーが選択されるので地理的影響がない
・DDoS攻撃はキャッシュサーバーが受けるため、被害を抑える事ができる
このようにCDNはWEBサイトへのサイバー攻撃防止の面でも様々なメリットをもたらします。
DDoS攻撃からWEBサイトを守りたい、或いはWEBサーバー運用負担の問題を解消したい場合、CDNは有効なソリューションとなるでしょう。
CDNサービスへのサイバー攻撃
今度はCDNが攻撃の対象
オリジンサーバーに直接DDoS攻撃ができないとなれば、今度のターゲットはCDNサーバーです。
CDNに向けて大量のデータ通信をおこない、CDNサーバーが正当なトラフィックに対し適切に応答できないようにする事が目的です。
CDNへのDDoS攻撃は、CDNプロバイダーにとってコンテンツ配信の著しい品質低下や配信の中断を招く可能性があります。
キャッシュサーバーの持ち味であるその生産性・複製機能を低下させ、収益にも影響を及ぼします。
特にVoDなどの動画配信では特に大きなダメージにつながるのです。
代替サーバーへのバトンタッチ
仮にとあるユーザーが正常アクセスの最寄り先としているCDNサーバーが、DDoS攻撃を受けている真っ最中の場合はどうなるのでしょう。
そのままそこのCDNサーバーを使うと、レスポンス・パフォーマンス遅延が起こり得ます。
その場合、さらに次に最寄りとなるサーバーにバトンタッチされる必要がありますよね。
CDN側にはそういった緊急時のバックアップ対応が当然求められてきます。
DNSサーバーダウンによるアクセス不可障害
今年の7月中旬、コンテンツ配信サービス(CDN)会社:クラウドフレアが提供するサーバーのWEBサイトに、約30分間アクセスできなくなるトラブルが発生しました。
その際ネット上には、サイバー攻撃によるCDNサービスのサーバーダウンではないかと指摘する書き込みがあったそうです。
これに対してクラウドフレア側はサイバー攻撃を否定し、原因はソフトウエアの設定ミスだったと発表しています。
WAFへのテスト中のエラー
WEBアプリケーションファイアウォール、いわゆるWAFに新しいルールを追加する際、適用前に新ルールで検知した通信をログに記録して、誤検知かどうかを確認するテストを実施していたという。
ところが今回テストしていた新ルールの設定に問題があり、CPU負荷が100%に達してしまい、最大82%の通信に影響が出たと説明しています。
今回のトラブルを「これまでにない経験」と表現し、検証プロセスが不十分であったとして、今後はテストと新ルールを展開するプロセスを見直すとしています。
参考:https://blog.cloudflare.com/cloudflare-outage/
結果サイバー攻撃ではなかった様ですが、「されたのではないか?」という懸念はずっと残りますよね。
まとめ
今のところCDNサーバーが複数分散されている限りオリジンサーバーまでダウンする事は無いと思いますので、CDNサービスを利用する事は一番有効な手立てでしょう。
しかしこれで100%安心ではないと言えます。
キャッシュサーバーは複数のWEBサイトデータを扱う事が前提
CDNサービスのサーバーは通常1社で独占する事はあり得ません。当然他社のWEBサイトキャッシュデータも入っています。
そうでないと自社サーバーの運営コスト削減につながりませんからね。
ですので一つのCDNサーバーが攻撃を受けると、中に入った多くのWEBサイトキャッシュ・レスポンスに影響する訳です。
それは複数サイトへの同時攻撃が可能になる事の示唆にもなります。
CDN側は今後そういったリスクを負う意味で、大いなる期待と責任がのしかかるでしょう。