インターネットに公開されている自社のホームページや、自社のWebサービスは、常に他社から攻撃を受けるリスクに晒されています。その中で、一般的な攻撃ともいえるDDoS攻撃について、AWS Shieldを利用して「現在攻撃されている」ことを確認し、DDoS自体の対策についても解説します。
目次
DDoS攻撃とは?
DDoS攻撃とは、Distributed Denial of Service (分散型サービス拒否攻撃) の略で、サーバーに対して過度のアクセスやデータ送付などを行うことで、標的のサーバーにアクセスできないようにする攻撃です。
DDoS攻撃を受けた場合、利用者がホームページにアクセスできなくなかったり、自社が提供するWebサービスが利用できないといった状態になります。その結果、サービス停止による売上減少、会社や提供するサービスへの信頼低下につながりますので、リスク軽減のためにもDDoS対策を行う必要があります。
AWSを使ったDDoS攻撃対策
AWSを利用してサービスを提供する企業は、DDoS対策として「AWS Shield」を利用できます。なおAWS Shieldには、追加費用なしで利用できる無償版のStandardと、有償版のAdvancedの2種類が提供されています。
AWS Shield Standardは、ネットワークレイヤーとインフラストラクチャーレイヤーの保護が提供されます。AWSユーザーであれば、自動的にサービスがONになっており、保護機能が有効化されています。
AWS Shield Advancedは、EC2, ELB, CloudFront, Global AcceleratorなどをターゲットにしたDDoS攻撃に対して、より高度な検出および緩和策、ほぼリアルタイムの可視性、AWS WAFとの統合、24時間365日のレスポンスチームへのアクセス、およびDDoS攻撃が原因で生じるAWSへの課金増加からの保護が提供されます。
DDoS攻撃が行われた際の対応
以下では、実際にDDoS攻撃を受けた際に、どのような手順で保護・対応を行う必要があるのかについて解説します。
全AWS顧客に対するグローバルなDDoS攻撃状況を把握
AWSのマネジメントコンソール上では、AWS Shieldの機能である「Global Thread Dashboard」が提供されています。これは、現在全世界でAWS向けに発生しているDDoS攻撃を表示するものです。ダッシュボードを利用することで、現在発生している自社へのDDoS攻撃が、「グローバルなDDoS攻撃の一部」なのか、「自社を特に狙った攻撃」なのかを判断できます。
イベントサマリの確認
DDoS攻撃が行われた件数(イベント)の数や、bit、packet、requestのレートについても、AWSマネジメントコンソールから確認できます。
レイヤーへの保護
レイヤー3(ネットワーク層)とレイヤー4(トランスポート層)への保護は、Standard版から提供されています。加えて、Advanced版を利用することで、レイヤー5 (セッション層)、レイヤー6(プレゼンテーション層)、レイヤー7(アプリケーション層)への保護が有効となります。
AWS WAFの設定変更
AWS Shield Advanced版では、AWS WAFと統合されているため、WAF (Web Application Firewall) の機能を利用できます。AWS WAFを用いることで、特定のIPアドレスからの攻撃が検出すると、そのIPアドレスからの接続を自動で拒否します。また、IPアドレスが頻繁に変更される攻撃に対しても、設定を行うことで攻撃からの保護が可能です。
さらに、しきい値に到達した際のアラートメールの配信設定も行えるため、関係するメンバーが迅速に問題に気づくことが可能となります。
AWSのセキュリティ対策をお任せできる「WADAXおたすけクラウドサーバー」
AWS Shieldおよび、AWS WAFはDDoS攻撃に対して、非常に有効に機能し、ホームページやWebサービスがアクセスできない自体を防いでくれます。ただ、こうしたセキュリティ機能は「正しく設定する」「正しく運用する」ことが前提となります。
機能が提供されていても、正しく設定・運用されていなければ、攻撃に気づくことも、そして攻撃を防ぐこともできません。例えば、情報システム部門の人員が少ない企業や、AWSについて詳しいスタッフが在籍していない企業の場合、大きな問題となります。
こうした企業に対して、セキュリティ面・サポート面を全てお任せできるAWSのマネージドサービスが「WADAX おたすけ クラウドサーバー」です。世界有数のインターネット・インフラ企業である「GMOインターネットグループ」が提供するサービスで、利用者がAWSのセキュリティについて調べたり設定したりしなくても、高いレベルでの保護が提供されるよう設計されています。
DDoS攻撃対策強化に、「WADAX おたすけ クラウドサーバー」をご検討ください。
最後に
さて、今回はAWS上のDDoS対策についてお届けしました。良いヒントは得られましたでしょうか?AWS基盤のレンタルサーバーをご検討であれば、30日間無料トライアルで実際に運用お試しできる、WADAXを是非ご検討ください。