COLUMN誰でもわかる!お役立ちコラム

AWS活用支援コラム

AWSにおけるDDos対策

この記事では時々ニュースサイトを賑わせるDDoS攻撃(Distributed Denial of Service attack)に焦点を当て、AWS(Amazon Web Services)ではどのように対策していくべきかを分かりやすくお話します。

DDoS攻撃とは?

始めにDDoS攻撃がどのようなものかを説明します。
特定のウェブサイトやシステムを対象にしたネットワーク攻撃の一種で、悪意をもってシステムに大量のデータを送りつけ、アクセスを処理するサーバがパンクすることを狙うサイバー攻撃のことを指します。
この攻撃を単一の送信元から実行する攻撃をDoS攻撃(Denial of Service attack)、マルウェア感染した端末等を用いて複数の送信元から実行する攻撃をDDoS攻撃(Distributed Denial of Service attack)と呼びます。

DDoS攻撃の目的は、単純な嫌がらせや妨害行為、政治問題等に関する抗議活動、脅迫行為といった理由が多いと言われますが、他のサイバー攻撃を実行するためにDDoS攻撃を行うこともあります。
DDoS攻撃の種類は様々です。TCPの通信を利用したTCP SYNフラッドといった通信パケットを大量に送りつける方法や、HTTPフラッドのようなWebサーバのセッションを占有する方法、UDPフラッドのような通信帯域を食いつぶす攻撃など、様々です。

AWSをDDos攻撃から守り、安全に利用するスタイルズのAWSセキュリティサービスはこちら→

AWSにおけるDDoSへの備え

AWS上でシステムを稼働させる場合、DDoS攻撃からどのように保護すると良いのでしょうか。
一般的な対応策の一例を記載します。

CDNを利用する

CloudFrontのようなCDN(コンテンツ配信ネットワーク)を導入することが対策案の1つと考えます。
CDNの機能としてクライアントに近いコンテンツサーバから応答を返すという仕組みがあるため、DDoS攻撃の通信パケットが飛び交う状況下でも、クライアントに遅延なくデータを返す可能性が高まります。また、CDNに蓄積されたキャッシュデータを直接応答するケースでは、サーバに直接アクセスされることが無いため、サーバの負荷対策として有用となります。

ロードバランサーでサーバの負荷分散を行う

ロードバランサーを利用してサーバを冗長化しておくことで、サーバ1台あたりの負荷は減少します。上記のCDNと同様、サーバ負荷対策として有用となります。

DDoS攻撃はある程度短時間(1時間程度)で収束するというケースが多いと聞きます。
攻撃する側としてもサーバリソースの準備やコストが発生するからと言われます。
つまりは、この程度の時間を捌けていれば、システムダウンまで陥る可能性は低くなると考えられます。

DDoS攻撃を自動的に緩和するAWS Shield Standard

AWSではAWS Shield Standardと呼ばれるDDoS攻撃向けの対策サービスが存在します。
このサービスはOSI参照モデルにおけるレイヤー3/4に対するDDoS攻撃を検知し自動的に防御してくれるものです。
AWS Shieldは自動的に有効化されており、利用にあたって特に手続きは不要です。
また、無料で利用できるため、一般的なDDoS攻撃はAWSを利用していれば簡単に防御できるようになります。

AWSをDDos攻撃から守り、安全に利用するスタイルズのAWSセキュリティサービスはこちら→

AWS Shield Advancedの違いは?

前述のAWS Shield Standardとは別に、AWS Shield Advancedが存在します。
これはStandardの有償版という位置付けとなり、費用が発生する代わりに下記の機能追加があります。

レイヤー7レベルのDDoS攻撃への対処

アプリケーション層に対するDDoS攻撃を検知し保護することが出来るようになります。

DDoSコスト保護

DDoS攻撃を受けたことで例えばオートスケールが発動しサーバリソースが不当に増えてしまった場合、コスト還元が期待できます。

可視化・通知

監視サービスであるCloudWatchにて、AWS Shield Advanced固有の項目が参照できるようになります。
DDoS攻撃実施中かどうかの判断や、DDoS攻撃と認められたパケット数やデータサイズといった項目が参照できるようになります。また、DDoS攻撃判断された際に通知を出すことも可能になるため、リアルタイムに対策を講じやすくなります。

サポートサービス

AWS Shield Advancedを有効化すると、レスポンスチームからのサポートサービスを受けられます。
インシデントに対する原因特定や緩和策の検討といったケースにおいて、専門スタッフがアドバイスしてくれます。
※サポートの言語は英語です。

【参考:AWS Shield料金詳細】
https://aws.amazon.com/jp/shield/pricing/

まとめ

今回の話の重要事項をまとめると下記の通りです。

  • DDoS攻撃に対する対策は、CDNやロードバランサーを構成することで緩和策になり得る。
  • AWS Shield Standardは無償のDDoS攻撃対策サービス。
    自動的に有効化されており、一般的なDDoS攻撃は対処される。
  • 有償のAWS Shield Advancedを契約することで、上位レイヤーに対する保護、DDoS攻撃が原因となるリソース費用増加へのコスト還元、状況可視化、専門スタッフによるサポートを得ることができる。

今回は、AWSを利用している際に、DDoS攻撃をどう防いでいくかという観点でお話してきました。セキュリティはクラウドを利用する上で最重要な課題となりますので、経験のあるベンダーとよく相談しながら活用してください。

弊社ウェビナーでもわかりやすく解説している動画がありますので、ぜひご覧ください(こちらのページより「30分でわかる! AWSにおけるDDoS対策」をお申し込みください)。