ホーム > ニッポンを守る技術 > DDoS保護、世界一に挑戦!2014年、銀行クライアント様が大幅増
 

DDoS保護、世界一に挑戦!2014年、銀行クライアント様が大幅増

メインメニュー


その他の利点


DDOS攻撃とは?

DDoS(Distributed Denial of Service)攻撃の略称です。DDoS攻撃は、サイバー空間の中で、防御が一番難しい攻撃と言われることが多く、これまでに世界中の有名サーバが被害にあってきました。DoS攻撃と違い、DDoS攻撃は、攻撃元を分散させているために攻撃元を特定することが難しいため、脅迫にも利用されたりします。例えば、犯罪者は、サイトの脆弱性を悪用して泥棒のように侵入し、そこに時限爆弾をセットし、相手が要求をのまなければ、ある時刻から一斉に攻撃を加えるようなケースもあります。
 
ボットネットとよばれる、ゾンビ化した第三者のPC達を踏み台にするため、大元の攻撃者の特定は困難であり、且つ、次々と攻撃元が変わるため、ファイアウォールやアクセスリストなどの方法では防御できないのが現実です。
 
一 般的なDDoS攻撃は100~300Mbps程度の不正トラフィックを発生させます。大がかりで組織的な攻撃の場合には、1~400Gbps程度の不正トラフィックを発生させることができます(2014年現在)。殆どの企業の回線は100Mbpsほどですから、一瞬でパンクです。

『DDoSをやめさせて!』そんな時の『DDoS Catcher』

では、DDoSからの保護は、無理なのでしょうか?いいえ、違います。DDoS攻撃の強さと複雑さに関わらず、お客様のウェブサイトに対する攻撃や悪影響から保護し、存在しているDDoS攻撃の全ての種類においてリスクを中和する技術的なソリューションを開発し、実現しました。それが、DDoSCatcherです。
 
DDoSCatcherは、安定性・スケーラビリティ(適応能力や拡張性)・フォールトトレラント性(※)が高く、365日24時間、固定月額料金でサポートできるシステムです。保護理論は複雑ですが、利用されるお客様に必要な操作はいたってシンプルで、素人の方でも管理できます。
※システム障害が発生した際、正常な動作を保ち続ける(被害を最小限に抑える)『耐障害性』能力。

DDoSCatcherのネットワーク技術の主な特徴(少し専門家向け)

  • 高レベルのフォールトトレラント性を守るために、DDoSCatcherはBGP Anycastという技術を利用しています。DDoSCatcherのネットワークのどこのノードに障害が発生しても、サービスに悪影響を与えません。
  • DDoSCatcherのベースになったネットワークは、どんなに長時間、大量の激しい攻撃を受けても動くように設計されました。それを実現するために、DDoSCatcherはオンライン(ライブ)モードで最も大きいインターネットバックボーン(独立したネットワーク同士を接続するための高速大容量の主要幹線)の間でトラフィックのバランスをとっています。
  • ネットワークの総合チャネル容量とそれの演算能力は、1000Gbit/secぐらいのトラフィックの分析と処理を可能にします。
  • DDoSCatcherのベースになったフィルタリングネットワークのエンジニアは定常的に方法とアルゴリズムをアップデートしています。サイバー犯罪者が利用しているネットワーク技術も進化していきますので、ネットワークのプロトコルとアプリケーションの新たな脆弱性に対して迅速に対応しています。
  • DDoSCatcherは、サイトの保護をOSI参照モデルの全ての7つの階層で保障(保護)しています。特に第7層のアプリケーションレベルの分析を強化しています。
  • DDoSCatcherのネットワークはHTTPS-トラフィックを解読せずにフィルターできます。従って、お客様から暗号キーをもらう必要はありません。なぜなら、クライアントのアクセスログと、DDoSCatcher APIで設定できるブラックIPリストとホワイトIPリストのポリシーを利用しているからです。このようなスキームのおかけで、DDoSCatcherのネットワークを通ってトラフィックを流しても、全ての機密データは表示されません。つまり、お客様のセキュリティポリシーに対して違反しないことを保証します。
  • DDoSCatcherのベースになったネットワークのフィルタリングノードは、ヨーロッパ、ロシア、アメリカの一番大きいインターネットトラフィックプロバイダーのチャネルに位置しています。現在、アジアのインターネットバックボーン(主要幹線)にノードの設置を計画中です。

お客様にとって嬉しい点

  • シンプルなスタート!

    お客様はトラフィックのリダイレクトを行うだけです。

  • 専門知識は不要!

    どんなに激しいDDoS攻撃になっても、保護するためにお客様の参加は必要ございません。DDoSCatcherを導入される際、DDoSの専門スタッフのご準備も必要ございません。

  • 管理画面から全て操作!

    多機能API(Application programming interface)で、お客様は簡単に設定や編集が可能です。

  • 24時間365日!

    技術サポートを行います。

  • 返金保証付き!

    万が一、保証させていただいたレベルを保護できなかった場合には、料金は頂戴致しません。保護に絶対の自信があるがゆえの、他社にはマネのできないサービスです。

  • 業界最安値にチャレンジ!

    安かろう悪かろうではなく、安いのに世界一の保護を目指します。

DDoSCatcherのネットワークの構成(少し専門家向け)

<トラフィックフィルタリングの3ステップ>

  1. リダイレクト

    保護されているサイトへのトラフィックは全部DDoSCatcherのネットワーク向きにリダイレクトされます。昨今一番複雑な攻撃のターゲットになっている、アプリケーションのレベル(OSI参照モデルの第7層)を含めて、トラフィックの分析はプロトコルスタックの全てのレベルで行われています。

  2. フィルタリング

    分析されているトラフィックは、ビヘイビアとヒューリスティックとシグネチャのアルゴリズムを利用し、マルチレベルのフィルタリングがされています。お客様のサイトのノーマル状態のトラフィックを止まらず分析していますから、DDoS攻撃以外でも異常な変化を特定し、DDoSの場合にはすぐに反応します。

  3. カムバック

    2でフィルターした結果、正しいトラフィックはパブリックインターネットか専用通信のL2 VPNチャネルを通ってお客様のサイトに向かいます。全部の不正(DDoS)トラフィックはDDoSCatcherのネットワークにブロックされて、お客様のサイトまで届くことがありません。

*お客様は、管理画面に表示されているデータを確認しない限り、もしくはDDoSCatcherからのリポート見ない限り、お客様のサイトに対して攻撃が行われたことに気がつきません。お客様やお客様のサイトのユーザーは、どんなに強いDDoS攻撃を受けても影響(例えば表示の遅延など)を感じないからです。
*DDoS攻撃の時に、DDoSCatcherのシステムは攻撃のソースと、攻撃の環境と、攻撃の方法に関するデータを収集して分析します。それによって保護方法やアルゴリズムを随時、ライブモードで改善しています。

暗号キーを利用せず暗号化されたトラフィックからDDoSトラフィックをフィルタリングする(少し専門家向け)

お客様のサイトにHTTPSという暗号化されたデータ通信のプロトコルが利用されている場合、さまざまな理由(例えば、法律・お客様のクライアントとの契約・セキュリティポリシー・機密情報など)で第三者(例えばDDoSCatcher)に必要な暗号キーを提供できないことがよくあります。ちょうどそのような時のために、DDoSCatcherはお客様から暗号キーをいただかずにサイトを保護できます。
 
そのために、DDoSCatcherが開発したユニークな技術が利用されています。その技術により、お客様から証明書と暗号キーをいただかず、(=お客様のセキュリティーポリシーに違反せず)に、HTTPSトラフィックの分析とフィルタリングを行えます。
 
この技術ですと、DDoSCatcherのネットワークを通るデータの機密保持を保障できます。クリーンなトラフィックは編集と解読を一切されずにお客様に流れていきます。ですから、銀行などの金融サービス、インフラ企業にも、ご利用のお客様が増えています。主に下記の技術が利用されています。
 
API:DDoSCatcherのネットワークの外周でフィルタリングするために、お客様にブラックIP/ホワイトIPリストの自動管理の機能を提供しています。
 
QLOG:お客様はsyslogのスタンダードプロトコルを利用して、DDoSCatcherにアクセスログのデータをオンラインで提供できます。DDoSCatcherはビヘイビアアルゴリズムに基づき自動的にブラック/ホワイトリストを作成します。
 
オンライン支払いシステムを保護する時、プログラムのコードに、DDoSCatcherが開発したアルゴリズムを導入できます。そのアルゴリズムを導入すると、攻撃になった時、サイトのユーザーのIPアドレスに対して追加照合が行われます。
 
オプションとして、DDoSCatcherのネットワークからお客様のサイトにHTTPSトラフィックをお届けするために、または、Access-Log受信のために、専用通信のMPLS L2 VPNのチャネルの設置が可能です。

「ハッキング」からの保護(WAF)

ウェブサイトの動作に対する危険は2種類あります。
 
1 サイトのアクセシビリティに対する危険(DDoS)
2 サイトのデータの機密保持に対する危険(脆弱性)
 
1つ目の危険に、DDoSCatcherが対処します。同時に、
2つ目の危険(脆弱性)に対処するためにWAF(WEB Application Firewall)を利用します。DDoSCatcherの中にWallarm技術に基づいたWAFを導入しました。
 
どんなに重要なアプリケーションでも、ソースコードの中にフォールト(不具合・欠陥≒セキュリティホール≒脆弱性)がある可能性があります。ハッカー(犯罪者)はサイトの機密データに不正侵入するために、そのフォールトを悪用します。従って、最も安全な環境にするためには、サイトへの攻撃を発見するだけではなく、あらかじめ、サイトの脆弱性を悪用できる可能性自体を削除しておかなければなりません。

Wallarmは下記の課題を解決しています。

  • 0-day攻撃を含めて、多種多様な攻撃を効果的に検出するために、アプリケーションの構成と、ユーザーの正当な行動をプロファイリングしています。そこでは、マシンラーニング(機械学習)を利用しています。
  • ビルトインスキャナーを利用してコードの脆弱性を検出しています。お客様側の専門家が、その脆弱性を修復するまでの間、バーチャルパッチをつけています。
  • お客様側の専門家(プログラマー)のために、脆弱性の削除方法を自動的に作成し、コードの安全開発(SDL)プロセスの自動化を実現しています。
  • それぞれのアプリケーション用の特別な調整は必要ありません。様々な大きさの保護プロジェクトに対応できます。
  • 統計アルゴリズムを利用し、誤報の数を最小化します。

クラウド接続

Wallarmは、攻撃と脆弱性を中和するために、お客様のサイトへのトラフィックに関して、DDoSCatcherネットワークからのデータを利用しています。Wallarmは、このデータを分析し、オンラインで、お客様のサイトへの危ないトラフィックに対する遮断ルールを追加しています。そして、Wallarmは、DDoSCatcherネットワークを通る正当なトラフィックには一切影響しません。

ハイブリッド接続

暗号化されたトラフィックを分析するために、特別な仕組みの接続が利用されています。その特別な仕組みとは、お客様の会社のインフラストラクチャーの中にローカルモジュールを設置して、そのモジュールがトラフィック検査と攻撃をブロックしているという仕組みです。ただし、保護ルールの形成は、ローカルモードから受信されている、トラフィックに対する分析のデータに基づいて、DDoSCatcherのクラウドで行われています。そのデータは暗号化されているコンテンツを含んでいません。お客様から保護されているサイトのトラフィックの暗号キーをご提供いただけない場合、このような方法のサービスを利用しています。
 
イーライト「DDOSキャッチャー」専門サイトはこちら
 


99,5%保護保証付き!

インターネットの中で動いているプロバイダー間のトラフィック通信/接続には、問題が起きることがあります。通信/接続の問題が起こった場合、クリーントラフィックの転送は難しく、もしくは、不可能になります。そんな場合のお客様に与える悪影響を防ぐために、DDoSCatcherはStart 2Mb/s以外の料金プランに、『専用回線』のサービスを提供しています。
 
『MPLS VPN L2』という名前の専用回線です。お客様はこの専用回線を利用すると、インターネットの中でどんな問題が起こっても、DDoSCatcherのフィルタリングネットワークからお客様のインフラストラクチャーまでのクリーントラフィックの転送は問題になりません。『MPLS VPN L2』という専用回線を利用することで、お客様のサイトのアクセシビリティを99.5%以上保証します。

すべてのIPを保護!

たまに、DNSにレコードの編集を行うことが不適切であるケースがあります。例えば、お客様のインフラストラクチャーにIPサブネットワークがあるケースです。
 
お客様のインフラストラクチャーにIPサブネットワークがある場合、それをBGPプロトコルでインターネットに中継しながら、サイトだけではなく、全てのIPサブネットワークをDDoS攻撃から保護できます。
 
お客様はこのサービスを利用するために、ダッシュボードで簡単な設定を行うだけです。

HTTPSの保護!

HTTPSのトラフィックをフィルターするために、お客様から暗号キーをご提供いただける(※1)場合、トラフィックのフィルタリングはDDoSCatcherのネットワークの中で行われます。
 
HTTPSのトラフィックはDDoSCatcherで保護されているネットワークに入り、そこでお客様からご提供いただいた暗号キーで復号化(※2)されます。その後、DDoSCatcherは復号化したHTTPSのトラフィックをフィルタリングし、クリーン(正当な)トラフィックをお客様の暗号キーを利用し、再暗号してから、お客様に送信します。DDoSCatcherのネットワークとお客様のサーバ間の通信も保護されていますから、ご安心ください。
 

※1暗号キーをご提供いただけない場合については、別途ご案内しております。
※2復号化=暗号化されたデータを元に戻し、読める状態に戻すことです。

どんなに複雑でも、保護!

サイト運営のためには、複数のウェブサーバを利用し、2つ以上のデータセンターに分散して設置を行っているケースがよくあります。もし、1つのウッブサーバに不具合が起きても、お客様のサイトに一切の損害がでないよう、DDoSCatcherは「トラフィックのバランシング」というサービスを提供しています。
 
下記のトラフィックのバランシングアルゴリズムをご用意しております。
 

●Round-robin (このアルゴリズムがデフォルトです)

お客様のサイトへのリクエストは、サーバ間で、均等的にバランスをとっています。万一、1つのサーバに不具合が発生した場合、トラフィックのローテーションルートからそのサーバを一時的に抜きます。
 

●Weights

お客様のサイトへのリクエストは、サーバ間で、割合を調整してバランスをとっています。
 

●IP hash

お客様のサイトにリクエストをするIPの種類によって、決められたサーバを利用します。
 

●Primary-backup

お客様の主なサーバに対してユーザーがアクセスできなくなった場合、サイトへのトラフィックは一時的にバックアップサーバを通ります。
 

●Geo

お客様のサイトへのトラフィックの発信国によって、決められたサーバが利用されます。

24時間365日 問題を監視!

お客様のサイトのアクセシビリティのモニターリングを24時間365日行っています。サイトのアクセシビリティにDDoS攻撃と関係してない問題が発生しても、迅速にお客様に通知いたします。お客様のサーバにどのような問題が発生しても、お知らせします。
 
料金プラン『Large Business』を選んだお客様には、「緊急時の対応マニュアル」の作成が行われます。問題が生じた分野( ネットワーク、サイト、データーベースなど)によって、社内のご担当者様に、直接連絡するサービスです。

サイトスピードとサーバ効率がUP!

複数のHTTPリクエストを処理するために、1つのTCP接続を数回使うことが、DDoSCatcherの特徴です。この特徴によって、お客様のサイトの保護を開始してから、サイトの運営スピードが遅くならない、むしろ、もっと早くなります。
 
通常、サイトユーザーからのHTTPリクエストを処理(フィルター)するために必要な、送信用のTCP接続の設定には、たくさんの時間がかかります。
 
一方、DDoSCatcherのネットワークの場合には、HTTPリクエストをお客様の保護されているウェブサーバにリダイレクトするために、ダイナミックTCP接続のセット(pool)を利用していますので、新しいTCP接続の設定に、時間がかかりません。従って、お客様のサイトのスピードもウェブサーバの効率もUPします。

強化ファイアウォール効果!

お客様はAPI(Application Programming Interface )を利用して、DDoSCatcherネットワークの外周で動いているIPアドレスに対するホワイト/ブラックリストの処理ができます。お客様がご自身でブロックしたIPアドレスは、お客様のサイトに届くことなく、DDoSCatcherのネットワークの外周で弾かれます。この機能は、強化されたリモートファイアウォールと同じような効果になります。
 
DDoSCatcherはAPIのプログラムインタフェースをお客様の認証システム、データベース、機器モニタリングサービスに、インテグレーションできます。APIから、保護されているサイトのトラフィック統計を確認できます。

DNSに対する攻撃からも保護!

もし、お客様が、DNSサーバを含んでいるウェブインフラストラクチャーを持っている場合、そのDNSサーバも保護しなければなりません。なぜなら、DNSのサービスが何かの理由(DDoS攻撃など)で不具合を起こした場合、サイト運営ができなくなるからです。
DDoSCatcherでは、DNSをターゲットにしたDDoS攻撃に対抗するために、お客様に保護された分散DNSをご提供しています。
 
下記2種類の分散DNSをご提供しています。
 

●Zone transfer

DDoSCatcherのDNSサーバをお客様の「信用サーバ」リストに追加し、お客様の権威DNSサーバにする方法です。
 

●Reverse proxy

DDoSCatcherネットワークは、サイトユーザーからのDNSリクエスト(要求)をフィルタリングし、保護されたDNSサーバにリダイレクトすると同時に、レスポンス(応答)をハッシュします。その結果、お客様のDNSサーバに対するプレッシャーが下がり、アクセシビリティが高くなります。

料金

お見積りを開始されたい方へ 
 (今の状況とご要望をお聞きし、お見積りをスタートします)

 

関連項目

ddos 対策

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。