DDoS攻撃からの保護や緩和をサポートする「AWS Shield」など、AWSの脅威検出サービスについて知る

WebサイトやWebサービスを通じて事業をおこなっている企業や団体にとって、安定的なサービス提供は必須です。こうした安定的なサービス提供にとっての脅威のひとつが、システムに対して意図的に高い負荷をかけるたりシステムの脆弱性を利用したりしてサービスを利用不能にしてしまうDDoS攻撃です。AWSでは、コンピューティングリソースの提供だけでなく、それらが安定稼働できるよう情報セキュリティ保護のための機能やサービスが提供されています。本コラムでは、DDoS攻撃に備えた「AWS Shield」など、AWSの脅威を検出するサービスについてご案内します。

暗号資産のオンライン流通により攻撃者が利益を得やすくなったDDoS攻撃

インターネットを使ってサービスを提供している企業や団体に対する悪意のあるサイバー攻撃のひとつに「DDoS攻撃」というものがあります。これは、サーバーやネットワークなどのWebサービスが利用するリソースに対して高い負荷をかけたり、利用しているソフトウェアの脆弱性を利用してサービスに例外処理をさせたりするなどしてサービスを提供できなくする攻撃です。

Webサービスは、サーバーやネットワーク上に構成されており、そこで動作するアプリケーションに何かリクエストがあると、処理をして結果を応答します。DDoS攻撃を受けてしまうと、過度なリクエストが行われ、処理をするためのリソースが奪われてダウンしたり、応答が極端に遅くなったりと、本来利用したい顧客にサービスを提供できません。Webサービスを提供する企業や団体は、安定した事業継続が困難になってしまうのです。

DDoSとは、「Distributed Denial of Service attack」の略で、分散型サービス拒否攻撃という意味です。分散型の名が指すように、攻撃の経路は多岐に渡ります。マルウェアなどで不正に乗っ取った複数のコンピューターを組織して悪用し、さまざまな経路から攻撃を実行するのです。攻撃経路が分散されていますので、たとえば特定のIPアドレスからのリクエストを遮断するといった単純な対処では防御できないのです。

過度なリクエストによってリソースに負荷をかけ、サービスの提供を困難にするだけの攻撃の場合、個人情報や機密情報などの内部データが盗まれたり、改ざんされたり、お金が盗まれてしまうような可能性は低いです。しかし、事業継続という観点でいうと、サービスの提供停止により企業や団体に大きな損害を与えてしまいます。オンラインでのみ注文から決済まで完結するサービスを提供しているなら、DDoS攻撃により収入を絶たれてしまいかねません。

そこで、DDoS攻撃の停止と引き換えに金銭を要求する「ランサムDDoS」という攻撃形態も登場し、攻撃者が利益を得る手段として使われることが問題になっています。従来のDDoS攻撃は、攻撃者の腕試しやいたずら目的で行われることが多かったのですが、オンラインで流通できる暗号資産の登場で、攻撃者が容易に資金を稼げるようになってしまったのです。

AWSとの責任共有モデルにおいて、DDoS攻撃への備えはどうする?

WebサイトやWebサービスを提供する事業者は、情報セキュリティやコンプライアンス遵守の観点から、たとえサイバー攻撃を受けたとしてもすぐに適応できるよう備えておく必要があります。クラウドサービスであるAWSでは、クラウドでの情報セキュリティの責任について、ユーザーとAWSとが共有するようになっています。

AWSは、設備やハードウェア、ホストOS、仮想化の仕組みなど、ユーザーが利用するクラウドのインフラストラクチャーにおけるセキュリティについて責任を負い、ユーザーは、その上で利用するシステムやソフトウェア、アプリケーション、データ、トラフィック、情報セキュリティ設定などの責任を負います。

このような責任共有モデルが適用されるAWSですが、DDoS攻撃の脅威に対して保護してくれる仕組みについては、「AWS Shield」というサービスでAWS側があらかじめ用意しています。たとえDDoS攻撃を受けたとしても、アプリケーションがダウンしたり、応答が遅くなったりする被害を最小限に抑えるための備えがあるのです。

ネットワークレイヤーや転送レイヤーへのDDoS攻撃を自動的に緩和するAWS Shield Standard

すべてのAWSユーザーが、追加の料金なしでDDoS攻撃への保護を受けられるのが「AWS Shield Standard」です。これは、WebサイトやWebアプリケーションを標的とした、ネットワークレイヤー(レイヤー3)や転送レイヤー(レイヤー4)に対するDDoS攻撃を防御するもので、コンテンツ配信ネットワークの「Amazon CloudFront」やドメインやドメインのDNSレコードの管理が行える「Amazon Route 53」と共に活用することで、インフラストラクチャーを標的とするすべての既知の攻撃を総合的に保護します。

AWS Shield Standard は、リアルタイムにAWSへのトラフィックを検査して、悪意のあるものを検知します。ユーザーが利用するサーバーで稼働するアプリケーションに影響を及ぼす手前で、自動的にDDoS攻撃を緩和できるようになっています。これに加えて、アプリケーションレイヤー(レイヤー7)に対するDDoS攻撃を緩和する備えとして、一般的なウェブの脆弱性からウェブアプリケーションまたは API を保護するウェブアプリケーションファイアウォールである「AWS WAF」もあわせて利用可能となっています。

アプリケーションレイヤーを含め、高度かつきめ細やかな防御にも対応するAWS Shield Advanced

さらに高度なDDoS攻撃への備えが「AWS Shield Advanced」です。AWSの仮想サーバーである「Amazon Elastic Compute Cloud (EC2)」やAWSで使える固定IPアドレス「Elastic IP」、アプリケーションへのトラフィックをEC2インスタンスに分散する「Elastic Load Balancing (ELB)」、Amazon CloudFront、Amazon Route 53などといったリソースで実行するアプリケーションを標的としたDDoS攻撃に対してより高度な自動緩和機能を提供します。

また、Amazon CloudFront、Amazon Route 53をエンドポイントとしていれば、そこから接続したバックエンド側のリソースがAWSの外にあったとしても、AWS Shield Advancedによる保護を受けることができます。さらに、ビジネスサポートやエンタープライズサポートに加入しているユーザーなら、AWSのDDoSレスポンスチーム (DRT) が24時間年中無休で待機し、より複雑なDDoS攻撃に対して手動での緩和するサポートを受けられるようになっています。

AWSの各サービスの料金は、データ転送量や仮想サーバーの稼働時間など、利用した分だけの従量制のものが多いです。WebサイトやWebサービスの利用状況に応じて、サーバーの台数を増やしたり、機能を追加したりすることができるのもAWSの魅力です。しかしながら、仮にDDoS攻撃を受けることで、たくさんのコンピューティングリソースを消費させられてしまったらどうでしょう? 攻撃により利用料金が急増しまう懸念もあると思います。

AWS Shield Advancedには、こうした事態に備えたコスト保護の制度があります。DDoS攻撃の影響で次々としたリソースの使用が増えてしまった場合の請求に対して、AWS Shield サービスクレジットが提供されるのです。

たとえば、Amazon CloudFrontを利用しているユーザーの場合を考えてみましょう。通常のデータ転送量が20GBであるのに対し、攻撃のために200GBに跳ね上がってしまったとしても、AWSにリクエストすることで、不当に増えた分の転送料金を相殺するためのクレジット提供してくれるのです。このクレジットは12ヶ月間有効で、AWS Shield Advancedの料金に適用できます。

さまざまな攻撃に備えた、インテリジェントな脅威検出サービスAmazon GuardDuty

AWS Shieldの他にも、AWSにはさまざまな情報セキュリティ対策のサービスがあります。脅威の検知という点では、DDoS攻撃以外のものにも対応した「Amazon GuardDuty」があります。これは、AWS 環境内の予期しない振る舞いや悪意のある振る舞いを識別できるサービスです。

さまざまなログに加え、悪因のあるIPアドレスやドメインのリストなど、脅威に関する知見のデータを、機械学習を通じてモニタリングします。たとえば、EC2 インスタンスがマルウェアなどのマイニングに不当に利用されている場合に検出できます。AWSアカウントの動作も監視しており、これまで使用されていなかったリージョンへのインスタンス展開や、パスワードポリシーの強度を下げた変更など、異常と思われる命令や兆候を探ります。

AWS Shieldほか関連サービスの利用料金は?

AWS Shield Standardの利用に追加の費用はかかりません。

AWS Shield Advancedは、定額のサブスクリプション費用に加え、従量制のデータ転送使用料金がかかります。
詳しくは公式サイトの料金表をご覧ください
https://aws.amazon.com/jp/shield/pricing/別ウィンドウで開きます

DDoS攻撃など、脅威に対するAWSの備えに関するまとめ

AWSはサイバー攻撃に対処するための知見や技術を積み重ねています。DDoS攻撃についても同様で、その振る舞いを検知して緩和するべく、AWS Shieldが用意されています。すべてのAWSユーザーが追加の料金なしで利用可能なものが、AWS Shield Standardで、ネットワークや転送など、主にインフラストラクチャーのレイヤーを保護します。

アプリケーションレイヤーまで細かに保護したり、AWS側のサポートを受けたりしたいたい場合は有料のAWS Shield Advancedなどを利用できます。

AWSにはほかにも、データ保護、アクセス、インフラ保護、驚異のモニタリングなど、WebサイトやWebサービス提供者の可用性を高める仕組みが多数用意されています。

24時間365日対応可能なクラウド監視・運用代行で、あなたをシステム運用から解放します!

移行準備段階で知っておくべきAmazon Web Servicesの
サービスを学び、具体的にクラウド検討を考える!

ネットワークからクラウドまでトータルサポート!!
NTT東日本のクラウド導入・運用サービスを確認してください!!

Amazon Web Services(AWS)、Microsoft Azureの
導入支援サービスのご相談、お問い合わせをお待ちしております。

ページ上部へ戻る