DDoS攻撃対策ソリューション
DDoS攻撃対策における事前検証からシステム構築・運用までフルサポート。
このようなお悩みはありませんか?
- 課題
- 解決
-
自社のWebサイトにも何らかのDDoS対策が必要と考えているがなかなか対応できない。
現状をヒアリングしてのコンサルテーションから導入、運用支援まで、トータルにサポートが可能です。
-
DDoS対策は、ハードウェアやクラウドサービスなど、製品が多すぎて何を選べばいいのか分からない。
予算、求める防御内容などから、最適なソリューションをご提案します。
-
DDoS攻撃だけでなく、侵入防御やランサムウェア対策など、セキュリティを全体最適で考えたいのだが。
IPS(侵入防御システム)やWAF(Web Application FireWall)など、さまざまな機能を含むサービスや製品も適用可能です。
DDoS攻撃対策ソリューション 概要
サービスの停止を引き起こすDDoS攻撃の脅威を防ぐためのセキュリティシステムの構築を支援します。DDoS攻撃対策のコンサルテーションからシステム構築・運用まで、豊富な経験を活かして最適なソリューションを提供します。
日立ソリューションズは、特定製品にとらわれず、セキュリティやネットワークのプロフェッショナルとして、お客様のニーズに応じた方式設計や製品選択、システム構築をトータルに支援いたします。提供する代表的なサービスは以下のようなものですが、ご要望に応じ柔軟に対応可能です。
DDoS攻撃対策ソリューション 特徴
導入前サービス
- お客様のシステムの特性に応じたDDoS防御方式や導入製品(機器やクラウドサービス)の提案
- 導入製品の評価テスト(事前検証)支援
- 他のセキュリティやネットワーク機能/機器との統合やネットワーク再構築のコンサルテーション
構築サービス
- 新しいネットワーク構成やDDoS防御パラメタの設計
- DDoS防御製品の設置導入作業
- DDoS防御の運用設計や手順書の作成
- 他のセキュリティやネットワーク機能/機器との統合的な設計や設定、動作確認作業
運用支援サービス
- ログや運用状況の解析と報告書の作成
- 定期/非定期のDDoS防御パラメタのメンテナンス
DDoS防御を導入する際のポイントは?
DDoS攻撃対策は製品選択を含めシステム構成の選択肢が多く、その他のセキュリティ施策とともに、目標を明確化したうえでの設計が重要になります。
どれだけ厳格に守るべきか
DDoS攻撃は、IoTを悪用したボットの出現などで大規模化すると同時に、ネット上でツールやボットを購入して素人でも容易に実行できるなど、深刻化しているのが現状です。企業にはDDoS防御の必要性が高まっていますが、完全性を求めるとコストも莫大になりがちです。アプリケーションに応じたダウンタイムや防御レベルを考慮し、適切な防御機能を選択する必要があります。
回線飽和型攻撃をどうするか
優れたDDoS防御装置を導入しても、インターネット接続回線(アップリンク)を飽和させる量の攻撃を受けると対処しようがありません。回線飽和型攻撃から守るには、クラウドや上位のプロバイダ側のサービスを利用した防御も選択肢となります。
正当な通信のドロップを防ぐには
一方、サービス型の防御の場合、自社のニーズに応じた細かな設定や運用ができないこともあります。攻撃検知の際に正当な通信の多くもドロップされてしまっては、質の高いサービスを維持することができなくなってしまいます。
常時防御か、攻撃時のみ防御か
常時防御はリアルタイムに攻撃を防御できますが、平常通信の遅延や機器障害時の問題を考慮する必要があり、コストにも要注意です。攻撃時のみ防御機能を稼動させる場合、平常時の通信への影響の心配はありませんが、防御機能の発動に要する時間や、人間の判断やオペレーションの介在をどうするか、などの問題もあります。防御を常時とするか攻撃時のみとするかは、コストと同時にシステム構成や運用手順を大きく左右することになります。
最低限の運用コストで成果を上げること
正当な通信を維持しつつDDoS防御を行うには、アプリケーションに応じた防御機能のチューニングも必要になりますが、求められる防御品質に応じて、そのような運用コスト(マンパワー)を最小化していくことも求められます。自律的・自動的な防御機能を持つ製品やサービスも効果的な選択肢です。
セキュリティ対策全体とどう統合するか
多様な攻撃が想定される今、DDoS防御は単体で導入されるべきものではなく、企業のネットワークセキュリティ全体の中で設計され、統合的に機能すべきものです。それはコストの最適化にも結びつきます。
システム構成例
代表的な構成例として、オンプレミス型、サービス型、ハイブリッド型を掲げます。いずれの型でも、常時防御、または攻撃時のみ防御の構成が可能です。
オンプレミス型
DDoS防御製品を、自社ネットワークのファイアウォールの上位に設置する方法です。
- 初期費用はかかりますが、3年以上などの長期でみるとコストは相対的に低くできます。
- 自社のシステムの特徴に合わせたチューニングが可能なので、精度の高い防御システムを構築できます。
- IPSやWAFなど、他のセキュリティ機能とトータルでの設計がしやすくなります。
サービス型
自社サイトに防御製品を設置することなく、事業者のサービスだけを利用してDDoS防御を実現することも可能です。 初期導入時のコストを抑えることができます。サービス提供者により大きく二つの選択肢があります。
-
自社が契約するデータセンタやISPが提供するDDoS防御サービス
一般には、最も容易に比較的安価に導入できますが、サービス内容の選択肢は、そのプロバイダが提供するものに限定されることになります。
-
クラウド型のDDoS防御サービスプロバイダ
DDoS防御製品メーカなどがクラウドサービスとしてDDoS防御を提供する場合です。常時または攻撃発生時にトラフィックをクラウド上のサービスを経由する経路とし、攻撃を除去したクリーンなトラフィックのみをサーバサイトに送ります。
ハイブリッド型
オンプレミス型では、回線飽和型攻撃を防御できないという弱点がありますが、クラウドサービスを利用することで、回線飽和型攻撃の防御も可能になります。同時にオンプレミスにも専用製品を設置することで、確実で精度の高い防御システムを実現します。
その他のセキュリティ機能の統合
大量のトラフィックを送りつけることによってサーバを応答不能に追い込むのがDDoS攻撃ですが、同様の目的を持ったサーバへの攻撃は他にもあります。たとえばサーバの脆弱性を悪用して侵入し、サービス停止や内容の改ざん、データの奪取を試みる攻撃があります。Webサイトを運用する場合、DDoS攻撃のみでなく、このような攻撃全般を考慮した対策を取るべきといえます。
現在ではひとつのサービスや製品が幅広い攻撃防御機能を備えていることが普通ですが、さらにそのような製品をいくつか組み合わせてシステムを構築するのが通例です。以下に重要なセキュリティ機能の代表例を掲げます。
次世代FW機能 | アプリケーションやユーザを識別して制御できるファイアウォールです。従来のFWに比べてきめ細かく通信を観察し制御しますので、攻撃をより良く防御するとともに、不適切なアプリやサイトの利用を制限し、情報漏洩のリスクを低減することができます。 |
---|---|
IPS機能 | サーバのOSなど、ソフトウェアの脆弱性を悪用してシステムに侵入しようとする攻撃を防ぎます。 |
WAF機能 | Webアプリケーションの脆弱性を悪用してシステムに侵入したり、データを搾取されることを防ぎます。 |
SSL攻撃対策 | 現在では通信の多くがSSL(TLS)で暗号化されており、上記のような攻撃もSSLで暗号化されて実行されます。従来の製品ではそのような暗号化攻撃を検知できないことも多く、SSLの暗号を解いて検査をするなどの対策が求められています。 |
IP/URLレピュテーション | 不正サイトなどを網羅したデータベースサービスと連携して通信を制限します。マルウェアの侵入やボットとの通信などの攻撃リスクを低下させる有効な方法です。 |
価格
個別にお見積もりいたします。
関連商品
関連キーワード
最終更新日:2017年9月15日