インターネットがまた止まったとき、DDoS 攻撃を受けて生き残ることはできますか？

またしても、「インターネット障害」が発生しました。お馴染みのシーンです。主要プロバイダーが障害を起こし、そのために Web の多くの部分が一斉に機能しなくなります。インターネットそのものが壊れてしまったように感じられますが、実際に壊れているのは、他の多くの企業も依存している単一のベンダーにすぎません。

でも、待ってください。私たちは IT エキスパートとして、Single Points of Failure を避けるべきだと早い段階で学んだはずです。それなのに、これほど多くの企業がインターネット・インフラ・サービスを単一ベンダーに依存しているように思えるのはなぜでしょうか。

その答えは、シンプルでも複雑でもあります。回復力にはコストがかかるということです。真のマルチクラウド戦略とマルチベンダー戦略は、運用面で複雑な課題を伴います。多くの企業では、マルチベンダーのフェイルオーバーのレベルであっても、冗長でフェイルセーフなシステムを構築するコストは、一時的なダウンタイムのコストよりも高いと考えられています。

しかし、障害には、一時的な業務中断にとどまらない、見えにくいリスクも存在します。その一つは、Web インフラベンダーのサービス機能低下が、同じベンダーが提供するセキュリティサービスに及ぼす影響です。これらのサービスは、障害が発生しているのと同じインフラで稼働している可能性があります。

良い例の 1 つ（唯一の例ではありません）は、分散型サービス妨害（DDoS）防御システムの可用性です。

補足：Akamai は、インターネット・サービス・ベンダーであるとともに、DDoS（およびその他の）セキュリティソリューションも提供しています。🙂

このブログ記事では、複数の防御テクノロジーを並行して稼働させ、かつ一部は共有インフラで運用する場合の、障害という難問への対処方法について説明します。この情報は、セキュリティポスチャに関する疑問を整理し、選択肢を評価し、真に回復力があり高可用なセキュリティポスチャを構築するための適切なパートナーを特定する際に役立つと考えています。

答えはいくつかの要因に依存しますが、確かに届くことがあります。広範囲あるいはグローバル規模であっても、障害が本当に「完全」であることは稀です。多くの場合、コンテンツ・デリバリー・ネットワーク（CDN）、負荷分散、DNS などを提供する大手インターネット・インフラ・サービス・プロバイダーのシステムの機能低下が原因です。

これらのインシデントはケースによって大きく異なり、すべての地域、ネットワーク、サービスで同時に発生することはほとんどありません。障害中にプロバイダーまたはその顧客に対して DDoS 攻撃が仕掛けられた場合、ルーティングが途絶しているためすべての攻撃トラフィックが届くわけではありません、影響が及ぶ可能性は高いです。

ベンダーのバックエンドが原因で Web サイトが利用できない場合でも、同時に DDoS 攻撃が重なると、最悪のシナリオの一つとなります。 

特に危険なのは、システム停止中にインフラ・サービス・プロバイダーを一時的に除外して、オンライン状態を維持しようとした場合です。脅威アクターは DNS の変更を検知し、その切り替えによって、標的が保護レイヤーのほとんどまたはすべてを排除したことを把握できます。 

このリスクがあるにもかかわらず、システム障害時に企業はよくこのような切り替えを行います。システム障害によってオフラインになった状態で同時に攻撃を受ける「二重ダウン」の状況になると、次のようなリスクが生じます。

お客様（またはベンダー）にとって、根本原因が特定しづらくなる。システム障害中の DDoS 攻撃は、根本的な技術的問題を隠し、テレメトリを歪めたり停止させたりして、トラブルシューティングのスピードを低下させることがあります。チームは、実際の問題を迅速に修正するのではなく、重複する症状を解決するために貴重な時間を浪費してしまうことがあります。

復旧がますます困難になり、時間もかかる。お客様またはベンダーがシステムの復旧を開始すると、攻撃トラフィックが復旧パスに殺到し、ウォームアップフェーズを過負荷状態にし、自動スケーリングを停止させたり、主要な依存関係をブロックしたりすることがあります。単純な再起動であったはずのものが、敵対的なトラフィックとの戦いに発展する可能性があります。DDoS 防御システム自体の復旧が妨げられる場合、これは深刻化する可能性があります。

運用上および財務上の損害が増大する。2 つの大規模インシデントが同時に発生した場合、より多くの人が緊急対応に動員され、サービスレベル契約（SLA）違反やインシデント対応のコストが増加します。さらに、ユーザーがダウンタイムだけでなく混乱に気付くことで、評判に大きな影響を与えることがあります。

将来の攻撃リスクを招く。障害時にお客様やベンダーの対応が遅れたり状況が把握できなかったりすることを DDoS 脅威アクターが見抜くと、次回も同じように弱いタイミングを狙われる可能性があります。ダウンタイム中であっても自社を守ることは、脆弱さではなく回復力を示すものです。

インターネット・インフラ・プロバイダーは通常、CDN、DDoS 防御、DNS など、同じプラットフォーム上で複数のサービスを運用しています。適切に設計されたアーキテクチャでは、これらのシステムは通常、相互依存しない分離された個別の仮想インスタンスとして動作し、1 つのシステムの不具合が他のシステムをダウンさせることはありません。

しかし、メディアの見出しやインシデントレポートを見ると、現実は異なり、ときには恥ずかしい事例も見受けられます。

壊滅的な連鎖反応を引き起こす相互依存は珍しくありません。あるコンポーネントのバグが別のコンポーネントに問題を引き起こし、さらに循環的なケースもあります。コンポーネント 1 がコンポーネント 2 に障害を発生させるが、コンポーネント 1 の動作継続はコンポーネント 2 に依存する、といったケースです。この場合、デバッグが困難なため、結果が壊滅的になることがあります。

そうした状況に巻き込まれた DDoS 防御システムは、同時に攻撃を受けると、完全にまたは部分的に機能しなくなる可能性があります。

これは、単にキャパシティ低下（つまり、システムが吸収できる攻撃トラフィックの量）の問題ではありません。巧妙な DDoS 攻撃ベクトルや手法を繰り返し使用する高度な DDoS 攻撃にインテリジェントかつ柔軟に対応するシステムの計算能力が低下することも、同様に危険です。

過去数週間、記録的な数の DDoS 攻撃がメディアの注目を集めていますが、過去 18 か月間に観測された中で最も影響の大きかった DDoS 攻撃は、単にトラフィックボリュームを使用するだけではない「スマート」な攻撃でした。

その代わりに、これらの高度な攻撃は、DDoS 防御システムが悪性トラフィックを適切に検知して緩和する能力をすり抜けることを目的としていました。これらの攻撃が成功すると、トラフィックが一気に流れ込む通路が開かれるため、大量のトラフィックは不要になります。

ネットワーク・セキュリティ・チームにとって重要なポイントが 1 つあるとすれば、それは、DDoS に対する従来のアプローチを進化させる必要があるということです。ごく最近まで、DDoS 攻撃と DDoS 防御は、キャパシティを巡る「優勢を競うゲーム」と見なされていました。

さまざまな企業が報告した最近の記録的な攻撃を考えると、防御キャパシティは依然として重要ですが、ネットワークセキュリティ戦略を成功させるための唯一の基盤ではなくなっています。

DDoS 防御システムでは、インフラやリソースを他のインフラサービスと共有することが問題になる場合があります。効果的なセキュリティには、エンタープライズグレードの回復力と可用性を念頭に置いて最初から構築されたクリーンで高度なアーキテクチャが必要です。

このような問題を回避する方法の一つが、専用の独立した単一目的の DDoS インフラです。これが Akamai で採用しているアプローチです。 

このアプローチには、専用の防御キャパシティを迅速に拡張するのが難しいといった課題があります。それでも、私たちは常に、地球上で最も重要なワークロードとブランドを保護することに重点を置いており、このアーキテクチャにより高い可用性と堅牢性を実現しています。

定期的に停止したりオフラインになったりするシステムや、高度な攻撃によって容易に打ち破られる可能性のあるシステムは、無意味です。Akamai は、SLA の一環として書面で提供するだけでなく、実際のシステムでも DDoS ソリューションにおいて 99.99% のネットワーク接続アップタイムと 100% のプラットフォーム可用性を達成することを目指しています。この目標が、当社の設計とアーキテクチャを推進しています。

プラットフォームを進化させ続ける中で、当社は、回復力とアップタイムをさらに向上させる新しいハイブリッドアプローチに移行しています。今後の動向にもご注目ください。

これは普遍的な真実です。どんなシステムにも、いずれ障害が起こり得ます。最も信頼性の高いインフラであっても、障害の影響を受ける可能性があります。それが私たちにも当てはまることを、私たちは知っています。

Akamai は、可能な限り最高の信頼性と回復力を備えたソリューションとサービスを設計しています。一般的に、これらは、マルチベンダー、マルチクラウド、オンプレミス、ハイブリッドのシナリオをサポートするように設計されているため、他のベンダーとのフェイルオーバーを含め、ほぼすべての組み合わせでフェイルオーバーとバックアップのシナリオを実現できます。

当社の設計目標は、業界最大のグローバル企業に適した、最も重要なアプリケーションとワークロードに対して、最高レベルの回復力をサポートするテクノロジーを提供することです。