Posted at
gloopsDay 10

ソーシャルゲーム会社のDDoS対策(通信回線編)

More than 1 year has passed since last update.


:speaking_head:はじめに

DDoS対策ソリューションを通信回線(WAN)の観点から大手の通信キャリアを比較しましたが、サービス内容がばらばらで選定するのに大変苦労します。ポイントをまとめたので選定の参考にしてください。

通信キャリア=NTTやKDDI、SoftBankなどの通信回線を提供している会社。キャリアと言ったり大手通信キャリアとか言ったりします。


:office:DDoS対策ソリューションとは

今さらですが、DDoSとは大量のデータを一方的に送りつけることで、通信回線やネットワーク装置が処理できないほどの負荷を与えダウンさせる攻撃です。これを通信キャリア側で防ぐサービスがDDoS対策ソリューションです。ホームページや各種サービスを公開していれば、サービス停止状態にさせられます。昨今、10Gbps以上のデータを送り付ける攻撃事例も増えてきて話題になりました。

例えば、こんな攻撃を防ぎます。


  • 物量攻撃


    • TCP SYNフラッド

    • UDPフラッド

    • ICMPフラッド

    • 不正パケット送信

    • あらかじめ決めた閾値を超えた通信(bpsやppsで指定)



  • アプリケーションレイヤ攻撃


    • HTTP GET攻撃

    • HTTP POST攻撃
        など




:pencil2:大手通信キャリアのサービス比較

比較してみると各社のサービス内容がバラバラなのがわかります。


  • NTTコム


    • サービス内容は充実している

    • 10G回線に対応

    • DDoS攻撃をうけた際に、自動で防御してくれない。都度都度、管理Webから指示が必要

    • 防御対象ネットワークの登録は、ネットワークアドレス単位で指定できる

    • 攻撃受けた際の通知メールに詳細が記載される(送信元・送信先のIPや通信ポートなど)

    • 攻撃受けるとキャリア側で通信迂回され、クリーニングされた通信のみ届く

    • 攻撃トラフィックへの従量課金あり

    • NTTアメリカが運用、サポート窓口はアメリカ・日本にもある

    • 専用の終端装置が不要(ネットワークの構成変更不要)



  • IIJ


    • サービス内容は充実している

    • 10G回線に対応

    • DDoS攻撃をうけた際に、自動で防御してくれる

    • 防御対象ネットワークの登録は、G-IP 32個ごと。(32個単位で契約必要となる)

    • 攻撃受けた際の通知メールに詳細がない

    • 攻撃トラフィックに対する従量課金なし

    • 終端装置を設置するためネットワークの構成変更必要

    • 任意のIPフィルタ設定可能



  • ソフトバンク


    • 細かな制御ができない(ブラックホールのようなイメージ)

    • 他社と比べて後発?サービス内容が充実していない

    • 料金体系シンプル



  • Akamai


    • 利用している通信回線に依存しない

    • ドメイン数と通信量に応じて月額利用料が決定される

    • 世界的に導入実績が豊富

    • 構成変更不要のため導入が容易



比較表にすると...

比較項目
NTTコム
IIJ
SoftBank
Akamai

利用回線に依存するか
×(する)
×(する)
×(する)
○(しない)

月額利用料
△(攻撃トラフィックに従量課金)
○(攻撃トラフィックへの課金なし)
○(攻撃トラフィックへの課金なし)

サービス内容の充実



10G回線対応

○(個別対応)

自動防御
×(メールか電話で防御の依頼可能)


管理Web
△(防御指示用とログ閲覧用の2つに分かれている)
○(ログ閲覧用のみ)
○(ログ閲覧用のみ)
未確認

利用に伴う構成変更
○(キャリア側で迂回する構成)
×(ユーザ側に終端装置必要)
?(不明)
○(不要)

その他メリット
防御IPはネットワーク単位で登録可能
個別にIPフィルタ設定可能
料金体系シンプル
世界的に導入実績が豊富

評価:○,△,×(評価はあくまでうちの会社に当てはめた場合)

通信回線に依存:現在、ソフトバンクの回線を使用している場合はソフトバンクのDDoS対策ソリューションしか利用できない


:star:弊社の要件


  • ゲームをまもりたい(G-IP20程度)

  • 自動で防御を機能させたい

  • 攻撃を受けた場合、回線キャリア側で通信を遮断し、自社ネットワークへ影響を与えない

  • 攻撃を受けたゲームだけを遮断し、他のゲームは利用可能にしたい

  • 管理Webが使いやすい

→これらの要件を満たすのはIIJのようだが、それで選んでしまってよいのか...


:point_up:どのように選べばよいか?



  • 自動で防御させるか... すぐに攻撃を止めたい場合には、自動防御できる通信キャリアをお勧めします。


  • 金額で比較するとしたら... 相談しだいである程度融通(値引)してくれるため、どこを選んでも金額的に大差ない可能性があります。複数社見積もりとってみてください。通信回線帯域や、利用しているサービス数(G-IP)により変動する場合があるため、なるべく詳細な情報で見積もりとるとよいです。


  • 構成変更が許容できるか... 構成変更が必要な場合があります。Akamaiは不要ですが、回線終端装置(モデムのようなもの)をユーザ側に設置必要かどうかが通信キャリアによって異なります。回線終端装置が必要な場合は、構成変更・設計変更が発生し、通信断も考慮する必要があります。


  • 攻撃トラフィックへ課金されるか... 攻撃トラフィックに対する従量課金がある場合があります。課金される場合があるなんて想定してないのが一般的な認識だと思うので注意してください。利用開始する前に、攻撃受けた場合の金額をシミュレーションしておきましょう。従量課金の計算式も事前に開示してくれますので。


構成に関する補足

NTTコムの場合(公式HPより)

Ncom_GIN_DDoS対策概要図.gif


※NTTコムの場合は、キャリア側でDDoS対策用の設備が用意されるため、既存構成への変更が不要となります。IIJの場合は、上図で例えると、「お客様ルーター等」に回線終端装置を接続する必要があります。(構成にもよるので確認必要)


:point_up_tone3:そもそもですが利用している通信回線に依存します


  • ちなみに原則として、利用している通信回線に依存するため、現在ソフトバンクの回線を使用していたら、ソフトバンンクのDDoS対策ソリューション選ぶしかない。という現実があります。


  • 利用している通信回線に依存しない選択肢もあります。Akamaiのように利用している通信回線の上流(インターネット)側でDDoS対策することも可能なので、そちらでもOKです。Akamaiの場合はドメイン数および通信量にもどづいて課金されるため、ある程度の規模がないと、費用対効果がでません。


:speaking_head:まとめ

お金をかけることが可能なら、ネットワークの構成変更が不要、実績豊富なAkamaiという選択肢がよいです。しかし高額となる場合があるためしっかりと検討が必要です。複数社を比較し、自社のサービスに適した防御機能を保有しているか、設計面ではどのような通信経路・構成となるか、運用面では管理Webで取得できる情報は何かなど、複数の観点から選定することが大事です。

 どのくらいの頻度で、どのくらいの規模の攻撃を受けるかなんて想定できません。攻撃受けた場合の影響(損失)の観点からも検討してみてはかがでしょうか?