• ユーザ導入事例

ソフトバンクテレコム

ソフトバンクテレコムがDefenseProを採用し
「ULTINA Internet」ユーザ向けにDDoS検知・防御サービスを提供


POINT

  • トラフィックの自動学習と複数の指標に基づく精度の高い振る舞い検知
  • 大規模化するDDoS攻撃に耐え得る処理性能の高さ
  • 利用者の増加に合わせてパフォーマンス拡張可能な“OnDemand Switch”
  • 今後普及が見込まれるIPv6への対応

DDoS攻撃の増加からWAN回線を守るDDoS検知・防御サービス

ソフトバンクテレコム株式会社は、固定電話網「おとくライン」や固定データ通信回線などを提供し、ネットワーク通信サービス事業を展開している。ビジネスの中心となっているのは法人向けのサービスだ。

近年、データ通信回線の提供に当たりいくつかの問題が生じていた。DDoS攻撃が頻繁に行なわれるようになり、顧客企業のネットワークが攻撃にさらされてることが増えてきたのだ。DDoS攻撃等の標的となってしまった場合、攻撃を受けている企業側の対処には限界がある。自社ネットワークに防御装置を設置すればサーバや社内の機器を守ることはできるが、自社より上位の部分については対策の施しようがない。DDoS攻撃により帯域を消費されてしまえば、WAN回線は本来の役目を果たせなくなる。企業のWebサイトに閲覧障害が生じ、オンラインビジネスを営む企業の場合には大きな営業機会損失を招く。IP電話を採り入れている企業では、日常的なコミュニケーションにさえ支障をきたす恐れがある。

「こうした問題に、サービス提供者としてできることをしていかなくてはならないと考え、オプションメニューとしてDDoS検知・防御サービスの提供を始めました。2009年のことです」

ソフトバンクテレコム株式会社 営業開発本部の安部 博文氏はそう言い、DDoS検知・防御サービスを紹介してくれた。インターネット接続の契約者が利用できるオプションサービスで、ソフトバンクテレコムのネットワーク側にセキュリティ製品設置し、より上位でDDoS攻撃を検知、防御する。攻撃はソフトバンクテレコムのネットワーク内で防御され、ユーザの帯域を消費せず、通常の通信環境を維持できる。

DDoS検知・防御サービス開始当初に利用していたセキュリティ製品は、必要な機能を備えてはいたものの、ベンダから販売停止が発表され、ソフトウェアアップデートの期間が限定されることになった。セキュリティ製品は、次々と現れる脅威に対応し続けなければならないので、最新アップデートの提供が約束された製品でなくては高い効果を得られない。そのため、販売停止の発表からすぐに機器のリプレースが検討された。リプレースのための機器として選ばれたのが、Radware DefenseProだ。

安部 博文 氏

ソフトバンクテレコム株式会社
営業開発本部
ビジネス開発統括部
法人データサービス部
インターネットサービス課 課長
安部 博文 氏

検知精度の高さ、処理能力の高さ、IPv6対応などが製品選定の要件に

既に稼働中のサービスを継続させるため、ネットワーク利用者の使用感を変えないことが、製品選定に当たっての要件のひとつとなった。その上で、最新のネットワーク事情に合わせた性能を持っていなければならないと、ソフトバンクテレコム株式会社 ネットワーク本部の松本 欣也氏は語る。

「サービス開始当初に比べてDDoS攻撃の通信量は増え、今では5~6Gbpsにもなっています。これは今後も増えていくでしょう。新たに選定する製品はそれらを漏らさず検知し、防御できるだけの処理能力が必要です。また、IPv6への対応も必須要件に挙げられました」

これらの要件に基づき、SIerから勧められたのがDefenseProだった。DefenseProのOnDemand Switchプラットフォームは最大12Gbpsのスループットを実現。セキュリティ処理専用ハードウェアも搭載しているので、攻撃への対処による負荷が、正常なトラフィックを阻害することはない。さらにRadwareの"Pay-as-you-grow"アプローチにより、利用者の増加に合わせて必要なスループットへ段階的な投資が可能だ。もちろん、IPv4アドレス枯渇により喫緊の課題となっているIPv6にも対応している。

「競合製品もいくつか検討しましたが、既存のネットワーク構成に合わなかったり、日本で手厚いサポートが受けられる体制が整っていなかったりするものばかりでした。サービスとして提供する以上、適切なサポートが受けられるのは外せない要件です。また、導入後の運用負荷が大きい製品も、サービスコストを増大させ、サービス料金に反映されてしまうので避けなければなりません」

処理能力に満足できる製品であっても、運用が大変な製品もあったとソフトバンクテレコム株式会社ネットワーク本部の今村 純一氏は言う。ネットワークの利用方法は常に変化しており、攻撃の手法も進化を続けている。こうした環境の中、正常なパケットと攻撃パケットを見分ける閾値を手動でチューニングし続けるのは、大きな管理負荷を生んでしまう。DefenseProなら自動学習によりこれらを自動的に設定、最適な状態でネットワークを守り続ける。

今村 純一 氏

ソフトバンクテレコム株式会社
ネットワーク本部
ネットワーク戦略推進部
担当課長
今村 純一 氏

松本 欣也 氏

ソフトバンクテレコム株式会社
ネットワーク本部
ネットワーク戦略推進部
Wi-Fi企画推進課
松本 欣也 氏

自動学習による振る舞い検知の精度の高さを実感

DefenseProは2010年10月にソフトバンクテレコムのネットワークに設置され、同年12月から本格稼働している。松本氏によれば、これまで使ってきた既存製品に比べて「振る舞い検知」による攻撃検知の精度が高く感じられるという。

「以前使っていた製品にも自動学習機能があり、細かい学習パラメータを持っていました。しかし攻撃を検知する基準はパラメータの閾値だけで、誤検知も少なくありませんでした」

正常なトラフィックの状態を学習し、その範囲から外れた場合に攻撃とみなす基本的な仕組みにおいて、以前の製品ではチェックする指標のうちひとつでも閾値を超えると攻撃とみなされる。例えばイベントサイトのように特定の期間にトラフィックが大きく変化するような場合に、誤検知が発生する。

一方DefenseProは複数のパラメータの相関関係を考慮し、攻撃かどうかを判断する。攻撃とみなしたトラフィックについて詳細なリアルタイムシグネチャを作り、類似の正常なトラフィックと区別し、防御する。たとえば、同じIPアドレスへの通信であっても、正常なリクエストはサーバへ通し、攻撃パケットのみをシャットアウトする。ビジネスを止めることなく、サーバやネットワークへの攻撃だけを止めることができる。振る舞い検知を謳う製品は多くあるが、検知や防御の判断は単一の閾値に頼る場合が多く、誤検知の懸念はぬぐえない。それらの製品とは違い、正規のトラフィックを保護し、悪意ある通信のみを防御できるのがDefenseProの最大の強みだ。

また、セキュリティを守る要ともなる製品であり、機能と並んで安定性にも厳しい要求がつきつけられる。DefenseProはサービスプロバイダが提供するサービスとしても十分な安定性を持っており、その点でも安心して使えていると安部氏は認めている。

システム構成イメージ

  • 拡大します

複雑化、高度化するネットワークの安全性確保にDefenseProが貢献

運用している立場として検知精度の高さを感じるものの、使用感が変わらないよう細心の注意を払ったため、機器の変更を利用者が感じることはないだろうと松本氏は語る。しかし社内、特にエンジニアからは機器変更を前向きに受け入れる声が聞かれると言う。

「ソフトバンクテレコムでは、ご依頼に応じてお客様のネットワーク構築も行ないます。そうした現場ではDefenseProがよく使われており、お客様からの評価も高く、社内のエンジニアの信頼も厚いようです」

今後の展望や戦略について安部氏は、ネットワークを利用するためにセキュリティが欠かせない要件であることは確かだと語る。

「ネットワークはビジネスの推進に欠かせないものになっています。コミュニケーションだけではなく、実際のビジネスをオンラインで行なっている企業も多くあり、安心して使えるインフラが求められています。しかし一方で、ネットワークは複雑化、高度化しており、ユーザ企業が自身でセキュリティ強化に取り組むのは敷居が高くなっているとも感じます。オンラインビジネスの安全性を高めるために、ネットワークを提供するサービスプロバイダ側で、セキュリティを強化したサービスを提供していかなくてはならないでしょう」

安部氏はセキュリティを確保し、安全性を高めることがこれからのサービスプロバイダの役割の一つになるだろうと語り、DefenseProはそのために大きな役割を果たしてくれるだろうと期待している。ユーザに安心してネットワークを使ってもらうためのソフトバンクテレコムのセキュリティ向上への取り組みは、今後も続いていく。

DefensePro

ネットワーク上の振る舞いから、統計学的分析で悪意あるアクセスを検知し、そのトラフィックを遮断するシグネチャを自動生成する動的シグネチャ方式を採用。人的管理や運用は不要、DoS/DDoS攻撃やゼロデイなどの攻撃に対する防御を実現します。

ソフトバンクテレコムとは

ソフトバンクテレコム

ソフトバンクテレコム株式会社は固定電話、固定データ回線のサービスを提供している。ソフトバンクテレコムやソフトバンクBBなど、ソフトバンクグループとして総合的な通信サービスを提供できるのが強みだ。データ回線だけではなくGoogle Appsと連携するクラウドサービスも提供するなど、ビジネスに必要なオンライン環境全般を支えるサービスラインナップを持つ。

●本社所在地:
〒105-7316
東京都港区東新橋1-9-1
●事業概要:
電気通信事業等
●導入時期:
2010年8月
●URL:http://www.softbanktelecom.co.jp/

<