パブリックネットワークインフラストラクチャを保護するための新しいモデル
クラウドベースのセキュリティに多層防御を実装
攻撃者は、ますますパブリックネットワークインフラストラクチャを標的にすることが増えています。2024年初頭、このインフラストラクチャに対する長年の脅威であったDNSベースの分散サービス妨害(DDoS)攻撃は、前年比で80%増となりました。ランサムDDoS攻撃も、1年間で前四半期比増となりました。全体として、2024年半ばの時点でDDoS攻撃は前年比20%増となっています。
これらの攻撃は、顧客向けのモバイルアプリやパートナーポータルから、 VPNサービス、電子メールまで、さまざまな主要アプリケーションやサービスを危険にさらしています。さまざまなタイプのDDoS攻撃は、運用の混乱だけでなく、重大なデータ漏洩を引き起こす可能性もあります。
従来のハードウェアファイアウォールやその他のオンプレミスアプリケーションは、この状況に対応するのに苦労しています。これらのシステムには重大な制限があり、組織が脆弱になる可能性があると同時に、セキュリティ管理を複雑にします。
パブリックネットワークインフラストラクチャを保護するために、組織はこれらのレガシーシステムの範囲を超えて移行する必要があります。最新のクラウドベースのセキュリティ戦略を採用した企業は、攻撃を阻止し、この重要なインフラストラクチャを稼働させることで、より多くの成功を収めています。
ハードウェアベースのセキュリティアプライアンスの限界
今日の企業は、さまざまな脅威からパブリックネットワークインフラストラクチャを保護しなければなりません。攻撃者は、パッチの開発またはインストールの前に、将来悪用される可能性のある脆弱性を見つけるために偵察やポートスキャンを行うことがあります。
また、多くの企業がさまざまな種類のDDoS攻撃を経験しています。たとえば、帯域幅消費型DDoS攻撃は、膨大な量のトラフィックを送り込んで処理させます。プロトコル型DDoS攻撃は、SYNフラッドなどの手法を使用してセッション数を過負荷状態に陥れます。また、アプリ層DDoS攻撃は、アプリ層プロトコルとの通信を使用してサービス拒否を引き起こします。
従来のファイアウォールなどのハードウェアベースのソリューションでは、これらの脅威から適切に保護することはできません。第一に、可視性が限定的です。すべての企業トラフィックを見ることができません。
第二に、容量に限りがあって非弾力的であるため、帯域幅消費型の脅威に簡単に拡張できないことを意味します。たとえば、2023年2月、 Cloudflareは数十件の超大規模な帯域幅消費型DDoS攻撃を検知しました。最大のものはピーク時に毎秒7,100万リクエストを超え、これは当時史上最大の攻撃でした。攻撃の標的となったのは、人気のゲーミングプロバイダー、暗号資産会社、ホスティングプロバイダー、クラウドコンピューティングプラットフォームでした。ほとんどの帯域幅消費型攻撃はこのように大きくありませんが、従来のハードウェアベースのソリューションでは、この規模のほんの一部��の帯域幅消費型攻撃にも対処できません。
ファイアウォールの制限を補うために、企業はしばしば「ファイアウォールヘルパー」を追加します。アプリケーションを保護するために、 Webアプリケーションファイアウォール(WAF)などのオンプレミスアプライアンスを導入したり、スクラビングセンターを追加してトラフィックが組織に到達する前にフィルタリングしたり、ISPフィルタリングを採用して攻撃のトラフィックを吸収したりする場合もあります。
しかし、そうしたヘルパーは独自の問題を持ち込んでいます。ユーザーエクスペリエンスを低下させ、管理をますます複雑化する可能性があるのです。ヘルパーが物理的なアプライアンスとして実装された場合も、ハードウェアファイアウォールと同じ問題に悩まされる可能性があります。つまり、大規模な攻撃を阻止するために十分に拡張することができないということです。
クラウドベースのセキュリティに多層防御を実装
パブリックネットワークインフラは、多層防御セキュリティ戦略を採用するとより適切に保護されます。これらのレイヤーの1つは、企業ネットワークインフラストラクチャに到達する前に、着信トラフィックをフィルタリングします。そのフィルターは、静的なハードウェア機器をベースにしてはなりません。最大級の世界的攻撃にも対応できるように、動的にスケーリングできる必要が��あります。
クラウドベースのセキュリティは、このような脅威から保護するために、より柔軟でスケーラブルなリソースを提供できます。具体的には、クラウドネイティブのセキュリティとネットワーキングサービスを統合プラットフォームで提供するコネクティビティクラウドは、最新の階層型戦略に適切な機能の組み合わせを提供することができます。
コネクティビティクラウドのグローバルネットワークは、パブリックネットワークインフラストラクチャの防御の第一線として機能します。このネットワークは、脅威トラフィックを拡散・吸収することができ、企業が直面している問題の可視性を向上させます。例えば、 Cloudflareの場合、これまで記録されている最大のDDoS攻撃よりもはるかに大きい321 Tbpsのネットワーク容量を誇ります。
Cloudflareは、非常に高いパケットレートとHTTPリクエストレートを特徴とするDDoS攻撃も軽減しました。たとえば、2024年9月、Cloudflareは100件以上の超帯域幅消費型DDoS攻撃を軽減しました。その多くは毎秒20億パケット、毎秒3テラビット(Tbps)に達するものでした。最大規模の攻撃はピーク時に3.8Tbpsに達しました。
コネクティビティクラウドは、エッジで利用可能な追加のセキュリティサービスを提供して、多層防御を構築することもできます。ファイアウォールとDDoSフィルタリングは、帯域幅消費型攻撃などの既知の脅威や新たな脅威から保護します。アプリケーションセキュリティサービスは、 DDoS攻撃、不正利��用、サプライチェーン攻撃、ボット、詐欺からアプリとAPIを保護します。
コネクティビティクラウドサービスのコンポーザビリティは、必要とされる俊敏性と柔軟性を提供します。企業は、必要に応じてセキュリティサービスを追加または調整し、新たな脅威を防御し、ゼロトラスト戦略を展開することができます。
ネットワークとセキュリティの変革を進める
パブリックネットワークインフラストラクチャは、現代企業にとって不可欠ですが、アプライアンスベースのハードウェアソリューションでは適切に対処できない脅威に対して脆弱です。階層型クラウドベース戦略の基盤としてコネクティビティクラウドを導入すれば、従来型ソリューションの制限を克服することができます。あらゆる脅威をフィルタリングしてブロックし、ネットワークインフラストラクチャを効率的に保護し、外部公開されたネットワーク要件をサポートできます。
パブリックネットワークにおいて、従来のアプライアンスからクラウドベースのセキュリティへの移行は、より大規模なネットワークとセキュリティの変革を進める上でも役立ちます。より多くのネットワーキングとセキュリティをクラウドに移行することで、人、アプリ、ネット��ワークをより柔軟に接続できるようになります。また、進化する脅威から保護するために、新しいセキュリティ機能をより簡単に組み込むことができます。最終的には、こうした変革は、ITの複雑性を制御しながら、ビジネスの俊敏性を高め、イノベーションを促進することにつながります。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
コネクティビティクラウドがパブリックネットワークインフラストラクチャを保護する方法の詳細は、ホワイトペーパー『クラウド配信型ネットワーク保護の役割を理解する』をご覧ください。
記事の要点
この記事では、以下のことがわかるようになります。
パブリックネットワークインフラストラクチャに対する主な脅威
ハードウェアベースファイアウォールの限界
クラウドベースのセキュリティがパブリックネットワークの保護を強化できる理由