「SSL可視化」と「DDoS対策」のアプライアンス。新ブランドを立ち上げた狙いとは？

F5、新ブランド「Herculon」でセキュリティ専用機2製品を発表

2017年03月03日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

オンプレミス＋クラウドでDDoS対策を実現するDDoS Hybrid Defender

　もう1つの新製品、Herculon DDoS Hybrid Defender（以下、DHD）は、データセンターのインターネットゲートウェイに設置して、サイトへのDDoS攻撃の発生を検知し、DDoS攻撃の被害を緩和するDDoS対策専用アプライアンスだ。

Herculon DDoS Hybrid Defender（DHD）は、データセンターの入口でDDoS攻撃トラフィックをブロックする専用ハードウェア

　昨年は「Mirai」ボットネットを利用した数百Gbps～1Tbps規模のDDoS攻撃も観測され、さらにMiraiのソースコードが公開されるなど、あらためてDDoS攻撃の脅威が意識されるようになっている。Webサービスや業務が停止してしまうだけでなく、DDoS攻撃を“隠れみの”にして、同時に標的型攻撃が展開されたケースもあると、谷村氏は説明する。

　DHDは、データセンターの入口において通過するトラフィックのレイヤー3～7を監視し、マルチベクターの（さまざまな手法の）DDoS攻撃を検知して、正確にDDoS攻撃のトラフィックだけをブロックする。SSL化されたDDoSトラフィックも含め、専用ハードウェアで処理するため、大規模な攻撃にも強い。

　マルチベクターのDDoS攻撃検知を実現し、同時に誤検知を防ぐために、DHDではトラフィックの「ふるまい」を見ているという。谷村氏は、たとえば最近流行りつつある「Low & Slow」型のDoS攻撃は、従来のようにトラフィック量の変化を見ているだけでは検知できないと指摘する。Low & Slow攻撃（Slow HTTP DoS攻撃などとも呼ばれる）は、サーバーとのTCPセッションを意図的に引き延ばす（長時間占有する）ことで、他のユーザーがサーバーと通信できないよう妨害する攻撃手法であり、従来のDDoS攻撃のように大量のパケットを送りつける必要がない。

　このLow & Slow攻撃を正確に見極めるために、DHDでは一般的な「マシンラーニングによる通常時のトラフィック（ベースライン）の学習と異常（アノマリ）検知」「シグネチャベースでの不正トラフィック／アクションの検知」に加えて、「サーバー負荷状況の監視に基づく検知」も行う。これにより、Low & Slow攻撃のようにトラフィック量の変動が少なくとも攻撃として検知できると、谷村氏は説明した。

　なおDHDでは、外部クライアント側に送信されるWebトラフィックに独自のJavaScriptコードを注入し、その反応の有無でクライアントが正規のWebブラウザか、ボットかを判断するエンジンも取り入れている。

複数の視点からトラフィックを分析することで、DDoS攻撃を正確に検知し、誤検知を防ぐ

　さらに、大規模なDDoS攻撃に対しては、クラウドベースのスクラビングセンター（DDoS攻撃緩和サービス）も援用する。F5では一昨年から、グローバル5拠点でDDoS攻撃緩和を行う「F5 Silverline DDoS Protection」を提供しているが、DHDはこのSilverlineとの連携機能を備えている。

　具体的には、DHDが大規模なDDoS攻撃を受けていることを検知した場合に、Silverlineにすべてのサイトトラフィックを振り向け、Silverlineで緩和処理を行ったうえで、正当な（攻撃ではない）トラフィックのみをサイト側に転送する。これにより、DDoSトラフィックの大部分を発生元に近い場所でブロックすることができ、データセンターの回線がDDoSトラフィックで埋め尽くされるような事態を回避できる。

　谷村氏は、オンプレミスのDDoS対策製品とクラウドのスクラビングセンターの両方を1社で提供しているのはF5だけだと述べ、市場での優位性を強調した。

F5が提供するDDoS攻撃緩和サービス「Silverline」と連携し、攻撃の発生元により近いネットワークで攻撃トラフィックを排除

　なお、F5の旗艦製品であるADC「BIG-IP」もDDoS攻撃対策機能を備えている。BIG-IPとDHDのポジショニングの違いについては、「BIG-IPはアプリケーションごとに設置、保護する一方で、DHDはデータセンター全体の保護を行うもの」（谷村氏）と説明している。

セキュリティエンジニアに使いやすい製品、新規顧客層も狙う

　発表会終了後、今回新たにHerculonブランドを立ち上げた理由などについて、クーン氏と谷村氏へのインタビューを行った。クーン氏によると、Herculonブランドは、セキュリティ分野の専門エンジニアのニーズに対応する製品を設計、開発、提供するために立ち上げたブランドだという。

F5が新たなHerculonブランドで目指す製品ビジョン

　「BIG-IPなどこれまでのF5製品は、トラフィックマネジメントやロードバランシングといった機能を提供し、ネットワークオペレーションチームやネットワークアーキテクトが活用するものだった。90年代後半からは、そこにアプリケーション自体を防御するセキュリティ機能も盛り込んできたが、その設定に当たっては、ネットワークオペレーター寄りの用語がたくさん使われている」（クーン氏）

　そのため、セキュリティエンジニア向けに一からユーザーエクスペリエンスを見直し、よりシンプルかつ容易に導入／設定できるようにするというのがHerculonブランド製品の狙いだという。

　また新ブランドは、新規顧客の獲得も念頭にあるという。クーン氏は、特にSSLOは中～大規模の企業ネットワーク向けの製品であり、これまで中心だったデータセンターネットワーク向けの製品ではないことから、「新規顧客の獲得が強く見込める」（クーン氏）と語った。

　なお、今回のHerculonブランド第1弾製品においては、既存のBIG-IPとの連携機能は実装されていない。ただし、今後のロードマップとして製品間の連携も予定されており、たとえばHerculon製品が検知した攻撃者のIPアドレスなどの情報を、BIG-IPに共有する機能などが計画されている。

　加えて、Herculonブランドで投入する次の製品としては、WAF（Webアプリケーションファイアウォール）を予定しているとクーン氏は語った。「もちろんこのWAFにおいても、使いやすく、実装しやすいプロダクトを提供する」（クーン氏）。

■関連サイト