イベントレポート

IETF100 Update Meeting

DDoS対策を組織間で連携・自動化する――DOTS

 昨年末の2017年12月15日、Internet Society日本支部(ISOC-JP)と一般社団法人日本ネットワークインフォメーションセンター(JPNIC)の主催による「IETF報告会(100th シンガポール)/ IETF100 Update Meeting」が都内で開催された。この報告会は、IETFミーティングにおける旬の話題や議論の動向などを広く知ってもらうことを目的としたものである。

 今回は、そのIETF報告会から興味深い話題をいくつか取り上げてレポートする。なお、今回は話者の了解を得て、使用されたスライドから図版を取らせていただいた。興味を持たれた方は、記事の最後で示すISOC-JPの当該ページにアクセスし、その資料をご覧いただきたい。

 近年においてDDoS攻撃は日常的なものとなり、大規模化と洗練化が進んでいる。2016年に起ったDynのサービスインフラに対するDDoS攻撃では1.2Tbpsが観測されたという話もあるが、いまや数百Gbpsは珍しくもないという状況だ。このような状況になると、単独のDDoS対策では対応が難しく、組織間でDDoS対策を連携することが重要になる。DDoS攻撃に対しては、攻撃を受けているネットワークではなく、外部のネットワークにおいてそのネットワークに流入する攻撃パケットを落とすのが理想的だからである。

 「DOTS(DDoS Open Threat Signaling:ドッツ)」は、組織間でDDoS対策を連携・自動化する仕組みを実現するために、IETFで策定中のプロトコルである[*1]

 NTTコミュニケーションズ株式会社の西塚要氏による「DOTS(+Hacathon報告)」では、IETFハッカソンにおいて、OSS実装(go-dots)とベンダー実装(英セキュリティコンサル会社であるNCCグループによる)の間で最初の相互接続試験が実施されたこと、プロトコルへの要求事項をまとめたドラフトがWGラストコールになったことなどが報告された(図4)。

図4 IETF100におけるDOTS関連進捗まとめ

 ここでの注目点は、「異なる実装を用いて相互接続試験が実施され、シグナルチャンネルについて、実際に実装間で通信ができる(つまり、DDoS攻撃を防御するアクションができる)ことが確認できた」(西塚氏)という点であろう。報告も、実際に相互接続ができたことを重点的に説明していた。実際に動いたという報告は、今後への期待を大きく膨らませる。

 さて、ではDOTSが普及するとどのようなメリットが得られるのであろうか。西塚氏は、その点について「パケットフィルタアウトソーシング(攻撃パケットの廃棄を外部に依頼する)」と「セキュリティオートメーション(攻撃の検知・防御のアクションに人手を介さず、かつ、対策までの時間を短くする)」にあるとしている(図5、図6)。

図5 DOTSの利用シーンについて
図6 DOTSプロトコルの動作とメリット

 現状では、人が動くことを前提に、DDoS攻撃に対する対処法を実行可能なかたちでマニュアル化し、常に監視をしつつ攻撃に備えるしかない。しかも、他のネットワーク管理者と連絡を取り合うためにはメールや電話などのレガシーな方法しか頼るものがなく、管理者同士お互いの信頼関係が対応に大きく影響するという事実があったりもする。時差などの理由により相手の組織が営業時間外であったり、担当者不在であったりすると初動の遅れにつながるだろう。そう考えた場合、対応を自動化できるというメリットはとてつもなく大きい。

 多くのインターネット利用者にとっては直接的ではないかもしれないが、サービスを提供する側から見れば、サーバーが設置されているネットワークがDDoS対策をきちんと取れているかは重要である。インターネットを利用してビジネスをするのであれば、自身が提供するサービスが止まらないようにしなければいけないからだ。そのためには、サーバーやソフトウェアの安定性だけでなく、使用するネットワークの強靱さも重要な選定基準にする必要があるのではないだろうか。

[*1]……DOTSについては、西塚氏自身がQiitaに解説を書いている。
DOTSプロトコルを使ってDDoS対策を自動化してみたい!