Akamai の Behavioral DDoS Engine:現代の DDoS 緩和における大きな躍進
進化する DDoS 脅威の状況
デジタルインフラが拡大すると、 分散サービス妨害(DDoS) 攻撃によってもたらされる脅威も増加します。かつては単なるボリューム型攻撃だったものが、アプリケーションレイヤーの最も脆弱な側面を標的とする、極めて高度なマルチベクトルキャンペーンへと進化しました。トラフィックのスループット、静的しきい値、シグニチャーに依存する従来の防御メカニズムは、そのような複雑な脅威に対して効果的ではなく、より適応性の高いインテリジェントなアプローチが必要です。
DDoS 攻撃の主なトレンド
- マルチベクトル攻撃: 攻撃者は複数のベクトルを組み合わせて利用することが増えており、静的な防御によって攻撃を特定して緩和することが困難になっています。過去 18 か月間で 11 兆件以上のレイヤー 7 DDoS 攻撃 がハイテク産業、コマース、ソーシャルメディアにおいて記録されました。
- API の悪用: 企業はますます API に依存するようになっているため、攻撃者はこのエントリーポイントを悪用しています。2024 年だけでも、 1,080 億件の API 攻撃 が観測されており、その多くは DDoS ベースの攻撃です。
- 脅威の複雑化: 金融サービス業界では、 地政学的緊張が原因で、レイヤー 7 DDoS 攻撃が急増しています。この攻撃はボットネットや AI を使用してますます巧妙化しており、 欧州の銀行を標的とした攻撃が顕著に増加しています。
Behavioral DDoS Engine* の導入
このような進化する脅威に対処するために、Akamai は Behavioral DDoS Engineを開発しました。これは、攻撃パターンにリアルタイムで適応するソリューションである Akamai App & API Protector に追加された最先端の機能です。この革新的なエンジンは、企業が必要とする高度で持続的な DDoS 脅威からの保護を提供します。
ふるまい DDoS 緩和とは
従来の DDoS 防御のほとんどは、レートベースやボリュームベースの検知に依存しており、多くの場合、静的しきい値で設定され、フォールス・ポジティブ(誤検知)の影響を受けやすいです。一方、Akamai の Behavioral DDoS Engine はトラフィックパターンを継続的に学習し、攻撃をリアルタイムで特定して緩和しながら、正当なトラフィックの阻害を最小限に抑えられるようにします。
機械学習を使用して異常を監視することで、通常の急増(口コミでの情報拡散に起因するイベントなど)と高度な DDoS 攻撃を区別できるため、手動操作なしで正確な事前対応型の保護を実現できます。この適応型アプローチは、複雑な脅威に対するより効果的な防御を提供します。
ふるまい分析には以下が含まれます。
リアルタイムのトラフィック監視: このエンジンは常にトラフィックを監視し、リクエストを分析して、通常のアクティビティのベースラインを定めます。
機械学習モデル: 高度なアルゴリズムが通常のトラフィックパターンからの逸脱を分析し、脅威をリアルタイムで特定します。これにより、エンジンは異常なふるまいを迅速に分類して、必要な措置を講じ、人間の介入なしでわずかな脅威をも緩和できます。
正当なトラフィックの差別化: このエンジンは、正当なトラフィックの急増(口コミでの情報拡散に起因するイベントによって発生したものなど)と実際の レイヤー 7 DDoS 攻撃の違いを区別できます。レイヤー 7 DDoS 攻撃は多くの場合、高度に分散されており、正当なふるまいを模しています。
多層防御戦略を増強
Akamai の Behavioral DDoS Engine は多層防御戦略を増強し、従来のレートベースの検知アプローチを補完します。レート制限は依然としてトラフィックの管理に有効ですが、多くの場合、手動での調整が必要です。
Behavioral DDoS Engine は、高度な機械学習と Akamai グローバルプラットフォームからの知見(特に 1 日あたり 946 TB のセキュリティ・イベント・データ)により、脅威検知を自動化します。これらのツールを組み合わせることで、レート制限の精度とふるまい分析の適応性を兼ね備えたバランスの良いアプローチが実現し、複雑な DDoS 脅威に対する堅牢な保護が確立されます。
Web サイトや API のニーズに基づいてカスタマイズされた DDoS 防御
Behavioral DDoS Engine は高度なトラッキングと予測分析を提供し、トラフィックの発信元の国、クライアントの TLS パターン、ネットワークフィンガープリントといった動的なディメンションに関するトラフィックの傾向を監視します。この新機能は、各ホスト名および HTTP メソッドのトラフィックを分析することにより、各 Web サイトまたは API の固有のニーズに合わせて保護戦略を調整します。
この適応性により、顧客から求められた作業を増やすことなく、新たな脅威やセキュリティ調査結果を基に常にエンジンを最新の状態に保つことができます。また、このエンジンは脅威の進化に合わせてトラフィックのディメンションを自動で調整できます。その結果、シームレスなユーザー体験を維持しながらセキュリティを強化する堅牢な防御が実現します。
図 1 は新しいベースライン・トラフィック・レポートの例です。このレポートは、トラフィックのベースラインステータスと保護に関する重要な知見を示すことにより、ユーザーの信頼を高めます。
図 1:ベースライン・トラフィック・ステータスと保護に関する重要な知見を記載した Behavioral DDoS Engine レポート
このソリューションは、トラフィックの異常な急増を検知し、ベースライントラフィックから除外して、正確性と精度を確保します(図 2)。その結果、クリーンなトラフィックを使用して複数のディメンション別のビューが生成されます。各ビューは、GET、POST などのさまざまな HTTP 要求メソッドに合わせて調整されます(PUT、PATCH、DELETE などの一般的でないメソッドも含む)。
図 2:ベースライン正規化アクティビティに関する Behavioral DDoS Engine レポート
リスク選好に合わせた無干渉のアプローチ
Behavioral DDoS Engine には 3 つの保護レベルがあり、ビジネスリスク許容度とセキュリティニーズに合った最適なオプションを選択できます(図 3)。
図 3:ベースラインに対する感度レベルに関する Behavioral DDoS Engine レポート
Strict(厳格): わずかな異常にも迅速に対応します。トラフィックのわずかな逸脱が DDoS 攻撃の可能性を示唆する場合がある高セキュリティ環境に推奨されます
Moderate(中程度): (Akamai 推奨)バランスのとれたアプローチで、堅牢な保護を提供しつつ、誤検知のレベルを最適化します。多少のトラフィックの変動が予想されるほとんどの運用環境に最適です
Conservative(控えめ): トラフィックの大幅な逸脱や大きな変動を許容し、DDoS 防御が不必要にトリガーされないようにします
舞台裏:全体の仕組み
このソリューションはいくつかの重要な要素で構成されており、その全体を形成する上で各コンポーネントが不可欠な役割を担っています(図 4)。
- 検知エンジンは、トラフィックの多次元ビューを使用し、ベースラインジェネレーターからのインテリジェンスを活用して、DDoS 攻撃を特定します。
緩和エンジンは、ディメンションを組み合わせて使用し、ベースラインジェネレーターと脅威信号の両方からのインテリジェンスを活用して、DDoS 攻撃者を特定し、それに対処します。
プラットフォーム DDoS インテリジェンスヒューリスティックなどの脅威信号は、Akamai の広範なデータと Akamai の脅威リサーチチームの専門知識の両方を活用し、過去の攻撃データに基づいて DDoS 攻撃者に関する知見を提供します。
filler
ベースラインバリデーターは、ソリューションを微調整するために毎月数百件もの DDoS 攻撃を評価する不可欠なコンポーネントであり、AI ベースのチューニングに支えられています。
ノイズ/FP 軽減は、生データをベースラインジェネレーターとベースラインバリデーターの両方にとって価値のある知見に変換する機械学習モデルフレームワークです。
ベースラインジェネレーターは、2 週間にわたってクリーンデータを処理する主要コンポーネントです。さらに、最新の脅威調査結果を使用して、検知エンジンと緩和エンジンの複数のトラフィックプロファイルや設定を作成します。
トップクラスの有効性と精度
Behavioral DDoS Engine は、正当なユーザーへの影響を最小限に抑えながら検知精度を向上させることで、セキュリティを強化します。事業に影響が生じる前に脅威を予測して無力化することで、プロアクティブな緩和を行います。
2 つのケーススタディをご紹介します。これらのケーススタディでは、Behavioral DDoS Engine が業務効率の向上、手動操作の削減、既存のワークフローへのシームレスな統合によってどのようにセキュリティチームを支援し、保護を犠牲にすることなく、より合理化されたセキュリティ管理を実現するかについて説明します。[注:効果は、顧客が選択する感度設定とそれぞれのトラフィックベースラインによって変動する場合があります。以下のケーススタディの精度は、厳格な感度設定で観測されたものです。]
ケーススタディ 1:パリオリンピック中に発生した高度に分散されたレイヤー 7 DDoS を検知
ターゲットはチケット販売を行う Web サイトでした。これは高度に分散された攻撃で、839 のネットワーク上の 7,000 以上の IP アドレスから TLS ランダム化を使用して 14 億件もの HTTP GET リクエストを送信しました。Behavioral DDoS Engine は、99.95% の検知および緩和率を達成し、優れた精度を示しました。
ケーススタディ 2:アジア太平洋・日本(APJ)地域の E コマースのホームページを高度に分散された DDoS 攻撃から保護
この DDoS 攻撃は、ピーク時に 643 のネットワーク上の 5,000 以上の IP アドレスから TLS ランダム化を使用して 1 億 8,500 万件の HTTP GET リクエストを生成しました。Behavioral DDoS Engine は、99.50% の検知および緩和率を達成し、またしても優れた精度を示しました。
Akamai App & API Protector による DDoS 防御の新時代
Akamai の新しい Behavioral DDoS Engine は、現代の脅威防御における大きな飛躍であり、インテリジェントな事前対応型の保護を提供して、今日の複雑な脅威情勢に対応します。この革新的なテクノロジーは、検知精度を高め、手動操作を減らし、既存のワークフローにシームレスに統合されます。
さらに詳しく
Behavioral DDoS Engine の動作確認をご希望ですか?デモ、早期アクセス、Akamai がどのように DDoS 緩和戦略を強化できるかに関する技術的な調査については、ぜひ Akamai へお問い合わせください。
特典!高度なレイヤー 7 DDoS 攻撃に対する防御のレシピを入手できます
「 サイバーセキュリティシェフ:レイヤー 7 DDoS 回復力強化のための究極のレシピ集を作成する 」を今すぐダウンロードし、サイバーセキュリティ上の最新の脅威に先んじて対処するための知識とツールをチームに授けてください。
最新のレイヤー 7 DDoS 防御は、ダウンタイムを防止することだけでなく、ブランド、顧客、収益を守ることを目的としています。アプリケーションレイヤーの DDoS 攻撃に対するレート制限やふるまい DDoS 防御などの機能は、HTTP リクエストが適切に管理され、悪性トラフィックが緩和されるようにするために不可欠です。
* Behavioral DDoS Engine は現在、一部の顧客に提供されています。プラットフォーム全体のアクセスは 2025 年に提供開始される予定です。
