DDoS 対策

ネットワークエッジでの DDoS 対策

問い合わせ

Fastly の高帯域グローバル分散ネットワークは、DDoS 攻撃を緩和することが可能です。ネットワーク全体が DDoS のスクラビングセンターとして機能するので、セキュリティを保護するためにパフォーマンスが低下することはありません。悪意のあるリクエストがオリジンサーバーに近づく前に、ネットワークエッジでリアルタイムにブロックします。

DDoS 攻撃を効果的に阻止するエッジネットワーク

グローバルに分散された Fastly のネットワークは、悪質なトラフィックに対する高度な可視化とインサイトを通じて、増幅型攻撃からオリジンを守ります。セキュリティポリシーを即座に更新して悪意のあるトラフィックをブロックし、進化し続ける攻撃パターンの一歩先を行くソリューションを提供します。

大規模な攻撃にも対応できる帯域

DDoS 攻撃の規模が拡大する中、セキュリティ対策の規模もスケールアップする必要があります。233 Tbps 以上の容量を誇る Fastly のグローバルな分散型ネットワークなら、大規模な DDoS 攻撃にも対応できます。 

悪質なリクエストがオリジンサーバーに達する前にネットワークエッジでブロックできるので、安心してビジネスに専念できます。

より効果的な対応を可能にする優れた可視性

攻撃を受けている最中に大規模な HTTP(S) トラフィックを可視化するのは容易ではありません。トラフィックの急増がキャンペーンの効果によるものか、悪質なボットや DDoS 攻撃によるものかを見分けるのは至難の技です。Fastly の柔軟なリアルタイムログ機能を活用することで、正当なユーザーのアクセスを妨げることなく攻撃をブロックするのに必要なインサイトが得られます。

進化する攻撃に柔軟に対応

DDoS 攻撃の多くは、ブロックを回避するためにリアルタイムで進化しています。Fastly のエッジクラウドプラットフォームでは、即座にセキュリティポリシーを更新してグローバルに変更をプッシュできるため、プロアクティブに攻撃に対応できます。平均わずか13秒の速さで変更のデプロイが可能です。

主なしくみ

ネットワークレイヤー攻撃

Fastly は、お客様の Web サーバーとブラウザ間の双方向トラフィック (暗号化・非暗号化トラフィック) をすべて確認し、グローバルノードですべての非 HTTP/HTTPS トラフィックを自動的にフィルタリングしてレイヤー3およびレイヤー4に対する壊滅的な攻撃をブロックします。また Ping/ICMP フラッド、リフレクション/アンプ攻撃、トランザクションフラッド、リソース枯渇攻撃、UDP の悪用に対する保護対策も講じています。

アプリケーションレイヤー攻撃

Fastly のエッジキャッシュノードは実施ポイントとして機能します。複雑なレイヤー7攻撃からお客様のネットワークを保護するため、Varnish Configuration Language (VCL) を用いてルールを適用します。また、すべての HTTP/HTTPS リクエストを検査し、ヘッダー、Cookie、リクエストパス、クライアント IP、地理的位置など、クライアントおよびリクエスト条件に基づいて攻撃をブロックすることが可能です。アプリケーションまたは API のオリジンサーバーでデプロイ可能な Fastly の次世代 WAF (旧 Signal Sciences) は、レイヤー3とレイヤー4に対するビルトインセキュリティ機能を補完し、レイヤー7の保護をさらに強化します。

完全なコントロールを可能にする設定機能

Fastly のサービスは高度な設定が可能です。潜在的な DDoS 攻撃が検出された場合、コントロールパネルを使用、またはカスタム VCL をアップロードすることで、特定の URL やクライアントタイプ、地域、リクエストの種類をブロックできます。また必要に応じて、過去の設定履歴を利用して変更を素早くロールバックすることも可能です。

ddos attack icon

DDoS 対策サービス

Fastly の配信サービスには、DDoS 攻撃に対する基本的な保護サービスが含まれています。また、Fastly エッジクラウドサービスのアドオンとして、12か月間の DDoS 対策サービスもご利用いただけます。

迅速なオンボーディング

Fastly を初めてご利用のお客様でも、すぐに Fastly の CDN サービスに移行できるようサポートします。

緊急時のデプロイ設定サポート

即座に攻撃をブロックできるよう、Fastly はサービスマップの設定やフィルターポリシーの作成をサポートします。

継続的な対策サポート

Fastly チームは、進化する攻撃または新たな攻撃に対応するカスタム VCL フィルターを作成し、悪質なトラフィックを隔離します。

インシデントレスポンスプラン

Fastly では攻撃が発生した場合に備え、お客様、スタッフ、 Fastly 間のコミュニケーションおよびエスカレーションのプロセスを示すインシデントレスポンスプランを提供しています。プランには、攻撃時または事前に VCL に挿入可能な DDoS フィルターなど、対策や防御の詳細についても記載されています。

「Fastly の DDoS 対策機能のおかげで、さまざまなセキュリティ脅威から守られながら迅速にスケールアップすることができます」
Tom Hayman
Head of Platform Engineering

DDoS 対策機能

柔軟な設定
オリジンシールドの活用

Fastly のパワフルなオリジンシールド機能は、特定の POP をオリジンサーバーの「シールド」として指定して古いコンテンツのリクエストを処理することで、コンピューティングリソースを最大限に活用できるようにします。

Fastlyキャッシュ IP 空間へのアクセス

Fastly では、CDN からオリジンサーバーへトラフィックを送信する際にキャッシュが使用する IP アドレスをお客様が確認できるよう、API エンドポイントを提供します。それにより、Fastly のキャッシュトラフィックのみがリソースにアクセスできるように、オリジンでファイアウォールを更新することが可能になります。

カスタム DDoS フィルターの作成

Fastly では、カスタム VCL をアップロードし、特定の URL やクライアントタイプ、地域、またはリクエストの種類をブロックして DDoS 攻撃に迅速に対応できます。

保護対策
リフレクション/アンプ攻撃 (DRDoS)阻止

分散反射型 DoS 攻撃 (DRDoS) は、攻撃者がオリジンになりすましてレスポンスリクエストを一斉に送信することで、ネットワークに過負荷をかけ、ダウンさせる手口です。

UDP悪用する Ping/ICMP フラッド攻撃を阻止

Ping フラッド攻撃 (別名 ICMP フラッド攻撃) は、ネットワークに大量の ICMP エコーリクエストを送信することで、送受信帯域に悪影響をもたらします。

レイヤー3、4、7の保護対策

Fastly の DDoS 対策では、ネットワークレイヤー (レイヤー3および4) とアプリケーションレイヤー (レイヤー7) の両方で、悪質なリクエストにリアルタイムで対応して保護します。

こちらもご覧ください

データシート

DDoS 対策データシート

ビデオ配信

DDoS 対策サービスでビジネスを保護

データシート

DDoS 対策に関して最もよく寄せられるご質問と回答

データシート

Fastly レスポンスセキュリティサービス

攻撃の可能性があるアクセスに対して十分な対策を講じ、迅速に対応できる環境を提供する、次世代 WAF をご利用のお客様向けのサービス