Interview
DDoS攻撃に10秒で対処
エッジ機能による利便性の向上とセキュリティの強化
SINET6では複数の回線を用意した際の冗長性の方法が増やされた。またDDoS攻撃に対して約10秒での対応も可能になった。新たな仕組みについて話を聞いた。

栗本 崇Takashi Kurimoto
国立情報学研究所
アーキテクチャ科学研究系 准教授
----SINET に接続する経路を複数用意した際の接続方式が追加されましたが、その狙いは。
今日ネットワークは、安定的にかつ途切れることなく提供する必要があります。SINET6 では、大学などからの回線を複数用意いただくことで、冗長性を持たせられるようにしています。大学などからSINETのデータセンター(DC)に引き込まれた回線は、シャーシ(筐体)に収められたラインカードに接続されます。それが1 本だけだと、障害が発生したときに通信ができなくなります。
SINET5 までは、2 つの接続方法を用意して回避できるようにしていました。1 つは、1 カ所のDC に2 本引き込んで、異なる2 枚のラインカードに接続する方法です。一方のラインカードが故障しても、もう一方で通信が維持できます。もう1 つの接続方法は、2 カ所のDC に接続する方法です。この方法なら、片方のDC で障害が発生しても、別のDC に接続した回線で接続は維持できます。ただし、異なるDC に対して回線を用意する必要があります。(SINET までの回線は利用機関が用意)、特に県外のDC に接続する場合は距離も長くなり非常に高価になってしまいます。
そこでSINET6 では、同じDC でも1 本はラインカードに、もう1 本は回線多重装置に接続し、別のDC にVPN[1]を張って接続できるようにしました。ラインカードと回線多重装置は別装置なので、一方に障害が発生しても通信を維持できます。回線のコストを抑えつつ、より高い冗長性を持たせられます。
----複数回線を用意して接続する大学は多いのですか。
最近は増えていて、特に規模が大きい大学ほど、複数接続しています。ただし、コスト面ではプラスになるので、1 回線は高速に、もう1 回線はバックアップ用に低速な回線を用意するところが多いようです。
エッジによるDDoS 攻撃[2]の早期遮断
----SINET6 で追加された機能、エッジ/ NFV について教えて下さい。
エッジ/ NFV(汎用のサーバー上でネットワーク・セキュリティ機器の動作を仮想マシンの上で動作させる)を11 拠点に配備しました。
SINET のエッジには2 つの意図があります。一つは文字通りエッジコンピューティングで、片道2ms(ミリ秒= 1,000 分の1秒)以内の非常にわずかな遅延を生かしたサービスを提供します。
もう一つがサービス提供基盤です。SINET のルータ[3]は安定的な動作が必要で、ルータへの機能追加は慎重に行う必要があります。そこで新しい機能をエッジ上に搭載することで柔軟に機能追加することが可能になります。例えば、ローカル5G 交換機能や、ルータでは実装していないVPN などを想定しています。
また、高速なファイル転送機能も実装する予定です。ユーザー間双方に専用のソフトを導入することでファイル転送を高速化できますが、エッジ/NFV にその機能を持たせることで、ユーザーはウェブブラウザを操作するだけで高速なファイル転送が可能になります。
----DDoS 攻撃に対する対策機能もエッジ上で動作させるのですね。
DDoS 攻撃では大量のデータを送りつけられることで通信ができなくなるなどの不都合が起きます。
従来DDoS 攻撃に対しては、大学などからの要請を受けて、攻撃のパケットを破棄する設定を人が行なっていたため、時間がかかりました。
攻撃通信は、意味のある通信と区別するのが難しいことに加え、短時間でシステムを壊して逃げていくものも増えています。早く検出して、しっかり止めるのが重要です。そこで、事前に指定していただいた宛先への通信を、インターネットとの接続点でサンプリング(1/1,000)し、エッジ上に用意したDDoS 検出・制御システムで監視し、攻撃を検知したら10 秒程度で攻撃パケットを破棄する機能を追加しました。実は、SINET5 のときから仕込んでいたものですが、これをSINET6 で本格導入しました。
ただ、大学によってはしっかりとDDoS 攻撃の対策、分析されているところもあります。SINET6 のDDoS 攻撃対策だけで充分というわけでもなく、組み合わせて利用してもらう位置づけと考えています。
[1]VPN
VPNを利用すると、実際に接続しているDCから回線多重装置を介して、あたかも専用線で別のDCに接続しているようになる。
[2]DDoS攻撃
Dis tributed Denial of Service attack。意図的に過剰なアクセスを行うことでサーバーに負荷をかけ利用できないようにしたり、システムの脆弱性を利用し攻撃したりするのがDoS攻撃。これを複数のコンピュータから行うのがDDoS攻撃。
[3]ルータ
ネットワークにおいて通信の中継を行う装置。発信元から発信先へどの経路を通して転送するか判断し転送する。SINETでは各DCに設置され、このルータが400Gbpsに対応する必要がある。
(取材・構成 猪狩 友則)