「@niftyメール」でDDoS攻撃やスパム対策にIronPort X1000を採用

スパム対策のアプライアンスとして確固たる地位にあるIronPortの製品をニフティが導入した。ニフティは、メールサービス「@niftyメール」の大幅リニューアルを行い、同時に無料メールサービスを開始。そこでメールセキュリティとして採用されたのがIronPortの製品なのである。ニフティ株式会社 パーソナルサービス部 チーフエンジニアの工藤隆久氏に、採用の理由と背景について伺った。

無料メールサービスでのセキュリティにIronPortを採用

6月4日から、ニフティが提供しているメールサービス「@niftyメール」をリニューアルするのに伴い、新たに開始した無料メールサービスでIronPortの製品が採用された。外部からのメールを受信するフロントエンドのMTA（※）として複数台のIronPort X1000を導入し、また、スパムのフィルタリングなどメールセキュリティにも利用しているとのこと。

ちなみに、@niftyメールは、これまで@niftyの接続サービスのユーザーに対し、容量100MB、保存期間最大360日という内容でご提供してきたが、今回のリニューアルから接続契約のユーザーは5GBの容量を保存期間無制限で提供。接続契約をしていないユーザーに対しても、容量3GBのメールボックスを、同じく保存期間無制限で提供している。

ボットネットからの保護と高精度のスパムフィルタリング

ニフティがメールサービスの展開のためにIronPort導入の目的は、どのようなものだったのだろうか。

ニフティ株式会社
パーソナルサービス部
チーフエンジニア
工藤隆久様

「@niftyメールの大改造と同時に、これまでの課題を解決していきたいと考えていました。そこで選んだのがIronPortです」とニフティ株式会社、パーソナルサービス部 チーフエンジニアである工藤隆久様は語る。

主な課題は、以下の2点。

1. 「サーバ群を守る」

これまで、MTAには多数の汎用IAサーバを用いてきた。そのサーバを攻撃から守るために、いろいろな仕組みを設けていたが、最近増えてきたボットネットによるDDoS攻撃などでは、ソースIPの範囲を特定することもできないなど、防御が難しくなってきていた。しかも防御のためのレピュテーション基準としては社内のデータを使っていたため、初回の攻撃は防ぐことができなかった。サービスプロバイダとしては、メール不達などはサービス品質の上で許されないため、大胆な対策もできないのであった。

特に問題だったのは、セッションを張ったまま黙り込むケースで、一度に数千本ものコネクションを取られたこともあったほど。しかし、これまでMTAとして使っていた汎用IAサーバはオープンソースで構築しており、1台あたりの同時コネクション数に限りがあった。

「ニフティとしても、ユーザーに影響が出ないような仕掛けを作って対処してましきたが、それでも遅延などの影響を避けることは困難でした。この点で、IronPortの独自OS（AsyncOS） が可能とする同時コネクション数は送受信1万と汎用OSの数十倍もあるので、IronPortは我々のニーズにちょうど合うものでした」（工藤氏）

堅牢さが特長のIonPort 製品

独自OSの「AsyncOS TM」をプラットフォームとするIronPort の特長は極めて高いパフォーマンスと堅牢性。汎用サーバの数十倍もコネクション（最大 10,000セッション）がはれるため、DDoS攻撃を受けても余裕がある。