A10ネットワークスは9月3日、分散型サービス妨害(DDoS)攻撃対策を強化した2つの新製品をラインアップに追加した。1つはDDoS攻撃対策ハードウェアモジュール「Thunder SPE」を搭載したIPv6移行支援の新機種「Thunder 5435(S) CGN」と「Thunder 6435(S) CGN」。もう1つは、DDoS攻撃対策専用機(アプライアンス)のミッドレンジモデル「Thunder 3030S TPS」だ。9月下旬から提供する。
A10の製品ラインアップは、創業来提供するアプリケーション配信制御(Application Delivery Controller:ADC)、2010年から提供するIPv4枯渇対策・IPv6移行支援のCGN(Carrier Grade Networking)、2月から提供を開始したDDoS攻撃対策のTPS(Threat Protection System)の3つで構成される。
A10ネットワークス 代表取締役社長兼CEOでA10 Networksアジア太平洋日本担当バイスプレジデントの小枝逸人氏
「これら3つを拡張に優れた独自のアーキテクチャで提供していることがA10の特徴だ。3つの製品ラインアップでネットワーク市場のトレンドと課題に対応できるようにしている」(代表取締役社長兼最高経営責任者=CEO、米本社でアジア太平洋日本を担当するバイスプレジデントでもある小枝逸人氏)
小枝氏によると、ネットワーク市場のトレンドや課題として、ウェブアプリケーションの性能と可用性の確保、モバイルの急速な普及によるIPv6デバイスの増加、サイバー攻撃からの防御、クラウドやSDNへの対応、アプリケーションやセキュリティサービスの100Gbps対応などがある。中でもDDoS攻撃については、攻撃を受けたことがある企業の比率が60%を占め(前年比71%増)、87%の企業が複数回のDDoS攻撃を経験するなど、被害が拡大しているのが現状だ。
「しかし、DDoS攻撃対策専用ソリューションの導入率は約20%で、DDoS防御機能付きアプライアンスやサービスの利用率もそれぞれ14%程度。被害の拡大にかかわらず実際の対策が進んでいない。CGNの新製品では、ADCとCGNに対するニーズにDDoS対策へのニーズを包含させた。また、DDoS攻撃対策アプライアンスでは、企業規模にかかわらず発生するDDoS攻撃に中堅規模の企業や小規模サービスプロバイダーが対抗できるようにした」(小枝氏)
Thunder 5435(S) CGNとThunder 6435(S) CGNは、DDoS攻撃対策をハードウェアベースで展開するモジュール「Thunder SPE(Security Policy Engine)」を搭載していることが大きな特徴。SPEは、DDoS防御専用ハードウェアのThunder TPSの上位モデルでも採用されており、セキュリティ機能の高速化とさまざまなポリシーベースのネットワーキング機能をハードウェアで実現している。
具体的には、DNS/NTPリフレクションやUDPフラッドといった“ボリューム攻撃”、TCP SYNフラッドなど“プロトコル攻撃”といったネットワークに対するDDoS攻撃をハードウェアで処理する。これにより、DDoS攻撃を受けている最中でも性能に影響を与えずにIPv4枯渇・IPv6移行機能を提供できるという。
A10ネットワークス 技術本部本部長 APJエンジニアリング本部本部長 天田賢氏
「音声、動画、メール、ウェブといった各種サービスを提供するデータセンターへのDDoS攻撃が相次いでいる。実際、NATプールへの攻撃やリンクフラップでサービス停止に追い込まれたケースもある。SPEモジュールを活用することで、DDoS攻撃を高速に検知し、ポリシーに準じたダイナミックにフィルタリングできる」(技術本部本部長 APJエンジニアリング本部本部長 天田賢氏)
適用シーンとしては、アクセス制御リスト(ACL)では制御できないCGN装置のパブリックIPプールに対する攻撃、CGNが提供する透過性を悪用して内部ホストを狙ってくる攻撃などに有効だとした。
Thunder 5435(S) CGNは最大スループットが77Gbpsで、1秒あたりパケット(PPS)は5000万、Thunder 6435(S) CGNは最大スループットが155GbpsでPPSは1億。価格は2420万円から。
もう1つの新製品であるThunder 3030S TPSは、5~10Gbpsのネットワークを対象にしたDDoS攻撃対策アプライアンス。既存の上位機種であるThunder 4435/5435/6435 TPSが、SPEによるハードウェア支援機構を持つのに対し、3030S TPSはソフトウェア処理のみでDDoS攻撃対策を実行する。ソフトウェアによるDDoS対策機能は、独自OSであるACOS(Advanced Core Operating System)で提供されているものだ。
ACOSは、DDoS攻撃を受けると、外部にある上位レベルのマネージドセキュリティサービスプロバイダー(MSSP)が提供するDDoS対策サービスに信号を送り、トラフィックを転送して社内ネットワークを防御する「MSSPシグナリング機能」を備える。
「社内ネットワークにThunder 3030S TPSを導入し、外部のMSSP型DDoS対策と連携させることで、スケーラブルなDDoS対策が可能になる」という。価格は1300万円からで、9月下旬から出荷開始予定。MSSPシグナリング機能は、2014年第4四半期(10~12月)中に提供する予定だ。