2021年6月に、FastlyとAkamaiが世界的なCDN障害を起こし数多くのユーザーが影響を受けたニュースをお届けしました。数時間サービスを届けることができなかったため数百万ドルの損害が出たと言われています。では、その損失以外で、このインシデントの本質的な問題とはなのでしょうか?
インターネットインフラへの限られたプロバイダーへの集中
2019年、インターネット協会(ISOC)は、"Consolidation in the Internet Economy "と題したレポートを発表し、インターネットインフラへの限られたプロバイダーへの集中が、インターネッットにリスクをもたらすと警鐘を鳴らしています。今回のCDN障害によって、まさにこのレポートが危惧するリスクが浮き彫りになった、と言えます。 ISOCのレポートでは、3つのレベルでインターネットの統合が進んでいると述べています。
1.インターネット・アプリケーション-
世界では、Google、Gmail、Android、YouTube、中国ではAlibabaとTencentなど限られた企業が人気のインターネットサービスを独占しています。
2.インターネットアクセス提供 -
参入コストの高さから、インターネットサービスプロバイダーにも集中が見られます。
3. サービスインフラ-
CDNプロバイダーの間で統合が進み、2018年8月には世界の上位1,000のウェブサイトのうち推定87.5%がCDNを利用、そのうち、27%がAmazon CloudFrontを、27%がAkamaiを、8%がFastlyを使用しています。他のCDNプロバイダーも冗長性を確保するためにそれらのCDNを使っており実際は数字以上に寡占が進んでいます。したがって、あれだけ大規模な障害となったのです。
さらにDNSについても、CDNプロバイダーによる大規模なDNS提供が進んでいるため、より垂直方向の集中がさらに進み、状況が悪化していることをレポートでは指摘しています。
レポートでDNSが注目される理由は、CDNがコンテンツのミラーサーバーであるのに対して、DNSは、CDNへの接続を含め、Eメールやオリジンサーバーなど社内外のあらゆるものをインターネットに繋げる役目を果しているからです。そのため、DNSの集中が企業のセキュリティ態勢全体に与える影響は軽視できません。Fastly障害でCDNのミラーサーバーはダウンしたものの、DNSが正常に作動していたことによりオリジンサーバーからコンテンツを取得することができたウェブサイトがあった事実もあり、現代のネットワークおよびインターネットワーク設計におけるDNSの重要性がさらに浮き彫りになりました。
解決策と提言
Fastly、AkamaiのCDN障害は、CDN、クラウドサービス、DNSなどの重要なインターネットサービスの集中と統合の問題を改めて露呈しました。そして、この問題は、主要なCDNおよびクラウドプロバイダー間の超依存関係のために悪化しています。リスクを最小化するための推奨ステップを以下に示します。
ステップ1:インターネット集中のメリットを活用する
インターネットの集中化の問題点を多く取り上げましたが、インターネットの集中化は多くのプラス面ももたらしていることを強調しておきたいと思います。例えば、CDNプロバイダーが集中することで、コンテンツ配信のスケールメリットが生まれ、データ転送コストが大幅に削減されます。DNSプロバイダーが集中していることで、最大手のプロバイダーはテラビットレベルのDDoS攻撃を受けても十分な規模を確保することができます。まずインターネット集中のメリットを活用して、適切なサービスをCDNやクラウド、エンタープライズDNSホスティングに移行し、コストの削減と耐障害性の向上を図ることをお勧めします。しかし、それだけではありません。
ステップ2: インターネットの原点に戻って多様化を優先する
コストが削減され、ベースラインのセキュリティ体制が改善されたら、これらの重要なインフラを多様化してリスクを軽減する方法を検討します。
ISOCによると、IPとDNSはインターネットの不変要素となっています。サーバーをローカルに置くか、クラウドに置くか、Webサイトの解決を高速化する方法などは、時代とともに進化するものであり、不変のものではありません。しかしIPアドレスやそれをつなげるDNSは不変であり本当に重要なものです。特にDNSはトラフィックを適切なコンテンツに指す、最も重要なインターネットインフラの一つであり、より高い優先度を持つべきだと私たちは常に主
主張しています。 他のインターネットサービスインフラとは切り離し、この分野に特化したDNSプロバイダーを利用することで、深い依存から生じるリスクを避けることができます。
ステップ3:垂直統合を避ける
インターネットの統合・集約は、水平方向(ほとんどのCDNサービスがAkamai、Cloudflare、その他数社に集約)にも、垂直方向(企業がCDN、クラウドホスティングとコンピューティング、DNSを単一のベンダーに集約)にも起こっています。そのため、企業がリスクを減らすためには、まずは、CDN、クラウドホスティング、エンタープライズDNSプロバイダーを切り離して多様化することで、特定プロバイダーへの深度依存から抜け出すことが重要です。
ステップ4:インフラを多様化しつつ一元管理を進める
インターネットの統合がもたらす問題は、多くのメリットをもたらすだけに、取り組むのが非常に難しい問題です。セキュリティとコストは常にトレードオフの関係にありますが、統合管理でコストメリットを享受しながら、インフラを多様化しセキュリティを向上させる方法もあります。例えばDNSなら、セカンダリDNSといって、あるプロバイダーのDNSをプライマリとして使用しながら、すべてのゾーン更新情報をセカンダリDNSに自動コピーしDNSの安定を図ることができます。インターネットサービスのインフラを提供するベンダーを選択する際には、多様化も一つのオプションとし、選択したプロバイダーが企業が必要なセキュリティレベルを備えているかどうかを確認してください。
CSCはDNS プロバイダとしてバックエンドには世界最大の企業レベルプロバイダであるNeustarを使用し、100%稼働率保証にこだわって提供しています。今回の記事でDNSについて不安を持たれた方や、ご相談されたい場合は、お気軽にご連絡下さい。
いつでもご説明いたします。
当社のスペシャリストが、デジタルの脅威に関する、お客様の疑問にお答えいたします。