Categories: セキュリティ

大規模なアクセス障害の原因は DNS ?

7 月 23 日午前 1 時 (日本時間) 頃から 1 時間ほど多くの著名な Web サイトへアクセスができなかった障害を、各国のニュースが週末に取り上げていました。日本のサイトでも航空会社やゲーム機器のオンラインサービス等にアクセスが出来なかったという報告が上がっており、影響を受けた方もいたのではないでしょうか。

サイバー攻撃によるものとの声もありましたが、原因は CDN サービスを提供するベンダーでの、DNS 関連の障害と報告がされていました。

ThousandEyes チームの調査によると、今回の障害でアクセスが出来なくなった Web サイトやアプリケーションは、CDN サービス提供ベンダーのサーバ上にホストされていた事を確認しており、それらの名前解決を行うための DNS サービス (Edge DNS) が、CDN でホストされているドメインを名前解決出来ていないことを確認していました。このため、ユーザは CDN 上の Web サイトやアプリケーションに到達が出来ずに、アクセスが出来ない状態となっていました。

[そもそも DNS の役割とは?]

DNS (Domain Name System) はインターネット上のアドレス帳の役割を担っています。
Web サイトやソフトウェアのアップデート、携帯電話のアプリなど、コンピュータは 1 日におおよそ 1,000 件ほどの DNS クエリを実行しています。インターネット上には数多くのサイトがあり、それぞれのコンピューターが完全なリストを保持することはできないため、DNS はコンピューターがドメインを検索する際のアドレス帳の役割を果たしています。Web サイトや他のアプリケーションサーバに接続したいとき、DNS はどのアドレスに接続すればよいかをコンピューターに伝えます。

[DNS サーバの種類]

DNS サーバと呼ばれるサーバは、”再帰 DNS サーバ (Recursive DNS Server)” と “権威 DNS サーバ (Authoritative DNS Server)” の2種類があります。例えば、ユーザが umbrella.cisco.com をブラウザに入力すると、最初に再帰 DNS サーバへ問い合わせが行われます。再帰 DNS サーバはアドレス帳自体は持っていませんが、誰がアドレス帳を持っているかは知っています。このドメイン名と IP アドレスを照合するアドレス帳を保有しているのが、権威 DNS サーバになります。

[DNS の重要性]

冒頭で紹介した DNS 関連の障害からもわかるとおり、インターネットにおいて DNS は重要なコンポーネントです。どんなに屈強で高稼働率を誇るWeb サイトやアプリケーションだとしても、そこに到達できる手段が失われれば、それらはダウンしているのと同じ意味となります。

今回は CDN 上のホストを名前解決するための DNS サービスの障害例でしたが、もし会社で利用している外部の DNS サーバがダウンしてしまった場合はどうでしょうか。ブラウザで保持しているキャッシュ等が無くなると、名前解決ができずにユーザはインターネットへアクセス出来なくなってしまう状況も考えられます。

一般的に、社外 DNS サーバ、社内 DNS サーバのフォワーダー先は、ISP が指定している DNS サーバを指定している事が多いと聞きます。今回の DNS関連の障害を教訓として、今利用している DNS サーバが冗長化されているのか、可用性はどうなのか、再確認をしてみてもよいかと思います。

[Cisco Umbrellaとは?]

DNS はシスコのセキュリティにおいても中核的な位置づけになります。2006 年に再帰型 DNS サービス(OpenDNS)の提供を始めたのを皮切りに、2012 年には Cisco Umbrella をリリースしてエンタープライズ セキュリティの領域に踏み込みました。そして、サービスを開始した 2006 年以来、100% のアップタイムを続けており、Cisco Umbrellaは 非常に信頼性の高い再帰型DNSサービスを提供し続けています。

[同じ IP アドレスを利用:エニキャストルーティング]

その高い信頼性/可用性を提供するための重要なテクノロジーの一つにエニキャストルーティングがあります。エニキャストルーティングは同じ IP アドレスを持つ複数のホストを効果的に連携させる仕組みです。

エニーキャストルーティングでは、同じ IP アドレス (例えば、Cisco Umbrella のネームサーバ 208.67.222.222 / 208.67.220.220) が、世界中の複数のサーバに存在します。Cisco Umbrella は世界の 30 以上のデータセンターでネームサーバのクラスタ運用をしており、208.67.222.222 / 208.67.220.220 という IP アドレスを持つマシンが世界中に数百台存在するという事になります。また、これらのデータセンターは 1,000 以上の CDN や ISP と直接ピアリング接続しているため、ユーザーがどこにいても最短ルートでアクセスできるようになっています。Cisco Umbrella ユーザはこれらを利用して、高速で信頼性の高い安全なインターネットアクセスを行う事ができます。

[権威 DNS サーバのダウンを回避:Smart Cache]

また、Cisco Umbrella を利用するユーザへ高い可用性を提供するために、Smart Cache という技術を使っています。Smart Cache は、権威 DNS サーバの停止による影響を解消するための技術です。

一般的に権威 DNS サーバが停止すると、ホストされている Web サービスへの”道標”が失われてしまい、その Web サービス への到達が出来なくなります。しかし、Cisco Umbrella を利用のユーザは Smart Cache の仕組みを使って、その影響を回避して継続的なアクセスができます。Cisco Umbrella のサーバはキャッシュの中からその Web サイトの最後に確認していた ”良い” アドレスを探し、それを利用してサイトを読み込みます。そのため、Cisco Umbrella ユーザ以外にはダウンしている Web サイトにおいても、Cisco Umbrella ユーザには継続したアクセスが可能となります。これがSmart Cache の仕組みとメリットになります。

[今すぐ無償トライアルを始めてみませんか?]

本ブログでは、Cisco Umbrella が高い可用性を誇る再帰 DNS サービスを提供できる事を紹介いたしました。Cisco Umbrellaでは、DNSサービス以外にも、Secure Web Gateway, Cloud Delivered Firewall, CASB 等、多くの制御機能およびセキュリティ機能を実装しており、様々なニーズにフィットできます。また、それらは簡単に環境に展開する事ができます。以下リンクよりトライアルが申し込めますので、まずはその効果を体験してみませんか?

Cisco Umbrella 14 日間無料トライアル

坂川 健太

外資 IT メーカーでプロジェクトマネージャー、セキュリティ ベンダーでシニア テクニカル サポート エンジニアを経て、2018 年にシスコ入社。現在はセキュリティ専任のテクニカルソリューションズアーキテクトとして主にエンドポイント セキュリティ、クラウドセキュリティの領域を担当。