システム基盤をクラウドに移行する企業が増加する中、そのDDoS攻撃対策は喫緊の課題だ。本稿では主要3大クラウドサービスであるAWS、Azure、GCPに焦点を当て、DDoS攻撃対策サービスを解説する。
現代のビジネス環境において、DDoS(分散型サービス拒否)攻撃は深刻な脅威だ。DDoS攻撃は、標的のサービスやネットワークに大量のトラフィック(データ流量)を送りつけ、サービスを停止させたり、性能を著しく低下させたりする攻撃手法だ。これにより、ビジネス機会の損失、ブランドイメージの毀損(きそん)、復旧コストの発生など、多大な損害が生じかねない。
システム基盤をクラウドサービスに移行する企業も増える中で、クラウドサービスにおけるDDoS攻撃対策は喫緊の課題と言えるだろう。本稿では、主要3大クラウドサービスである「Amazon Web Services」(AWS)、「Microsoft Azure」「Google Cloud Platform」(GCP)に焦点を当て、それぞれのDDoS攻撃対策サービスを詳しく解説する。さらに、汎用(はんよう)的に利用できるクラウド型およびアプライアンス型のDDoS攻撃対策サービスも紹介する。
クラウドサービスの利用が一般化するにつれて、DDoS攻撃のターゲットもクラウドサービスへとシフトしている。クラウドサービスベンダーは、自社のインフラ全体に対する大規模なDDoS攻撃から保護するための強固な対策を講じているが、個々のユーザーが展開するアプリケーションやシステムに対するDDoS攻撃には、ユーザー側での追加的な対策が不可欠だ。クラウドサービスにおけるDDoS攻撃対策は、オンプレミス環境とは異なり、スケーラビリティ(拡張性)や弾力性(変化に迅速に対処する能力)といったクラウドサービスの特性を最大限に生かしたアプローチが求められる。
「AWS Shield」は、AWSから提供されているマネージド型DDoS保護サービスだ。AWS Shieldは、「AWS Shield Standard」と「AWS Shield Advanced」の2つのサービスレベルが存在する。
AWS Shield Standardは、追加料金なしで利用可能な、AWSのインフラの最も一般的なDDoS攻撃対策サービスに位置付けられる。大部分のDDoS攻撃に対してベースラインの防御が提供され、ユーザーが特別な設定を行う必要がない点が特徴だ。主にネットワーク層(レイヤー3)とトランスポート層(レイヤー4)のDDoS攻撃からの保護を基本とする。
一方でAWS Shield Advancedは、より高度なDDoS攻撃保護を提供する有料サービスだ。アプリケーション層(レイヤー7)のDDoS攻撃に対する自動的な攻撃緩和、「AWS Shield Response Team」(SRT)と呼ばれる専門のDDoSレスポンスチームによるサポート、DDoS攻撃によるトラフィック増加に伴うAWS利用料のコスト保護(特定のサービスにおける費用の上限設定)などの機能を提供する。大規模なアプリケーションやビジネスをAWSで展開している企業の場合に、AWS Shield Advancedの機能が必要とされる可能性が高い。
「AWS Web Application Firewall」(AWS WAF)は、Webアプリケーションに対する攻撃全般からリソースを保護するWebアプリケーションファイアウォール(WAF)サービスだ。SQLインジェクションやクロスサイトスクリプティング(XSS)といった脆弱(ぜいじゃく)性を悪用する攻撃だけでなく、DDoS攻撃の中でも特にアプリケーション層のDDoS攻撃に対する効果的な防御手段としても機能する。
AWS WAFでは、カスタムルールを定義して、IPアドレスやHTTPヘッダ、クエリ文字列などの条件に基づいてトラフィックを許可、ブロック、またはカウントすることができる。これによりDDoS攻撃の特徴的なパターンを検出し、悪意のあるリクエストをバックエンドのWebサーバに到達する前にブロックすることが可能だ。AWS Shield Advancedと組み合わせて利用することで、多層的なDDoS攻撃対策を実現できる。
「Azure DDoS Protection」は、仮想ネットワークサービス「Azure Virtual Network」(Azure VNet)上にデプロイされたリソースをDDoS攻撃から保護するためのサービスだ。Azure DDoS Protectionには、IP保護とネットワーク保護の2つのサービスレベルが存在する。
大規模なDDoS攻撃に対して包括的な保護を提供する点で、2つのサービスレベルに大きな違いはない。ネットワーク層およびトランスポート層でDDoS攻撃を検出し、緩和する能力を持つ。
ネットワーク保護とIP保護の異なる点として、ネットワーク保護にはDDoS攻撃の際のサポートやコスト保護、WAF割引があるのに対して、IP保護ではこれらのサポートが使用できない点が挙げられる。保護したいIPアドレスが100個に満たず、上記のサポートを必須としない場合、料金の観点でIP保護が勝る可能性があるため、保護の規模に合わせて選択したい。
「Azure Web Application Firewall」(Azure WAF)は、Microsoft AzureにおけるWAFサービスだ。SQLインジェクション、クロスサイトスクリプティングなどの一般的なWebの脆弱性を悪用する攻撃からWebアプリケーションを保護する。
Azure WAFは、コンテンツ配信ネットワーク(CDN)サービス「Azure Front Door」を使用してネットワークエッジで実行されるWAFと、アプリケーションデリバリーコントローラー(ADC)サービス「Azure Application Gateway」を使用してデータセンターで実行されるWAFの2つに分けられる。
Azure Front Doorに統合されたAzure WAFは、HTTPフラッド(正規のHTTPリクエストを大量に送り付けてWebサーバを過負荷にさせる攻撃)、キャッシュバイパス(CDNなどのキャッシュを意図的に無効化し、サーバへの直接負荷を狙う攻撃)、botネット攻撃(不正に制御された多数の端末を使って同時に攻撃を仕掛ける手法)など多様なWeb攻撃を、ネットワークエッジで展開したWAFによって軽減する機能を持つ。bot保護マネージドルールセット、レート制限(一定時間内に許可するリクエスト数の制限)、IPおよび地理的フィルタリング、カスタムWAFルールなどにより、特定の悪意あるトラフィックパターンをブロックする。また、Azure Front Door自体がネットワーク層およびトランスポート層のDDoS攻撃から保護し、キャッシュ機能で急激なトラフィック増大を吸収することで、バックエンドにあるシステムを保護する。
Azure Application Gatewayに統合されたAzure WAFは、アプリケーション層のDDoS攻撃を軽減する最新機能を備えている。自動スケールアップにより、攻撃トラフィックを吸収できる。Azure Front Doorと同様に、bot保護、レート制限、IPアドレスおよび地理的フィルタリング、そしてカスタムWAFルールを使用して、悪意あるトラフィックパターンを検出・ブロックすることで、効果的な防御を提供できる。
「Google Cloud Armor」は、GCPにおけるDDoS攻撃やその他のインターネット脅威からWebアプリケーションとサービスを保護するアプリケーション保護サービスだ。Googleの広大なグローバルネットワークエッジで動作し、DDoS攻撃による大量のトラフィックがユーザーのバックエンドサービスに到達する前に、エッジでこれをブロックできる。
Google Cloud Armorの高度なネットワークDDoS対策は、リージョン単位で有効化する必要がある。有効にすると、そのリージョン内で展開している全てのエンドポイントに対して、ネットワーク層からアプリケーション層までのDDoS攻撃対策を施すことができる。カスタムルールを定義して、IPアドレス、地理的位置、HTTPヘッダ、リクエストの頻度などの条件に基づいてトラフィックを許可、ブロック、またはレート制限することが可能だ。これにより、DDoS攻撃の特徴的なパターンを検出し、悪意のあるリクエストを効果的に遮断できる。また、SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を悪用する攻撃からも保護する機能も備えている。
ここからは主要3大クラウドサービスやその他のサービスに限らず、DDoS攻撃対策に用いることができる汎用的な製品を紹介する。
クラウド型のDDoS攻撃対策サービスは、主にセキュリティベンダーやCDNベンダーが提供しており、導入の容易さや運用の負担軽減が特徴だ。
「攻撃遮断くん」は、サイバーセキュリティクラウドが提供するクラウド型WAFだ。WebサイトやWebサーバへのサイバー攻撃を検知・遮断し、DDoS攻撃を含むさまざまな脅威からシステムを保護する。クラウド型であるため、導入が容易で、専用の機器を設置する必要がない。機械学習を活用した高精度な検知能力と、国内でのサポート体制が強みだ。DDoS攻撃の中でも、特にWebアプリケーションへの攻撃に効果を発揮する。
「Cloudbric WAF+」は、Penta Securityが提供するクラウド型Webセキュリティサービスだ。DDoS攻撃対策に加えて、WAF、悪性bot対策、脅威インテリジェンス、SSL証明書管理などの包括的な機能を提供する。独自のAI(人工知能)ベースの検知エンジンにより、未知のDDoS攻撃にも対応できる点が特徴だ。グローバルなエッジネットワークを活用することで、大規模なDDoS攻撃トラフィックを分散・吸収し、バックエンドサーバを保護する。
アプライアンス型のDDoS攻撃対策製品は、オンプレミス環境に設置して利用するもので、ハイブリッド型のネットワーク構成やレガシーとなっているシステムを保護する場合に検討される。
「FortiWeb」は、Fortinetが提供するWAFアプライアンスだ。Webアプリケーションに対するSQLインジェクション、クロスサイトスクリプティングなどの攻撃だけでなく、DDoS攻撃の中でも特にアプリケーション層(レイヤー7)の攻撃に対して強力な防御機能を提供する。FortiWebは、リアルタイムの脅威インテリジェンスを活用し、既知および未知の攻撃パターンを検出・ブロックする。
IPレピュテーション(IPアドレスの信頼度を評価する仕組み)、レート制限、bot対策などの機能も備えており、DDoS攻撃の初期段階で悪意のあるトラフィックを識別し、遮断することが可能だ。物理アプライアンス、仮想アプライアンス、クラウド版など多様なデプロイオプションを提供しており、企業の環境に合わせて機器を柔軟に導入できる。
DDoS攻撃は、その手口が巧妙化し、規模も年々拡大している。企業にとって常に潜在的な脅威であると言えるだろう。特にクラウドサービスを活用したビジネス展開が加速する中で、クラウドサービスにおけるDDoS攻撃対策は、もはや避けては通れない経営課題だ。
AWS、Azure、GCPといった主要なクラウドサービスベンダーは、それぞれ独自の強力なDDoS攻撃対策サービスを提供している。それぞれのサービスは、各クラウドサービスの環境に最適化されており、基盤レベルからアプリケーションレベルまで多層的な防御を実現する。それぞれのクラウドサービスの特性を生かし、導入と管理の容易さ、そしてスケーラビリティに優れている点が大きなメリットだ。
一方で、マルチクラウドやハイブリッドクラウドを運用している企業、あるいはクラウドサービスベンダーの提供する範囲を超える高度な対策を求める企業にとっては、攻撃遮断くんやCloudbric WAF+のようなクラウド型DDoS対策サービス、またはFortiWebのようなアプライアンス型のWAF/DDoS対策製品も有効な選択肢となる。これらは、クラウドサービスベンダーに依存しない一貫したセキュリティポリシーの適用や、特定の要件への対応を可能にする。
DDoS攻撃対策は、一度導入すれば完結するものではない。攻撃手法は日々進化しており、それに対応するために、導入した対策サービスや製品の継続的な監視、アップデート、そして効果測定が不可欠だ。自社のシステム構成、ビジネス要件、予算、リスク許容度などを総合的に評価し、最適なDDoS攻撃対策を多層的に構築することで、企業のビジネス継続性を盤石なものとすることができるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
