DDoS攻撃はファイアウォールで防げるのか?有効な対策と限界を徹底解説
【監修】株式会社ジオコード 管理部長
小島 伸介
株式会社ジオコード入社後、Web広告・制作・SEOなどの事業責任者を歴任。
上場準備から上場まで対応した経験を生かし、サービス品質の改善を統括する品質管理課を立ち上げ。その後、総務人事・経理財務・情報システム部門を管掌する管理部長に就任。
インターネット上のサービスを一時的に停止させる「DDoS攻撃(分散型サービス妨害攻撃)」は、年々その手口を巧妙化させています。多くの企業にとって、サービス停止は信頼の低下や売上損失にも直結する重要課題です。そんなDDoS攻撃に対抗する手段として「ファイアウォール」がありますが、本当に効果があるのでしょうか?この記事では、DDoS攻撃の仕組みからファイアウォールの役割、そして限界や他の有効な対策までを詳しく解説します。
おすすめのWebセキュリティサービス一覧
scroll →
| 会社名 | サービス名 | 特長 | 費用 | 主なサービス |
|---|---|---|---|---|
株式会社サイバーセキュリティクラウド
|
攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
株式会社スリーシェイク
|
Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
| 株式会社アイロバ ※IT製品の情報サイト「ITトレンド」へ遷移します。 | BLUE Sphere |
|
~1.004TB 月額/45,000円 ~5.022TB 月額/78,000円 ~10.044TB 月額/154,000円 |
WAF DDos攻撃からの防御 改ざん検知 DNS監視サービス サイバーセキュリティ保険 |
|
ペンタセキュリティ株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 |
Cloudbric WAF+ |
|
月額サービス料金 28,000円~ 初期導入費用 68,000円~ |
WAFサービス DDoS攻撃対策サービス SSL証明書サービス 脅威IP遮断サービス 悪性ボット遮断サービス |
| バルテス株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 | PrimeWAF |
|
1サイト限定プラン 初期費用 55,000円 0GB以上160GB未満 14,300円 160GB以上10TB未満 33,000円 10TB以上32TB未満 110,000円 サイト入れ放題プラン 初期費用 55,000円 0TB以上10TB未満 110,000円 10TB以上32TB未満 220,000円 |
ペネトレーションテストサービス クラウド診断サービス セキュアプログラミングのソフトウェア品質セミナー WAF |
| EGセキュアソリューションズ株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 | SiteGuard Cloud Edition |
|
通信量 400GBまで 初期費用 ¥100,000 価格 (月額) ¥25,000 通信量 1TBまで 初期費用 ¥100,000 価格 (月額) ¥50,000 通信量 4TBまで 初期費用 ¥100,000 価格 (月額) ¥80,000 通信量 10TBまで 初期費用 ¥200,000 価格 (月額) ¥170,000 通信量 20TBまで 初期費用 ¥200,000 価格 (月額) ¥280,000 通信量 40TBまで 初期費用 ¥200,000 価格 (月額) ¥520,000 |
シグネチャ検査(更新、設定はマネージドサービスとして提供します。) CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。) アクセス制御 国別フィルタ ダッシュボード レポート機能 専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。) |
| Amazon Web Services, Inc. | AWS WAF |
|
Web ACL 月あたり (時間で案分) USD 5.00 ルール 月あたり (時間で案分) USD 1.00 リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*) Bot Control と Fraud Control 上記のタブによる追加費用 |
ウェブトラフィックフィルタリング AWS WAF Bot Control アカウント乗っ取り詐欺の防止 アカウント作成詐欺防止 フル機能 API リアルタイムの可視性 AWS Firewall Manager への統合 |
| 株式会社ROCKETWORKS ※IT製品の情報サイト「ITトレンド」へ遷移します。 | イージスWAFサーバセキュリティ |
|
イージスサーバセキュリティタイプ 月額/50,000円 イージスDDoSセキュリティタイプ ~2Mbps 初期費用/¥98,000 月額/¥40,000 ~5Mbps 初期費用/¥98,000 月額/¥60,000 ~10Mbps 初期費用/¥98,000 月額/¥120,000 ~50Mbps 初期費用/¥198,000 月額/¥198,000 ~100Mbps 初期費用/¥198,000 月額/¥250,000 ~200Mbps 初期費用/¥198,000 月額/¥450,000 200Mbps以上 別途見積もり |
サイバー攻撃の検出/遮断 月次レポート サイバーセキュリティに関するアドバイザリー 法務相談(オプション) |
|
SBテクノロジー株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 |
Imperva WAF |
|
- | Web Application Firewall |
| 株式会社セキュアスカイ・テクノロジー | Scutum |
|
~500kbps 初期費用 98,000円 月額 29,800円 ~5Mbps 初期費用 98,000円 月額 59,800円 ~10Mbps 初期費用 98,000円 月額 128,000円 ~50Mbps 初期費用 198,000円 月額 148,000円 ~100Mbps 初期費用 198,000円 月額 198,000円 ~200Mbps 初期費用 198,000円 月額 298,000円 200Mbps 初期費用198,000円 100Mbps毎に100,000円加算 |
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能 2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません) 3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能 4 レポート機能 下記の内容を管理画面上で報告する機能 ・攻撃元(IPアドレス)top5 ・攻撃種別top5 ・防御ログの月別ダウンロード 5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能 6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能 8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能 9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能 10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能 11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能 |
| エヌ・ティ・ティ・スマートコネクト株式会社 | SmartConnect Network & Security |
|
- |
UTM WAF DDoS Webプロキシ メールセキュリティ ロードバランサ VPN |
| 株式会社モニタラップ | AIONCLOUD WAAP |
|
- |
WAF Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。 APIセキュリティ 企業のAPIに対する可視性を提供し脅威を遮断します。 ボット緩和 ボットのトラフィックを管理し、Webサイトを保護します。 DDoS保護 アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。 |
| フォーティネットジャパン合同会社 | FortiWeb |
|
- |
アプリケーションのセキュリティ コンテンツセキュリティ デバイスのセキュリティ NOC/SOC セキュリティ ウェブセキュリティ 管理された検出と対応 SOC-as-a-Service インシデント対応サービス サイバーセキュリティの評価と準備状況 |
| バラクーダネットワークス | Barracuda Web Application Firewall |
|
- |
WebアプリケーションとAPIの保護 + OWASPおよびゼロデイ攻撃に対する保護 + 高度なボット攻撃からアプリケーションを保護 + API保護 + サーバクローキング + URL暗号化 + GEO IPとIPレピュテーションチェック + マルウェア対策とウィルス対策 + マルチプロトコルサポート + アプリケーションDDoS対策 + 大規模なDDoSの防止 + JSONセキュリティ + XMLファイアウォール + アクティブ脅威インテリジェンス + クライアントサイドプロテクション アプリケーションデリバリ + アプリケーションの負荷分散と監視 + コンテンツルーティング + キャッシュ、圧縮、トラフィックの最適化 データ保護とコンプライアンス + アウトバウンドDLP + コンプライアンス認証 IAM + SAMLサポートとSSO + クライアント証明書ベースの認証 + AD FSとの統合 + LDAP、Kerberos、およびRADIUSとの統合 + 2要素認証 レポート + Barracuda Active Threat Intelligenceダッシュボード + 直感的なドリルダウンレポート + 包括的なログ + SIEMとの統合 管理 + HAクラスタリング + ロールベースの緻密なアクセス制御 + REST APIによる自動化とスケーラビリティ + 統合的なDevSecOpsの有効化 + デフォルトのセキュリティテンプレート 中央管理 + 単一コンソール + 証明書の中央管理 + 中央管理通知とアラート 使いやすさ + アプリケーション学習(アダプティブプロファイリング) + 仮想パッチと脆弱性スキャナとの統合 + 自動構成エンジン |
| セコムトラストシステムズ株式会社 | マネージドWAFサービス |
|
- |
DDoS対策 ファイアウォール IPS WAF |
| Amazon Web Services, Inc. | AWS Shield |
|
- |
AWS Shield Standard 基盤となる AWS サービスの静的しきい値 DDoS 保護 インラインの攻撃緩和 AWS Shield Advanced アプリケーショントラフィックパターンに基づいてカスタマイズされた検出 正常性に基づく検出 高度な攻撃緩和機能 自動アプリケーションレイヤー DDoS 緩和策 積極的なイベント応答 保護グループ 可視性と攻撃の通知 DDoS コスト保護 専門サポート グローバルな可用性 一元化された保護管理 |
この記事の目次はこちら
DDoS攻撃とは?ファイアウォールで防げるのか
DDoS攻撃とは、複数の端末から一斉に大量の通信を送りつけ、サーバーやネットワーク機器を過負荷にして機能停止させるサイバー攻撃の一種です。このセクションでは、DDoS攻撃の基本構造と、ファイアウォールがどのように防御に関わるかを解説します。
DDoS攻撃の仕組みと主な手法
DDoS攻撃は「ボリューム型」「プロトコル型」「アプリケーション層型(レイヤー7攻撃)」などに分類され、それぞれ攻撃対象と手法が異なります。たとえばボリューム型では大量のパケットで帯域を圧迫し、アプリケーション層型ではWebアプリケーションの機能を狙って精密に攻撃します。これらに対してファイアウォールは、トラフィックの制御や遮断といった基本的な防御を行う役割を持っています。
ファイアウォールによる基本的な防御の仕組み
ファイアウォールは、外部からの通信を監視し、ルールに従って許可または拒否することで不正アクセスを防ぎます。IPアドレスやポート番号、プロトコルに基づいたフィルタリングが中心ですが、最近ではディープパケットインスペクションを行う高機能な次世代ファイアウォール(NGFW)も普及しつつあります。これらはDDoS攻撃の一部に対して一定の防御力を発揮します。
DDoS攻撃にファイアウォールが有効な理由と限界
DDoS攻撃対策としてファイアウォールが取り上げられる理由は、その基本的な通信制御能力にあります。しかし、攻撃手法によってはファイアウォールだけでは防げないケースも少なくありません。この章では、ファイアウォールの利点と限界を具体的に解説します。
ファイアウォールがブロックできる攻撃とできない攻撃
ファイアウォールはIPベースの単純なフラッド攻撃や不審なポートを使った通信を遮断することが得意です。しかし、正規の通信に見せかけたアプリケーション層の攻撃や、ボットネットを使った分散型攻撃は検知しづらく、防御が困難です。特に、HTTPSを利用した暗号化通信では内容を解析できないため、レイヤー7攻撃への対応力が問われます。
ファイアウォールの設定次第で防御力は変わる
ファイアウォールの防御力は初期設定だけでは不十分で、定期的な設定の見直しや最適化が欠かせません。たとえば、ホワイトリスト方式やレートリミットの導入、IP単位のアクセス制御など、企業のネットワーク環境に応じたルール設計が必要です。設定が甘いと、意図しないトラフィックまで許可してしまうリスクがあります。
ファイアウォール単体では防げないケースとは
大量のDDoSトラフィックはファイアウォール自体を過負荷にさせ、逆にシステム全体の障害を引き起こす場合もあります。また、ISPやクラウド側での対策がなされていないと、ルーターやDNSサーバーへの攻撃を防ぎきれません。したがって、ファイアウォールはあくまで「第一の防衛線」であり、他の対策との併用が必要です。
DDoS攻撃対策としてのファイアウォールの選び方と活用方法
DDoS攻撃に対して有効なファイアウォールを選ぶためには、どのような機能を重視すべきでしょうか。このセクションでは、選定時のポイントや活用方法について詳しく解説します。
ステートフル・パケットインスペクションの重要性
ステートフル・パケットインスペクション機能を備えたファイアウォールは、通信セッションの状態を把握しながらフィルタリングを行うため、単純なパケット検査よりも精度の高い防御が可能です。DDoS攻撃の多くはセッションを模倣してくるため、この機能は防御力を大きく高める要素となります。
アプリケーション層への攻撃を防ぐには?
レイヤー7攻撃に対応するには、アプリケーション層まで可視化・制御できるファイアウォールが必要です。たとえば、HTTPリクエストの異常検出やクエリパラメータの監視ができる機能があれば、より高度な攻撃をブロックできます。WAF(Web Application Firewall)との連携も効果的です。
クラウド型WAFとの併用による多層防御
最近では、クラウドベースのWAFを利用することで、オンプレミスのファイアウォールだけではカバーしきれない範囲まで守ることができます。CDNとの連携によってトラフィックを分散し、攻撃の影響を軽減する手法も一般的になっています。これにより、DDoS対策を「多層化」することが可能です。
ファイアウォール以外のDDoS攻撃対策も併用しよう
DDoS攻撃への対策はファイアウォールだけでは不十分です。ここでは、他の有効な手段について解説し、総合的な防御の必要性を強調します。
CDNやWAFによるトラフィック分散
CDN(コンテンツデリバリーネットワーク)は、Webコンテンツを世界中のサーバーに分散して配置することで、DDoS攻撃によるトラフィックの集中を回避します。WAFと併用することで、悪質なアクセスをより高い精度で検出・ブロックできるのもメリットです。
アクセス制御・IPフィルタリングの活用
DDoS攻撃元のIPアドレスを特定し、ファイアウォールやWAFでブラックリスト登録することは有効な対策です。さらに、特定の国や地域からのアクセス制限、アクセス頻度制限(レートリミット)も併用すれば、防御力を高められます。
セキュリティベンダーのDDoS対策サービス
AkamaiやCloudflare、Radwareといった大手セキュリティベンダーは、DDoS攻撃専用の対策ソリューションを提供しています。これらのサービスは、24時間監視体制やAIによるリアルタイム検知、自動遮断などを備えており、自社内では対応できない大規模攻撃に対して非常に有効です。
DDoS攻撃から企業を守るためにできること
ここでは、企業が継続的にDDoS攻撃に備えるために実施すべき対策をまとめます。技術面だけでなく、運用面の体制づくりも重要です。
社内でのセキュリティ教育と意識向上
セキュリティの弱点は技術だけではなく「人」から生まれることもあります。社員向けにDDoS攻撃の手口や防ぎ方を教育し、攻撃を受けた際の初動対応をマニュアル化しておくことで、組織全体の防御力が向上します。
インシデント発生時の対応フローを準備する
攻撃発生時には迅速な対応が鍵となります。ログの取得、影響範囲の特定、ISPやベンダーへの連絡手順など、あらかじめインシデント対応フローを整備しておきましょう。特にDNSやCDNの設定変更などは即座の対応が求められます。
定期的なファイアウォール設定の見直し
ファイアウォールは一度設定すれば終わりではなく、定期的にログを確認し、新たな攻撃パターンに対応する必要があります。設定を定期的に見直すことで、未知の脅威に対する耐性も高められます。
まとめ
DDoS攻撃は巧妙化・大規模化しており、単一の対策では不十分です。ファイアウォールはその第一の防衛線として重要ですが、WAFやCDNとの併用、多層防御の視点が求められます。企業としては技術と運用の両面から対策を講じ、継続的な防御体制を築くことが不可欠です。今すぐ自社のセキュリティ対策を見直し、DDoS攻撃への備えを強化しましょう。
