クラウド環境でのDDoS攻撃、その脅威と防御策とは?
【監修】株式会社ジオコード 管理部長
小島 伸介
株式会社ジオコード入社後、Web広告・制作・SEOなどの事業責任者を歴任。
上場準備から上場まで対応した経験を生かし、サービス品質の改善を統括する品質管理課を立ち上げ。その後、総務人事・経理財務・情報システム部門を管掌する管理部長に就任。
近年、企業のクラウド移行が進む一方で、「DDoS攻撃」によるセキュリティリスクも深刻化しています。業務のオンライン化やリモートワークの普及に伴い、クラウドの可用性を狙った攻撃が増加しており、サーバーダウンやサービス停止など多大な被害を引き起こしています。本記事では、「DDoS攻撃 クラウド」のキーワードでお悩みの方に向けて、クラウド環境におけるDDoS攻撃の仕組みから防御対策までを詳しく解説します。
おすすめのWebセキュリティサービス一覧
scroll →
| 会社名 | サービス名 | 特長 | 費用 | 主なサービス |
|---|---|---|---|---|
株式会社サイバーセキュリティクラウド
|
攻撃遮断くん |
|
1サイト月額11,000円~ ※別途、初期導入費用がかかる お問い合わせ |
攻撃検知AIエンジン搭載 サイバー攻撃対策 サイバー保険付帯 |
株式会社スリーシェイク
|
Securify(セキュリファイ) |
|
ASMプラン:お見積り BASICプラン:10万円/月額 STARTERプラン:5万円/月額 Freeプラン:0円/月額 ※契約は年単位 お問い合わせ |
ASM Webアプリケーション診断 Wordpress診断 SaaS診断 |
| 株式会社アイロバ ※IT製品の情報サイト「ITトレンド」へ遷移します。 | BLUE Sphere |
|
~1.004TB 月額/45,000円 ~5.022TB 月額/78,000円 ~10.044TB 月額/154,000円 |
WAF DDos攻撃からの防御 改ざん検知 DNS監視サービス サイバーセキュリティ保険 |
|
ペンタセキュリティ株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 |
Cloudbric WAF+ |
|
月額サービス料金 28,000円~ 初期導入費用 68,000円~ |
WAFサービス DDoS攻撃対策サービス SSL証明書サービス 脅威IP遮断サービス 悪性ボット遮断サービス |
| バルテス株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 | PrimeWAF |
|
1サイト限定プラン 初期費用 55,000円 0GB以上160GB未満 14,300円 160GB以上10TB未満 33,000円 10TB以上32TB未満 110,000円 サイト入れ放題プラン 初期費用 55,000円 0TB以上10TB未満 110,000円 10TB以上32TB未満 220,000円 |
ペネトレーションテストサービス クラウド診断サービス セキュアプログラミングのソフトウェア品質セミナー WAF |
| EGセキュアソリューションズ株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 | SiteGuard Cloud Edition |
|
通信量 400GBまで 初期費用 ¥100,000 価格 (月額) ¥25,000 通信量 1TBまで 初期費用 ¥100,000 価格 (月額) ¥50,000 通信量 4TBまで 初期費用 ¥100,000 価格 (月額) ¥80,000 通信量 10TBまで 初期費用 ¥200,000 価格 (月額) ¥170,000 通信量 20TBまで 初期費用 ¥200,000 価格 (月額) ¥280,000 通信量 40TBまで 初期費用 ¥200,000 価格 (月額) ¥520,000 |
シグネチャ検査(更新、設定はマネージドサービスとして提供します。) CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。) アクセス制御 国別フィルタ ダッシュボード レポート機能 専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。) |
| Amazon Web Services, Inc. | AWS WAF |
|
Web ACL 月あたり (時間で案分) USD 5.00 ルール 月あたり (時間で案分) USD 1.00 リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*) Bot Control と Fraud Control 上記のタブによる追加費用 |
ウェブトラフィックフィルタリング AWS WAF Bot Control アカウント乗っ取り詐欺の防止 アカウント作成詐欺防止 フル機能 API リアルタイムの可視性 AWS Firewall Manager への統合 |
| 株式会社ROCKETWORKS ※IT製品の情報サイト「ITトレンド」へ遷移します。 | イージスWAFサーバセキュリティ |
|
イージスサーバセキュリティタイプ 月額/50,000円 イージスDDoSセキュリティタイプ ~2Mbps 初期費用/¥98,000 月額/¥40,000 ~5Mbps 初期費用/¥98,000 月額/¥60,000 ~10Mbps 初期費用/¥98,000 月額/¥120,000 ~50Mbps 初期費用/¥198,000 月額/¥198,000 ~100Mbps 初期費用/¥198,000 月額/¥250,000 ~200Mbps 初期費用/¥198,000 月額/¥450,000 200Mbps以上 別途見積もり |
サイバー攻撃の検出/遮断 月次レポート サイバーセキュリティに関するアドバイザリー 法務相談(オプション) |
|
SBテクノロジー株式会社 ※IT製品の情報サイト「ITトレンド」へ遷移します。 |
Imperva WAF |
|
- | Web Application Firewall |
| 株式会社セキュアスカイ・テクノロジー | Scutum |
|
~500kbps 初期費用 98,000円 月額 29,800円 ~5Mbps 初期費用 98,000円 月額 59,800円 ~10Mbps 初期費用 98,000円 月額 128,000円 ~50Mbps 初期費用 198,000円 月額 148,000円 ~100Mbps 初期費用 198,000円 月額 198,000円 ~200Mbps 初期費用 198,000円 月額 298,000円 200Mbps 初期費用198,000円 100Mbps毎に100,000円加算 |
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能 2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません) 3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能 4 レポート機能 下記の内容を管理画面上で報告する機能 ・攻撃元(IPアドレス)top5 ・攻撃種別top5 ・防御ログの月別ダウンロード 5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能 6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能 7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能 8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能 9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能 10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能 11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能 |
| エヌ・ティ・ティ・スマートコネクト株式会社 | SmartConnect Network & Security |
|
- |
UTM WAF DDoS Webプロキシ メールセキュリティ ロードバランサ VPN |
| 株式会社モニタラップ | AIONCLOUD WAAP |
|
- |
WAF Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。 APIセキュリティ 企業のAPIに対する可視性を提供し脅威を遮断します。 ボット緩和 ボットのトラフィックを管理し、Webサイトを保護します。 DDoS保護 アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。 |
| フォーティネットジャパン合同会社 | FortiWeb |
|
- |
アプリケーションのセキュリティ コンテンツセキュリティ デバイスのセキュリティ NOC/SOC セキュリティ ウェブセキュリティ 管理された検出と対応 SOC-as-a-Service インシデント対応サービス サイバーセキュリティの評価と準備状況 |
| バラクーダネットワークス | Barracuda Web Application Firewall |
|
- |
WebアプリケーションとAPIの保護 + OWASPおよびゼロデイ攻撃に対する保護 + 高度なボット攻撃からアプリケーションを保護 + API保護 + サーバクローキング + URL暗号化 + GEO IPとIPレピュテーションチェック + マルウェア対策とウィルス対策 + マルチプロトコルサポート + アプリケーションDDoS対策 + 大規模なDDoSの防止 + JSONセキュリティ + XMLファイアウォール + アクティブ脅威インテリジェンス + クライアントサイドプロテクション アプリケーションデリバリ + アプリケーションの負荷分散と監視 + コンテンツルーティング + キャッシュ、圧縮、トラフィックの最適化 データ保護とコンプライアンス + アウトバウンドDLP + コンプライアンス認証 IAM + SAMLサポートとSSO + クライアント証明書ベースの認証 + AD FSとの統合 + LDAP、Kerberos、およびRADIUSとの統合 + 2要素認証 レポート + Barracuda Active Threat Intelligenceダッシュボード + 直感的なドリルダウンレポート + 包括的なログ + SIEMとの統合 管理 + HAクラスタリング + ロールベースの緻密なアクセス制御 + REST APIによる自動化とスケーラビリティ + 統合的なDevSecOpsの有効化 + デフォルトのセキュリティテンプレート 中央管理 + 単一コンソール + 証明書の中央管理 + 中央管理通知とアラート 使いやすさ + アプリケーション学習(アダプティブプロファイリング) + 仮想パッチと脆弱性スキャナとの統合 + 自動構成エンジン |
| セコムトラストシステムズ株式会社 | マネージドWAFサービス |
|
- |
DDoS対策 ファイアウォール IPS WAF |
| Amazon Web Services, Inc. | AWS Shield |
|
- |
AWS Shield Standard 基盤となる AWS サービスの静的しきい値 DDoS 保護 インラインの攻撃緩和 AWS Shield Advanced アプリケーショントラフィックパターンに基づいてカスタマイズされた検出 正常性に基づく検出 高度な攻撃緩和機能 自動アプリケーションレイヤー DDoS 緩和策 積極的なイベント応答 保護グループ 可視性と攻撃の通知 DDoS コスト保護 専門サポート グローバルな可用性 一元化された保護管理 |
この記事の目次はこちら
クラウドにおけるDDoS攻撃とは?仕組みと種類を解説
クラウド環境におけるDDoS攻撃とは、複数のコンピュータやボットネットを使って特定のクラウドサービスへ一斉にトラフィックを集中させ、サーバーのリソースを使い果たし、正規のユーザーが利用できない状態に陥らせる攻撃手法です。クラウドならではのスケーラビリティがある一方で、それを逆手に取られるリスクもあり、十分な理解と対策が必要です。
DDoS攻撃の基本とクラウド特有の脅威
DDoS(Distributed Denial of Service)攻撃は、クラウド環境において特に深刻な問題となります。攻撃者はリソース消費型(ボリューム型)やアプリケーション層への攻撃を通じて、システム停止やレスポンス遅延を引き起こします。クラウドのスケーラビリティを悪用されると、オートスケールにより意図せず課金額が急増するリスクもあるため、攻撃の兆候を早期に検知する体制が求められます。
クラウド環境がDDoS攻撃の標的になりやすい理由
クラウドサービスはインターネット越しにアクセス可能であり、公開範囲も広いため攻撃のターゲットになりやすい特徴があります。特に、認証が不十分なAPIや過剰に許可されたセキュリティグループなどがあると、攻撃対象になりやすくなります。また、クラウドサービスプロバイダが提供する機能に過信し、独自対策を怠ることも攻撃を受けやすくする一因です。
クラウド環境でのDDoS攻撃の影響とリスク
DDoS攻撃がクラウドサービスに与える影響は非常に大きく、企業の運用やビジネスに甚大な損害をもたらします。ここではその代表的なリスクについて説明します。
可用性の低下とサービス停止リスク
DDoS攻撃によってクラウドリソースが過剰に消費されると、サービスが応答不能となり、ユーザーはアクセスできなくなります。とくにeコマースサイトやオンラインサービスでは、数分の停止が数百万〜数千万円の売上損失につながることもあります。SLA(サービスレベルアグリーメント)を満たせない場合、顧客からの信頼低下にも直結します。
コスト増加・運用負荷の増大
クラウドの従量課金制の性質上、トラフィックが急増すると自動的にリソースが拡張され、結果的に高額な請求が発生する可能性があります。また、攻撃を受けた場合の調査や復旧対応に多くの人員が割かれることになり、セキュリティチームの負担が増す点も無視できません。
クラウド環境におけるDDoS攻撃の検知と防御手法
クラウド上でDDoS攻撃を防ぐためには、事前の設定と継続的な監視・対応が不可欠です。ここでは有効な防御手法をいくつか紹介します。
トラフィックのリアルタイム監視と異常検知のポイント
DDoS攻撃の初動を察知するには、トラフィックのベースラインを把握し、通常とは異なる通信量やパターンを検知することが重要です。AWS CloudWatchやAzure Monitorなどの監視ツールを活用し、異常検知時には自動アラートや遮断を行える設定にしておくと効果的です。
アクセス制御とWAFによる多層防御の構築
Web Application Firewall(WAF)は、HTTP層の攻撃からWebアプリを保護するために有効です。また、クラウドセキュリティグループやネットワークACLを適切に設定することで、不要なIPやプロトコルの通信を遮断できます。複数のレイヤーで防御を重ねることが、安全性の高い構成を実現する鍵となります。
APIゲートウェイを活用したDDoS防御戦略
APIを公開している場合は、Amazon API GatewayやCloud EndpointsなどのAPI管理サービスを導入することで、レート制限・IP制限・認証設定が可能になり、攻撃耐性が高まります。API経由での攻撃は検知が難しいため、適切な制御が不可欠です。
クラウドプロバイダが提供するDDoS対策機能の活用(例:AWS Shield、Azure DDoS Protection)
各クラウドサービスプロバイダは、DDoS攻撃を軽減するための専用サービスを提供しています。たとえばAWS Shield Advancedでは、24時間のDDoS保護と自動トリガーによる防御が可能です。自社での完全防御が難しい中小企業にとって、これらのマネージドサービスは有効な選択肢です。
クラウドでのDDoS攻撃を防ぐための緩和策とベストプラクティス
クラウド上でのDDoS攻撃を完全に防ぐことは難しいですが、影響を最小限に抑えるための工夫と備えが重要です。ここでは実践的な対策法を紹介します。
スケーラブルなインフラ設計とオートスケーリング活用
急激なトラフィックの増加にも耐えられるよう、オートスケーリング設定を用いて柔軟にリソースを拡張できる設計を行いましょう。ただし、無制限のスケーリングはコストの肥大化につながるため、上限設定やアラート設定も忘れずに行う必要があります。
レート制限・IP制限の実装方法
攻撃元のIPからのアクセス頻度を制御する「レートリミット」の実装は効果的です。また、ジオフェンシング(地域制限)やIPブロックリストの活用により、海外などの不要なアクセスを事前に排除することも可能です。
CDNやエッジネットワークによるトラフィック分散
AkamaiやCloudflareなどのCDNを利用することで、リクエストを分散させ、オリジンサーバーの負荷を軽減できます。CDNはキャッシュ機能によってレスポンス速度も向上し、ユーザー体験の改善にも寄与します。
DDoS攻撃への対応力を高めるための訓練・システム導入
DDoS攻撃は防御するだけでなく、実際に攻撃を受けた際に迅速に対応できる体制の構築も不可欠です。ここでは、クラウド環境におけるDDoS攻撃を想定した「演習」「訓練システム」の重要性と活用方法を解説します。
DDoS攻撃対策演習の設計と実施手法
DDoS攻撃を想定した演習では、実際の攻撃パターンを模したシナリオを用意し、ネットワークの遮断・復旧、ログの確認、アラート対応など一連の対応フローを確認します。クラウド上では仮想環境を活用することで、システムに影響を与えずに訓練が可能です。特にCSIRT(インシデント対応チーム)メンバーには、定期的な模擬訓練が推奨されます。
訓練システムを活用した実践的なセキュリティ強化
近年注目されているのが、自動化された訓練環境の導入です。クラウドベースのシミュレーターやサンドボックス環境を利用することで、現場スタッフは繰り返しトレーニングを行え、インシデント発生時の初動対応力が向上します。また、過去のDDoS攻撃ログを学習素材として活用すれば、社内のナレッジも蓄積されます。
クラウドにおけるDDoS攻撃対策の今後と展望
DDoS攻撃は年々巧妙化し、クラウド環境でもその被害は増加傾向にあります。今後、どのような技術が必要とされるのか、また今後の攻撃傾向についても予測しておくことが重要です。
AIを活用した次世代のDDoS防御システム
AI(人工知能)や機械学習を取り入れたDDoS対策ソリューションが注目されています。過去の攻撃データを解析し、異常な通信を自動検出・自動遮断する技術は、人的リソースが限られる中小企業にとって大きな武器になります。例えばGoogle Cloud ArmorやAzure Sentinelでは、機械学習アルゴリズムがトラフィック異常を事前に予測して対処します。
攻撃パターンの進化とセキュリティ対策のトレンド
現在主流のボリューム型DDoS攻撃に加え、アプリケーション層を狙う「L7攻撃」、さらには**IoTデバイスやスマート家電を悪用したボットネット型攻撃(例:Miraiボットネット)**など、手法は多様化しています。対策としては、インシデントレスポンスの自動化、ゼロトラスト・セキュリティの導入、監査ログの強化などが今後のポイントになります。
まとめ:クラウド環境におけるDDoS攻撃への備え
クラウド環境の普及に伴い、DDoS攻撃はますます現実的な脅威となっています。しかし、正しい理解と多層的な防御策、そして実践的な訓練を組み合わせることで、被害を最小限に抑えることが可能です。自社のシステム特性に応じた設計・対策を今一度見直し、いざという時に備えましょう。クラウドセキュリティは「守りの技術」ではなく、「事業継続のための投資」です。
