最終更新日:2022-06-03
DDoS攻撃に備えて対策強化に有効なサービスの導入を検討している、WebサイトやWebサービスを運営している企業の方へ。DDoS対策サービスの種類や対策方法、比較ポイントについて解説します。
DDoS対策サービスとは、DDoS攻撃から自社のWebサイト/システムを守るためのものです。
DoS攻撃とは、Webサイトなどに大量のアクセスを集中させることで、サーバーに高い負荷を与えてダウンさせ、サービスを提供できなくするサイバー攻撃の手法を指します。1台のコンピュータから攻撃することをDoS攻撃と呼ぶのに対し、複数のコンピュータを乗っ取って攻撃することをDDoS攻撃と呼びます。
DDoS攻撃を受けると、Webサイトの応答速度が低下したり、サーバーが落ちてサイトからの応答自体がなくなったり、といった被害が発生。Webサイトやサービスを提供できなくなるため、ユーザーからの信頼を失うことにもなりかねません。
不正な大量アクセスが発生した際に、アクセスの遮断によってWebサイト/システムを守るのが、DDoS対策サービスです。2021年の下半期には、前年度比23%増となる1,540万台ものDDoS武器が観測され(※)、DDoS攻撃の種類も多様化しているなど対策の必要性が高まっています。
(※)A10ネットワークス株式会社「2022年度版のDDoS脅威レポート」より
DDoS対策サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
主なDDoS攻撃の種類について解説します。
ネット上でデータをやり取りするための通信プロトコルUDPや、ネットワークの死活監視などに使われるpingを悪用して、大量のデータパケットを送りつける攻撃方法。
レスポンスの遅延やセッションの不具合、さらにはサービスの停止といった被害が発生します。DoS攻撃なら攻撃元のIPアドレスを遮断することで、それ以上の攻撃を防げますが、DDoS攻撃の場合はすべての攻撃元IPを特定するのは難しいため、何らか遮断する方法が必要です。
比較的少ないパケット数を長時間にわたって送信してTCPセッションを専有し続けることで、正規のサイト閲覧者のアクセスを妨害する攻撃方法。「Slow HTTP DoS Attack」などが有名です。
セッションの不具合や遅延、サービスの一時停止・停止といった被害が発生。対策方法として、Webサーバー側でのセッションのタイムアウトやIPアドレスあたりのセッション数などの設定変更が必要になります。
その他にも、DNSサーバーに大量の名前解決リクエストを送信するDNSフラッド攻撃、標的のIPアドレスを乗っ取ってDNS サーバーオープンを求める大量のリクエストを送信するDNSリフレクションといった攻撃方法があります。
DDoS攻撃から自社のWebサイト/サービスを防御するためのサービスをご紹介します。
DDoS攻撃とみなされる大量のデータ量を検知すると、ISP側でトラフィックを緩和させる防御対策。契約しているインターネットプロバイダのオプションサービスとして提供されます。ルーターの前に緩和装置を設置することで、異常パケットを破棄して正常パケットのみが届けられるようになります。
UTMやファイアウォール、IDS/IPSといったセキュリティ対策を導入するのも有効です。UTMはファイアウォール、アンチスパム、アンチウイルス、IDS/IPSといった様々なセキュリティ対策が搭載されたネットワークの保護・管理システム。セキュリティ対策をまとめて行いたいケースに適しています。
UTMほどのスペックが必要ない場合や必要な機能に絞って強化したい場合は、不正なアクセスを遮断するファイアウォールや、不正なアクセスやパケットを検知・シャットアウトできるIDS/IPSの導入が選択肢となるでしょう。IDS/IPSの中には、一定の閾値を超過した攻撃をブロックできるものも。
CDNとは「コンテンツ・デリバリー・ネットワーク」の略称で、大容量のデジタルコンテンツを大量配信するためのネットワークのことを指します。
CDNを利用すれば、自社サーバーではなく世界中のキャッシュサーバーが大量アクセスに応答するため、自社サーバーに負荷をかけずに済みます。CDN自体が大容量配信に強みを持ち、キャッシュサーバーも高速・大容量通信を得意としているので、DDoS攻撃への対策として有効です。
WAFとはWeb Application Firewallの略称で、Webアプリケーションへの攻撃に対するセキュリティ対策のひとつ。ECサイトやネットバンキングなど、アプリケーション上でクレジットカード情報などのデータのやり取りが発生するWebサービスはもちろんのこと、企業HPのようなWebサイトにおいても幅広く導入されています。
WAFは社内ネットワーク上もしくはクラウド上(クラウドサーバーを使用している場合)に設置して、Webサーバーの直前に防御壁を張ることができます。DDoS対策システムの中に、WAFサービスを含むものも。
上記の4つの方法でDDoS対策を施す場合も多いですが、専用サービスを導入する場合も。たとえば、AWSを利用している組織では、「AWS Shield」がよく導入されています。また、Microsoft Azureでは、専用のDDoS対策サービスとして「Azure DDoS Protection Standard」が提供されています。
DDoS対策サービスを選ぶうえで留意したい、3つの比較ポイントについて解説します。
サービスによって、対応できるネットワーク接続のレイヤーや攻撃手法は異なります。たとえば「Cloudbric WAF+」はレイヤー3(ネットワーク)、レイヤー4(TCP/IP)、レイヤー7(アプリケーション)におけるDDoS攻撃対策サービスを提供しています。
また、「攻撃遮断くん」はSYNフラッド攻撃やブルートフォースアタックなど、様々なDDoS攻撃に対応。対応しているレイヤーや攻撃手法の種類が、比較検討時のポイントとなります。
DDoS攻撃以外のサイバー攻撃への対策も検討する必要がある場合は、どんな攻撃から自社サイト/サービスを守れるかチェックする必要があります。たとえば「Cloudbric WAF+」は、スパイウェアなどの悪性ボット遮断や脅威IPの遮断に対応。また、「BLUE Sphere」には、Webサイトの改ざんやDNSハッキングを監視する機能があります。
Webサイトの運用において、快適な通信速度を担保することは非常に重要です。しかし、UTMやWAFの処理能力が低いと、日常の処理でも通信速度が低下してしまう恐れが。そのため、どの程度のトラフィック量まで快適な通信速度を保てるか、チェックしておくといいでしょう。「Cloudbric ADDoS」は最大65Tbpsという、競合他社を圧倒する対応帯域を実現しています。
クラウド型WAFタイプのDDoS対策サービスを5つご紹介します。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:攻撃遮断くん公式Webサイト)
累計導入者数国内トップクラスのWebセキュリティサービス。防御対象サービスのDNSを攻撃遮断くんWAFセンターに切り替える「DNS切り替え型WAF」と、防御対象のサーバーにインストールしたエージェントが攻撃を遮断する「エージェント連動型WAF」の2タイプを提供し、様々なセキュリティ対策を実現している。DDoS対策としては、DNS切り替え型がおすすめ。ユーザーと自社Webサーバーとの間にWAF センターを設置し、HTTP/HTTPS通信を通過する不正なアクセスを検知・遮断する。DNSを「攻撃遮断くん」のWAFセンターに切り替えるだけで、スムーズに利用できるのも魅力。
また、24時間365日体制で日本人スタッフによる手厚いサポートが受けられるという、国産システムならでも強みも。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:Cloudbric WAF+公式Webサイト)
企業のWebセキュリティ確保に必須とされる5つのサービスを統合的に提供する、Webセキュリティ・プラットフォーム・サービス。わかりやすいUIと自動レポート作成機能で、セキュリティ専門家がいなくても、手軽に導入・運用できる。
WAFサービスは、論理演算検知エンジンとWebトラフィック特性学習AIエンジンを搭載しており、最上位レベルのセキュリティサービスを提供。DDoS攻撃対策は、L3/L4/L7への攻撃遮断に対応している。その他に、脅威IP遮断サービスや悪性Bot遮断サービスといった機能も。また、導入時と導入後運用時に、Cloudbric Labs所属のセキュリティ専門家集団による、マネージド・セキュリティ・サービスを受けることもできる。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:BLUE Sphere公式Webサイト)
WAF/DDoS防御/改ざん検知のセキュリティ機能と、DNS監視機能、サイバーセキュリティ保険を備えた、クラウド型の総合セキュリティサービス。SYNフラッド攻撃やブルートフォースアタック、Ping of Deathなど、様々なDDoS攻撃に対応することができる。レイヤー3、4、7に対応。
また、専門家によるWAFのセキュリティレベルの個別チューニングを受けられるので、92.5%で正常検知をし、検知漏れは他社サービスの1/3というクオリティを保つことができる。無償で自動付帯するサイバーセキュリティ保険では、情報漏えいの損害賠償や、事故原因の調査費用・情報システム復旧費など、幅広い補償をカバーしている。
同社の別サービスとして、セキュリティ脆弱性診断やセキュリティ・コンサルティングなどを提供。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:PrimeWAF公式Webサイト)
Webサイトへの通信量に応じて課金する、月額14,500円(税込)~の従量制のWAF。もしものアクセス急増に備えて高価なプランに契約する必要がなく、手頃な価格でセキュリティ対策を講じることができる。導入には専門知識が不要で、ゼロ情シス、一人情シスの中小企業も気軽に導入することができる。サポート体制も充実しており、安心して相談できるのも中小企業にはありがたいところ。WAFの機能として、DDoS攻撃の防御にも有効。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
(出所:AWS WAF公式Webサイト)
Webの脆弱性を利用した一般的な攻撃やボットから、Webアプリケーション(レイヤー7)を保護するAWS利用者向けのWAF。Amazon CloudFrontやApplication Load Balancer、Amazon API Gateway、AWS AppSyncへのHTTP/HTTPSリクエストを監視することができる。アクセス制御のためのルール設定は、AWSやパートナー企業から提供されたフォーマットの流用・カスタマイズが可能。自社に最適なルール設定ができる。DDoS攻撃のほかに、SQLインジェクション攻撃やクロスサイトスクリプティング攻撃、OSコマンドインジェクション攻撃などに対応。
初期コスト不要でランニングコストも安価、数クリックでセットアップ可能など、導入ハードルの低さも魅力だ。
WAF専用のハードウェアをWebサーバーの前に設置するタイプの、DDoS対策サービスを2つご紹介します。
(出所:FortiWeb公式Webサイト)
エンタープライズデータセンターのセキュリティ対策に最適な、高性能DDoS保護ソリューション。既知の攻撃に加え、ゼロデイ攻撃にも非常に素早く対応し、自社システムを保護することができる。帯域幅占有型攻撃、レイヤー7(アプリケーション)攻撃、SSL/HTTPS接続攻撃など、あらゆるDDoS攻撃に対応可能。また、DNSサービスへの攻撃からも、専用ツールによって保護される。
その他に、数十万のパラメータの同時監視、継続的な脅威評価機能による誤検知の最小化といった強みを持つ。
(出所:Advanced Web Application Firewall公式Webサイト)
金融サイトやECサイト、政府機関のサイト、ゲーミングサイトなど、大量のトラフィックが集まるWebサイトで数多く導入されている、オンプレ・アプライアンス型のWAF。ロードバランサー(トラフィックの負荷分散装置)と統合されているため、シンプルなネットワーク構成になるのが特徴だ。
レイヤー3から7までのネットワークトラフィックを包括的にカバーし、30種類以上ものDDoS攻撃手法から、自社システムを守ることができる。99.89%という最高レベルの検知性能も心強い。
また、DDoS対策の専門ソリューションとして、「DDOS HYBRID DEFENDER(DHD)」を提供。
DDoS対策に特化した専用サービスを2つご紹介します。
(出所:AWS Shield公式Webサイト)
AWSで実行しているアプリケーションをDDoS攻撃から保護するためのサービス。AWS利用者は追加料金なしで自動的に、AWS Shield Standard の保護を受けられるようになっている。 Amazon CloudFront や Amazon Route 53 と併用することで、レイヤー3、4への攻撃も防御できる。
一方、有料サービスのAWS Shield Advancedでは、大規模で高度なDDoS 攻撃に対する追加の検出・緩和策と、ほぼリアルタイムでの可視性を提供。さらに、DDoS 攻撃によってリソース使用量が急増し、請求金額が高額となった場合にはサービスクレジットがリクエストできるなど、様々なサービスが充実している。
(出所:Cloudbric ADDoS公式Webサイト)
グローバルな大規模DDoS攻撃にも対応する、DDoS攻撃対策専用のソリューション。リアルタイムでトラフィックを常時監視し、攻撃があった場合は発信元に最も近いネットワークエッジで負荷を分散処理し、攻撃を緩和する。対応帯域は最大65Tbpsと大容量なので、快適な通信速度を保つことができる。レイヤーは3、4、7に対応。
また、DDoS脅威に関するインテリジェンスを収集・分析から配布まで行い、アルゴリズムの作成及び適用が可能。海外からのゼロデイ攻撃でも検出・遮断できる。
DDoS攻撃対策を最優先する場合はADDoSを単独で導入し、トータルでWebセキュリティ戦略を実現したい場合は、ADDoSとWAF+を併用するなど、自社の目的に合わせてプロダクトを組み合わせて導入するのもおすすめだ。
IT技術の発達・普及とともに、サイバー攻撃もどんどん高度化・悪質化が進んでいます。加えて、サイバーセキュリティ対策は費用対効果が見えづらいことから、後回しにされがちでもあります。しかし、攻撃を受けたときの被害は、対策費用よりもはるかに甚大です。
DDoS攻撃は、脅迫や抗議、嫌がらせといった“目的のある攻撃”だけでなく、単なる愉快犯というケースも見られるため、「自社は標的にならない」という保証はありません。低コストで導入・運用できるサービスもありますので、“被害者”になってしまう前にDDoS対策サービスの導入を検討してみてください。
DDoS対策サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
利用規約とプライバシーポリシーに同意の上、
資料をダウンロードしてください。
導入サイト数20,000以上。トップクラスの実績を持つ国産クラウド型WAF。あらゆるWebシステムに導入でき、複数サイトでも定額利用可能。24時間365日、日本...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
導入が簡単で、月額14,500円~と手頃な価格でセキュリティ対策を講じることができるWAFサービス。クラウド型だから、常に最新のセキュリティ対策を実装できて安心...
利用規約とプライバシーポリシーに同意の上、資料をダウンロードしてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
