DDoS攻撃対策として有効なサービスの導入を検討している、WebサイトやWebサービスを運営している企業の方へ。DDoS対策サービスの種類や対策方法、比較ポイントについて解説します。
“DDoS対策サービス”の 一括資料ダウンロードする(無料)
DDoS攻撃の対策サービスとは、大量のアクセス・データ送信など、異常を起こさせようと悪意を持って不正にアクセスしてくる外部攻撃から、自社のWebサイト/システムを守るためのものです。
DDoS攻撃とは、Webサイトに大量のアクセスを集中させたり、データを送りつけたりすることで、正常なサービス提供を妨げるサイバー攻撃です。1台のコンピューターから攻撃することをDoS攻撃と呼ぶのに対し、複数のコンピューターを乗っ取って攻撃することをDDoS攻撃と呼びます。そのため、DDoS攻撃は「分散型サービス拒否攻撃」とも呼ばれます。
DDoS攻撃に対して、発信元となっているIPアドレスのアクセス回数を制限したり、海外経由のものであれば国単位でアクセスを制限したり、ある程度は対策可能です。しかし、すべてにアクセス解析を行って、不正か否かを判別するのは専門知識も必要ですし、膨大な手間暇がかかります。IPアドレス数が数百万・数千万に上る大規模なDDoS攻撃ではなおさらです。
DDoS対策サービスには様々な種類がありますが、これらを利用すれば、比較的容易に低コストでDDoS攻撃の対策が行えるようになります。
DDoS対策サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“DDoS対策サービス”の 一括資料ダウンロードする(無料)
主なDDoS攻撃の種類について解説します。
ネット上でデータをやり取りするための通信プロトコルUDPや、ネットワークの死活監視などに使われるpingを悪用して、大量のデータパケットを送りつける攻撃方法。
レスポンスの遅延やセッションの不具合、さらにはサービスの停止といった被害が発生します。DoS攻撃なら攻撃元のIPアドレスを遮断することで、それ以上の攻撃を防げますが、DDoS攻撃の場合はすべての攻撃元IPを特定するのは難しいため、何らか遮断する方法が必要です。
比較的少ないパケット数を長時間にわたって送信してTCPセッションを専有し続けることで、正規のサイト閲覧者のアクセスを妨害する攻撃方法。「Slow HTTP DoS Attack」などが有名です。
セッションの不具合や遅延、サービスの一時停止・停止といった被害が発生。対策方法として、Webサーバー側でのセッションのタイムアウトやIPアドレスあたりのセッション数などの設定変更が必要になります。
その他にも、DNSサーバーに大量の名前解決リクエストを送信するDNSフラッド攻撃、標的のIPアドレスを乗っ取ってDNS サーバーオープンを求める大量のリクエストを送信するDNSリフレクションといった攻撃方法があります。
DDoS攻撃から自社のWebサイト/サービスを防御するためのサービスをご紹介します。
DDoS攻撃とみなされる大量のデータ量を検知すると、ISP側でトラフィックを緩和させるという防御対策。契約しているインターネットプロバイダのオプションサービスとして提供されます。ルーターの前に緩和装置を設置することで、異常パケットを破棄して正常パケットのみが届けられるようになります。
UTMやファイアウォール、IDS/IPSといったセキュリティ対策を導入するのも有効です。UTMはファイアウォール、アンチスパム、アンチウイルス、IDS/IPSといった様々なセキュリティ対策が搭載されたネットワークの保護・管理システム。セキュリティ対策をまとめて行いたいケースに適しています。
UTMほどのスペックが必要ない場合や必要な機能に絞って強化したい場合は、不正なアクセスを遮断するファイアウォールや、不正なアクセスやパケットを検知・シャットアウトできるIDS/IPSの導入が選択肢となります。IDS/IPSの中には、一定の閾値を超過した攻撃をブロックできるものも。
UTMやIDS/IPSについては、以下の記事で詳細を解説しています。
CDNとは「コンテンツ・デリバリー・ネットワーク」の略称で、大容量のデジタルコンテンツを大量配信するためのネットワークのことを指します。
CDNを利用すれば、自社サーバーではなく世界中のキャッシュサーバーが大量アクセスに応答するため、自社サーバーに負荷をかけずに済みます。CDN自体が大容量配信に強みを持ち、キャッシュサーバーも高速・大容量通信を得意としているので、DDoS攻撃への対策として有効です。
CDNサービスについては、以下の記事で詳細を解説しています。
WAFとはWeb Application Firewallの略称で、Webアプリケーションをサイバー攻撃から守るセキュリティ対策のひとつ。ECサイトやネットバンキングなど、アプリケーション上でクレジットカード情報などのデータのやり取りが発生するWebサービスはもちろんのこと、企業HPのようなWebサイトにおいても幅広く導入されています。
WAFは社内ネットワーク上もしくはクラウド上(クラウドサーバーを使用している場合)に設置して、Webサーバーの直前に防御壁を張ることができます。DDoS対策システムの中に、WAFサービスを含むものも。
WAFについては、以下の記事で詳細を解説しています。
多くの場合、上記の4つの方法でDDoS対策を行いますが、専用サービスを導入するという選択肢もあります。たとえば、AWS向けの「AWS Shield」やMicrosoft Azure向けの「Azure DDoS Protection Standard」などが該当します。
DDoS対策サービスを選ぶうえで留意したい、3つの比較ポイントについて解説します。
サービスによって、対応できるネットワーク接続のレイヤーや攻撃手法は異なります。たとえば「Cloudbric WAF+」はレイヤー3(ネットワーク)、レイヤー4(TCP/IP)、レイヤー7(アプリケーション)におけるDDoS攻撃対策サービスを提供しています。
また、「攻撃遮断くん」はSYNフラッド攻撃やブルートフォースアタックなど、様々なDDoS攻撃に対応。対応しているレイヤーや攻撃手法の種類が、比較検討時のポイントとなります。
DDoS攻撃以外のサイバー攻撃への対策も検討する必要がある場合は、どんな攻撃から自社サイト/サービスを守れるかチェックする必要があります。
たとえば「Cloudbric WAF+」は、スパイウェアなどの悪性ボット遮断や脅威IPの遮断に対応。また、「BLUE Sphere」は、Webサイトの改ざんやDNSハッキングを監視する機能を搭載しています。
Webサイトの運用において、快適な通信速度を担保することは非常に重要です。しかし、UTMやWAFの処理能力が低いと、日常の処理でも通信速度が低下してしまう恐れがあります。そのため、どの程度のトラフィック量まで快適な通信速度を保てるか、チェックしておきましょう。
たとえば大量のトラフィックを処理しなければいけない環境では、最大65Tbpsという対応帯域を実現する「Cloudbric ADDoS」のようなサービスがおすすめです。
クラウド型WAFタイプのDDoS対策サービスをご紹介します。
“DDoS対策サービス”の 一括資料ダウンロードする(無料)
(出所:攻撃遮断くん公式Webサイト)
累計導入サイト数20,000以上にのぼる内トップクラスのWebセキュリティサービス。防御対象サービスのDNSを攻撃遮断くんWAFセンターに切り替える「DNS切り替え型WAF」と、防御対象のサーバーにインストールしたエージェントが攻撃を遮断する「エージェント連動型WAF」の2タイプを提供し、様々なセキュリティ対策を実現している。DDoS対策としては、DNS切り替え型がおすすめ。ユーザーと自社Webサーバーとの間にWAF センターを設置し、HTTP/HTTPS通信を通過する不正なアクセスを検知・遮断する。DNSを「攻撃遮断くん」のWAFセンターに切り替えるだけで、スムーズに利用できるのも魅力。
最短1日で導入可能、24時間365日体制で日本人スタッフによる手厚いサポートが受けられるという、国産システムならでも強みも。
(出所:Cloudbric WAF+公式Webサイト)
セキュリティ専門家がいなくても、手軽に導入・運用Webセキュリティ・プラットフォーム・サービス。WAFサービスには、論理演算検知エンジンとWebトラフィック特性学習AIエンジンを搭載。DDoS攻撃対策は、最大40Gbps、L3/L4/L7への攻撃遮断に対応可能。
そのほか、Webサイトの暗号化に必要なSSL証明書を発行する機能(無償)、114カ国から収集した脅威インテリジェンスに基づく脅威IP遮断サービスも提供。また、スパイウェア、アドウェア、スパムボットなど悪質なWebクローラーなどの悪性ボットを遮断するサービス機能もある。過去3カ月分のサマリーレポートの自動作成も可能。また、導入時と導入後運用時に、Cloudbric Labs所属のセキュリティ専門家集団による、マネージド・セキュリティ・サービスを受けることもできる。
(出所:BLUE Sphere公式Webサイト)
WAF/DDoS防御/改ざん検知のセキュリティ機能と、DNS監視機能、サイバーセキュリティ保険を備えた、クラウド型の総合セキュリティサービス。SYNフラッド攻撃やブルートフォースアタック、Ping of Deathなど、様々なDDoS攻撃に対応することができる。レイヤー3、4、7に対応。
また、専門家によるWAFのセキュリティレベルの個別チューニングを受けられるので、92.5%で正常検知をし、検知漏れは他社サービスの1/3というクオリティを保つことができる。無償で自動付帯するサイバーセキュリティ保険では、情報漏えいの損害賠償や、事故原因の調査費用・情報システム復旧費など、幅広い補償をカバーしている。
同社の別サービスとして、セキュリティ脆弱性診断やセキュリティ・コンサルティング、フォレンジック調査などを提供。
(出所:PrimeWAF公式Webサイト)
Webサイトへの通信量に応じて課金する、月額14,300円(税込)~の従量制のWAF。DDoS攻撃の防御にも有効で、SQLインジェクションやOSコマンドインジェクションなど、脆弱性を突いた攻撃を対策できる。もしものアクセス急増に備えて高価なプランに契約する必要がなく、手頃な価格でセキュリティ対策を講じることができるのがポイント。
導入には専門知識が不要で、ラベル表示やグラフでわかりやすくサイト状況を確認できるほか、WAFの防御設定はもちろんのこと、自社のサイトに合わせてカスタム防御設定も可能。柔軟な攻撃へ対処できるようになる。サポート体制も充実しており、ゼロ情シス、一人情シスの中小企業も気軽に導入することができる。
(出所:SiteGuard Cloud Edition公式Webサイト)
導入~運用までエンジニアがフルサポートするマネージド型の純国産WAF。サイト情報などの初期設定とDNS切り替えのみですぐに利用開始できるのが強み。通信量に応じて複数プランから料金を選択でき、1つの契約で10サイト~100サイトのセキュリティを同時に強化・一元管理できるのもポイントだ。
搭載された標準シグネチャで多様な攻撃の検出・防御が可能。シグネチャのカスタムや国別フィルタにも対応し、システム環境や方針に合わせてセキュリティを最適化できる。WordPressなどのCMSサイトやApache Strutsなどのミドルウェアの保護にも有効だ。
管理画面は、シンプルで直感的に操作できる設計。高度な知識がなくても、2D/3Dでの攻撃元マップや検出ログ、検出レポートなど、可視化された情報を確認できる。
(出所:AWS WAF公式Webサイト)
Webの脆弱性を利用した一般的な攻撃やボットから、Webアプリケーション(レイヤー7)を保護するAWS利用者向けのWAF。Amazon CloudFrontやApplication Load Balancer、Amazon API Gateway、AWS AppSyncへのHTTP/HTTPSリクエストを監視することができる。アクセス制御のためのルール設定は、AWSやパートナー企業から提供されたフォーマットの流用・カスタマイズが可能。自社に最適なルール設定ができる。DDoS攻撃のほかに、SQLインジェクション攻撃やクロスサイトスクリプティング攻撃、OSコマンドインジェクション攻撃などに対応。
初期コスト不要でランニングコストも安価、数クリックでセットアップ可能など、導入ハードルの低さも魅力だ。
(出所:BIG-IP Advanced WAF公式Webサイト)
ほかのWAFが見逃しやすい攻撃を識別・ブロックする、独自性の高いWAF。ゼロデイ脆弱性やアプリ層DoS攻撃、脅威キャンペーン、アプリケーションの乗っ取り、Botといった攻撃から、アプリケーションやAPI、データを保護するように設計されている。また、AzureやAWS、GCPといった主要なクラウドプロバイダーと統合されているのも特徴だ。
機械学習や脅威インテリジェンス、アプリケーションに関する専門知識を活かして、高度なアプリケーション保護を実現。行動分析と機械学習によって、アプリケーション/L7へのDoS攻撃を正確に検出・軽減する。
WAF専用のハードウェアをWebサーバーの前に設置するタイプの、DDoS対策サービスをご紹介します。
(出所:FortiWeb公式Webサイト)
エンタープライズデータセンターのセキュリティ対策に最適な、高性能DDoS保護ソリューション。機械学習に基づいた脅威検知で、既知の攻撃に加え、ゼロデイ攻撃にも非常に素早く対応し、自社システムの保護が可能。誤検知も最小化する。帯域幅占有型攻撃、レイヤー7(アプリケーション)攻撃、SSL/HTTPS接続攻撃など、あらゆるDDoS攻撃に対応可能。また、DNSサービスへの攻撃からも、専用ツールによって保護される。
その他に、数十万のパラメータの同時監視、継続的な脅威評価機能、高度な分析機能でワークフローを効率化できる。
WAFの運用までカバーするタイプの、DDoS対策サービスをご紹介します。
“DDoS対策サービス”の 一括資料ダウンロードする(無料)
(出所:GMOサイバーセキュリティ WAFエイド公式Webサイト)
AWS WAFとCloudflare WAFに対応した、WAFの自動運用サービス。国内最大規模のGMOグループが運営するインターネットインフラ基盤の知見と、世界トップクラスのホワイトハッカー集団から生まれるサイバーセキュリティの知見を活用した防御設定で、Webサービスやアプリを守る。最適なルール設定と、独自シグネチャやブラックリストによって、可用性と防御力を両立している。
同社がSOCサービスを提供していることから、独自のブラックリストを保有。ブラックリストに基づいて、悪意あるBotからのアクセスを遮断することで、不正ログインやDDoS攻撃、アカウント情報の窃盗といった攻撃を防ぐ。また、独自開発のSIEMエンジンによりログを常時分析しており、危険度の高い攻撃を検知すると、人的判断を待たずにIP社団を実行。被害拡大の防止に寄与する。
DDoS対策に特化した専用サービスをご紹介します。
(出所:AWS Shield公式Webサイト)
AWSで実行しているアプリケーションをDDoS攻撃から保護するためのサービス。AWS利用者は追加料金なしで自動的に保護を受けられるようになっている。 Amazon CloudFront や Amazon Route 53 と併用することで、レイヤー3、4への攻撃も防御できる。AWS WAFと合わせて使えば、レイヤー7のDDoS攻撃にも対処可能。
有料サービスのAWS Shield Advancedは、大規模で高度なDDoS 攻撃に対する追加の検出・緩和策と、ほぼリアルタイムでの可視性を提供。さらに、DDoS 攻撃によってリソース使用量が急増し、請求金額が高額となった場合にはサービスクレジットがリクエストできるなど、様々なサービスが充実している。ビジネスサポートまたはエンタープライズサポートに加入しているユーザーであれば、24時間365日、アプリケーションレイヤー DDoS 攻撃緩和のサポートが受けられる。
(出所:Cloudbric ADDoS公式Webサイト)
グローバルな大規模DDoS攻撃にも対応する、DDoS攻撃対策専用のソリューション。リアルタイムでトラフィックを常時監視し、攻撃があった場合は発信元に最も近いネットワークエッジで負荷を分散処理し、攻撃を緩和する。対応帯域は最大100Tbpsと大容量なので、快適な通信速度を保つことができる。レイヤーは3、4、7に対応。
また、DDoS脅威に関するインテリジェンスを収集・分析から配布まで行い、アルゴリズムの作成及び適用が可能。海外からのゼロデイ攻撃でも検出・遮断できる。
DDoS攻撃対策を最優先する場合はADDoSを単独で導入し、トータルでWebセキュリティ戦略を実現したい場合は、ADDoSとWAF+を併用するなど、自社の目的に合わせてプロダクトを組み合わせて導入するのもおすすめだ。
(出所:Azure DDoS Protection公式Webサイト)
Azureの仮想ネットワークやリソースを保護するために最適化されたDDoS攻撃対策の専用ソリューション。Azure環境下での設定や管理が容易で、Azure以外のサービスとも連携しやすい。
L3、L4に加え、WAF併用でL7にも対応。DDoS攻撃の検知、攻撃、分析に特化した機能が組み込まれている。24時間365日監視し、攻撃を検知した際にはネットワークエッジで負荷を分散して、攻撃を緩和。更に攻撃中の5分ごとの詳細なレポートとアラート機能で状況を可視化。Azure DDoS ネットワーク保護が有効時にはDDoS Rapid Response (DRR) チームによる分析やサポートが受けられる。
IT技術の発達・普及とともに、サイバー攻撃もどんどん高度化・悪質化が進んでいます。加えて、サイバーセキュリティ対策は費用対効果が見えづらいことから、後回しにされがちでもあります。しかし、攻撃を受けたときの被害は、対策費用よりもはるかに甚大です。以下の比較ポイントを踏まえて最適なサービスを選びましょう。
(1)DDoS攻撃手法に対する守備範囲
(2)他のサイバー攻撃に対する守備範囲
(3)快適な通信を担保できるトラフィック量
DDoS攻撃は、脅迫や抗議、嫌がらせといった“目的のある攻撃”だけでなく、単なる愉快犯というケースも見られるため、「自社は標的にならない」という保証はありません。低コストで導入・運用できるサービスもありますので、“被害者”になってしまう前にDDoS対策サービスの導入を検討してみてください。
DDoS対策サービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“DDoS対策サービス”の 一括資料ダウンロードする(無料)
ペンタセキュリティ株式会社
企業のWebシステムを守る一石五鳥のWebセキュリティ・プラットフォーム・サービス。社内にセキュリティ専門家がいなくても手軽に運用・導入ができます。...
株式会社アイロバ
クラウド型のWAF/DDoS防御/改ざん検知機能を備えた総合セキュリティサービス。Webサイトのあらゆる脅威にオールインワンのセキュリティで対応できます。...
EGセキュアソリューションズ株式会社
15年以上の販売実績を持つソフトウェアメーカーが提供するマネージド型純国産WAF。SiteGuardシリーズは累計導入サイト数150万サイト超、国内WAF市場シ...
GMOサイバーセキュリティ byイエラエ株式会社
AWS WAFおよびCloudflare WAFに対応した、WAFの自動運用サービス。高度な検知シグネチャや自動遮断機能を備え、専門知識がなくても効果的なWAF...
記事をシェア
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
資料ダウンロード用のURLを「asu-s@bluetone.co.jp」よりメールでお送りしています。
なお、まれに迷惑メールフォルダに入る場合があります。届かない場合は上記アドレスまでご連絡ください。
