DDoS攻撃対策はWAFが必須、知っておきたい防御策を解説

DDoS攻撃とは　

DDoSとはDistributed Denial of Serviceの略であり、日本語では分散サービス拒否攻撃と訳されています。

具体的にはインターネット上に公開しているサーバーに対して、複数のコンピュータから大量の処理負荷を与え、ネットワーク回線をダウンさせることでサービスを機能停止状態へ追い込む攻撃のことです。

外部に公開しているWebサイトであれば、どんなサイトであっても標的となるため、管理者の立場としてはこうしたサイバー対策を取ることが求められています。

DoS攻撃とDDoS攻撃の違い

似た言葉として、DoS（Denial of Service）攻撃がありますが違いを明確にしておきます。
DoS攻撃は、一つのコンピュータからさまざまな手段で過剰負荷をかけて攻撃する手法です。

DDoS攻撃は、DoS攻撃を発展させたもので、不特定多数のコンピュータを利用して分散した攻撃を行います。

攻撃者は、まず全く無関係なコンピュータを感染させてゾンビマシンを作ります。
そのゾンビマシンの集合体（ボットネットを呼びます）を利用して、自らの手を汚すことなく攻撃します。

無関係のコンピュータは知らない間に加害者となってしまい、いわゆる黒幕を割り出すことが難しいこともDDoS攻撃の特徴です。

以下の記事では、DoS攻撃とDDoS攻撃との違いをより詳しく解説しています。

増え続けるDDoS攻撃

Web管理者でなければ、DDoS攻撃という言葉すら知らないことが多いですが、被害状況は加速度的に拡大しています。

2017年1月に、アーバーネットワークスが発表したセキュリティ調査レポートによると、DDoS攻撃規模は過去5年で12倍に増加しています。

さらに頻度や複雑性も増大しており、特筆すべきはIoT（Internet of Things）と呼ばれるデバイスがボットネットとなるケースが増えたことです。IoTデバイスは、セキュリティ対策が万全でないことが多く、攻撃者にとってはまさに狙い目とされています。

DDoS攻撃を実際に受けた事例　　　　

実際にDDoS攻撃を受けてサーバーダウンしたケースとして、ヨドバシカメラの例を紹介します。

同社が運営する公式通販サイト「ヨドバシ・ドットコム」では、家電製品や日用品など430万点以上の品を販売しており、1日で億単位の売上を計上しています。

2016年9月に、DDoS攻撃を受けて連日サーバーがダウンし、利用者は接続不能となる時期が続きました。一時はサイトの閉鎖も余儀なくされるほどで、同グループにとっては甚大な被害となりました。

以下の記事ではDDoS攻撃についてより詳しく解説しています。

DDoS攻撃の加害者にならないために

DDoS攻撃は、上述したように意図せずして自らが加害者になってしまうケースがあります。そうならないようにするために、セキュリティの意識を高く持たなければなりません。

以下、5点に絞って具体的に解説します。

OSやアプリは最新の状態に

サイバー攻撃の場合、古いバージョンから狙われることが多いものです。そのため、パソコンのOSやアプリのアップデートを怠らず、常に最新の状態にしておくことが重要です。

他システムとの影響を懸念して、あまりアップデートを行わない企業もありますが、セキュリティ面から考えるとリスクにさらされていることになります。

セキュリティソフトの導入

セキュリティソフトを導入して、最新の状態にしておくことも対策の一つです。

Windows Defenderなど無料のソフトだけでは駆除できないウィルスも増えていることから、有償ソフトの導入が必須です。

もちろん、導入するだけでは意味がなく、アップデートをし続けなければ新たな脅威から守ることはできません。

怪しいファイルは開かない

メールの添付ファイルを開かせることで、パソコンを感染させるという手法は古くからあります。いかにも簡単なやり方ではありますが、今も行われているのが実情です。

自らの手でウイルスを呼び込むものなので、怪しいファイルは不用意に開かないことを社内文化として根付かせなければなりません。

不審なサイトには近づかない

上記に近い形ですが、不審なサイトにアクセスすることで、感染してしまうケースもあります。添付ファイル同様に、こうした怪しいサイトにもアクセスしないことでセキュリティレベルを高めることができます。

IoTデバイスへのセキュリティ意識

パソコンやスマホなどの端末には充分なセキュリティ対策が施されていたとしても、IoTデバイスは購入状態のまま放置されていることがあります。

そのため、最近ではセキュリティレベルが低いIoTデバイスが狙われることが多く、知らない間に加害者になってしまいます。パスワードの定期的な変更など、IoTデバイスにもセキュリティ意識を持つことが重要です。

以下の記事では、IoTについてより詳しく解説しています。

DDoS攻撃を受けた場合の対処法

対策を施していても、DDoS攻撃を受けてしまうこともあります。

その場合にどのように対処すればよいのでしょうか。DoS攻撃の場合は一つのコンピュータからの攻撃ですから、異常な特定IPのアクセスを制限することで回避可能かもしれません。

しかし、DDoS攻撃の場合は、不特定多数の攻撃者ですから特定が困難です。それでも、同一IPからのアクセス回数を、1日10回などのように制限することは有効な手段です。

該当のWebサイトの対象者が国内のみの場合は、海外からのアクセスを制限するという方法も効果的です。

DDoS攻撃対策にはWAF

WAFとは　　　　　　

DDoS攻撃は、その手口が日に日に複雑化、そして巧妙化しています。こうした攻撃から守るツールとして、昨今注目されているのがWAFです。

WAFは、Web Application Firewallの略であり、従来までのセキュリティ対策製品とは役割が大きく異なります。

WAFは、インフラ部分のネットワークや、OSなどのソフトウェアではなく、Webアプリケーションそのものを専用防御するためのツールです。データの中身をアプリケーションレベルで解析できることも、他の製品にない特徴です。

現在では、Webサイトを防御するもっとも現実的な選択肢といわれています。

以下の記事では、WAFについてより詳しく解説しています。

IPS・IDS

次に従来までのゲートウェイセキュリティ対策製品として、IPS・IDSにふれておきます。IDSは、Intrusion Detection Systemの略で、日本語では不正侵入検知と呼ばれています。ネットワークなどへの不正アクセスを検知し、管理者へ通報する機能を持つソフトウェアやハードウェアを指します。

IDSで検知したとしても、管理者が実際にトラブル対応するには少なからず時間がかかります。この間に被害が拡大することもありえるため、IPSと呼ばれるものが登場しました。
IPSはIntrusion Prevention Systemの略で、不正侵入防御システムと呼ばれているとおり、検知するだけではなく不正侵入を遮断する機能を持っています。

以下の記事では、IPS・IDSについてより詳しく解説しています。

ファイアウォール

ファイアウォールは、英語でFireWallと書き、もともとは火事における炎を遮断する防火壁が語源となっています。

コンピュータやネットワークと外部環境との境界に設置されて、指定したIPアドレスおよびその範囲や通信の種類によって通信許可またはブロックするソフトウェアやハードウェアを指します。

IPSやファイアウォールでは防げない？

WAFが普及し始めたことには、巧妙なDDoS攻撃が増えたことが背景にあります。確かにIPSやファイアウォールは、不正アクセスの検知や防御を行うことができます。

しかし、DDoS攻撃は複数コンピュータによるものであるため、一見すると通常のトラフィックと見分けがつきません。

攻撃と認識されたときには、すでにWebサイトがサービス停止状態になってしまっていることがありえます。

したがって、IPSやファイアウォールでは、完全にはDDoS攻撃を防ぐことができないのです。

WAFの防御範囲

その理由は、それぞれの製品が防御できる通信レイヤーに違いがあるからです。

ファイアウォールは、データセンターの手前に置かれて、ネットワークレベルを防御しています。IPS・IDSは、その物理的なネットワーク上に存在するOSやWebサーバーレベルの防御をしています。

OSI参照モデルでいうところで大まかに区別すると、第1層（物理層）から第4層（トランスポート層）までをファイアウォールが防御し、第5層（セッション層）から第7層（アプリケーション層）までをIPS・IDSが防御します。

Webアプリケーションは、コンテンツ層と呼ばれる第7層のさらに上部に位置しており、OSI参照モデルには規定されていません。そのため、ファイアウォールはもとより、IPS・IDSの防御範囲を超えるところにあります。そして、WAFはコンテンツ層を唯一防御できる手段として注目されています。

DDoS攻撃対策が可能なWAFサービス

以下のボタンからおすすめWAFサービスの資料を一括無料DLできます。

• あらゆるWebサービスへ導入可能なプラン
• 専任技術者による万全のサポート体制
• 国内トップクラスのシェア獲得

攻撃遮断くんは、サイバーセキュリティクラウドが運営するクラウド型WAFサービスです。WebサイトやWebサーバーへのサイバー攻撃を可視化して、被害を未然に防ぎます。クラウド型WAFサービスに関する市場調査においてサービス開始約3年半で、累計導入社数国内No.1を記録しました。自社でサービスの開発、運用、販売、サポートを一貫して提供しているため、あらゆる要件に対応しています。

以下の記事では、攻撃遮断くんについてより詳しく解説しています。

• サイバー攻撃からWebサイトを包括的に守る
• サイバーセキュリティ保険付帯で万一の場合も安心
• 総データ量と平均帯域による従量課金制で料金はリーズナブル

BLUE Sphereは、さまざまなサイバー攻撃を対策し、サイバーセキュリティ保険で万一の事態にも備えられるクラウド型サービスです。

WAF・DDoS防御・改ざん検知・DNS監視など、あらゆるセキュリティ対策をひとつにまとめることで、Webサイトを包括的に守ります。サイバーセキュリティ保険が付帯し、損害賠償や費用損害を補償。また、利用料金は3か月の総データ量と平均帯域で変動するため、コストの無駄もかかりません。

• 自動でアップデートされる強力なセキュリティ機能
• WAF以外のセキュリティ対策も搭載
• 一般的なクラウドWAFと比べセキュリティ機能が充実

secuWAF（セキュワフ）は、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。

• クラウドサービスのため機器導入不要
• 最新のセキュリティ情報に基づいた診断
• 4種類の安全証明マーク

SCT SECURE クラウドスキャンは、三和コムテックが提供するクラウド型セキュリティ・サービスです。Webサイトはもちろん、ルーターやファイアウォール、DNSなどのネットワーク機器のぜい弱性について毎日診断します。診断結果に合格したWebサイトには、SCT SECURE安全証明マークを発行して、サイト訪問者にアピールすることも可能です。

以下の記事では、DDoS攻撃対策可能なサービスについてより詳しく解説しています。

巧妙化するDDoS対策には、クラウド型WAFの検討を！

サイバー攻撃が高度化している時代、Web管理者は自社のサイト防御に戦々恐々としています。大規模なDDoS攻撃は、サービスダウンを引き起こすなど、ビジネスに大きな悪影響を及ぼすからです。

多種多様化する攻撃に対して、自社のぜい弱性を強化するためには、セキュリティに対する正確な理解と対策が必要です。

特に昨今のDDoS攻撃を防ぐためには、従来型のファイアウォールでは難しく、WAFの導入を検討しなければなりません。

クラウド型のWAFであれば、専門の技術者を置かなくても、最新の攻撃を防ぐことができるため現代のサイバー対策にはおすすめといえます。

関連記事

BOXILとは

BOXIL（ボクシル）は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」を通じて、ビジネスに役立つ情報を発信しています。

BOXIL会員（無料）になると次の特典が受け取れます。

• BOXIL Magazineの会員限定記事が読み放題！
• 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる！
• 約800種類のビジネステンプレートが自由に使える！

BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。

BOXIL SaaSへ掲載しませんか？

• リード獲得に強い法人向けSaaS比較・検索サイトNo.1^※
• リードの従量課金で、安定的に新規顧客との接点を提供
• 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心

^{※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査}