【新着】組織内での共有・無制限視聴OK!「情報セキュリティ研修」動画パッケージ販売中 >

DDoS攻撃の対策とは?企業が実践したい基本的な防御方法を解説

インシデント・事例

「自社のWebサイトやサービスが、もし大量の不正アクセスでダウンしたらどうしよう」

「DDoS攻撃のニュースをよく聞くけれど、具体的にどのような対策を導入すれば安心なのだろう」

企業の業務効率化やビジネスのオンライン化が日常ルーティンとなる中、Webサイトやシステムの「停止」は、売上の機会損失だけでなく、企業の社会的信用を大きく失墜させる重大な経営リスクです。

複数のコンピューターから一斉に大量の通信を送りつけてサーバーやネットワークを麻痺させる「DDoS(分散型サービス拒否)攻撃」は現在も継続的に発生しており、攻撃規模や手法も多様化しています。

現在は規模や業種を問わず、さまざまな組織がターゲットになっているため、事前の備えが客観的に欠かせません。

本記事では、DDoS攻撃の基本的な仕組みをおさらいしつつ、企業ガバナンスとして実践すべき実効性の高い技術的・組織的な防御方法についてわかりやすく解説します。

1. 適切な対策を知るためのDDoS攻撃の基本

効果的な防壁を築くためには、まず敵がどこを狙ってくるのかを客観的に把握する必要があります。

DDoS攻撃の手口は、主に狙われる「レイヤー(層)」によって次の2つに分類されます。

  • インフラ・ネットワーク層を狙う攻撃(ボリューム型攻撃) サーバーに繋がる通信回線の許容量を超える膨大なデータパケットを送りつけ、回線そのものをパンクさせる手口です。
  • アプリケーション層を狙う攻撃 Webサイトのお問い合わせフォームや検索機能など、サーバー側で重い処理が必要なプログラムに対して、執拗に大量のリクエストを送信してサーバーのCPUやメモリを枯渇させる手口です。

このように、攻撃のアプローチが異なるため、「回線を守る対策」と「プログラム(サーバー)を守る対策」を組み合わせた多層防御が重要になります。

2. 企業が実践したい基本的なDDoS攻撃対策(技術編)

DDoS攻撃は、正常なユーザーと同じ通信の手順を踏んで攻めてくることが多いため、従来の一般的なファイアウォールだけでは防ぎきれない場合があります。

以下の4つの技術的ソリューションの適合運用が推奨されます。

1.CDN(コンテンツ配信ネットワーク)サービスの活用:回線負荷の分散・吸収。

自社のオリジンサーバーの手前に、CDNサービス(例:Cloudflareなど)を配置します。

世界中に分散されたキャッシュサーバーが通信を受け止めるため、攻撃トラフィックを分散・吸収し、自社サーバーへの負荷軽減が期待できます。

2.WAF(Webアプリケーションファイアウォール)の導入:アプリケーション層の保護。

Webサイトの脆弱性を突く攻撃や、特定のページへの執拗なリクエストなど、アプリケーション層を狙う一部の攻撃への対策としてWAFが有効です。

不審なアクセスパターンやボットの挙動をリアルタイムで検知・ブロックします。

3.DDoS緩和(ミティゲーション)サービスの利用:専門的な防御。

ISP(回線事業者)やクラウドベンダーが提供するDDoS専用の防御サービスを契約します。

大規模なトラフィック攻撃が発生した際、通信を「クレンジングセンター(洗浄所)」へ迂回させ、攻撃通信だけを自動で遮断して正常な通信だけをシステムに届ける仕組みです。

4.サーバーの自動スケーリング設定:インフラのレジリエンス。

アクセス増加(負荷)に応じて、サーバーの処理能力や台数を動的に拡張するクラウドの「オートスケーリング」を設定しておきます。

ただし、攻撃が続く限り従量課金コストが増加するリスクがあるため、上記①〜③の遮断対策と必ずセットで運用する必要があります。

3. 有事の被害を最小限に抑える「組織的対策」

DDoS攻撃への備えは、システムの導入だけで完結するものではありません。

攻撃を受けた際、組織がパニックにならず冷静に対応できるガバナンス体制を整えておくことが、復旧までの時間を左右します。

① CSIRT(インシデント対応チーム)の体制整備とプレイブック作成

「アクセス障害が発生した際、それが単なるアクセス集中なのか、サイバー攻撃なのか」を迅速に判断し、関係各所へ連絡するワークフロー(プレイブック)を事前に定めておきます。

回線事業者やセキュリティベンダーへの連絡手順、組織内の役割分担、対応フローをあらかじめルール化しておくことが重要です。

② 別の不正アクセスの可能性も並行して警戒する

DDoS攻撃は、単独で実施されるだけでなく、不正アクセスなど別の致命的な攻撃と組み合わせて行われるケース(煙幕としての悪用)もあります。

システムの管理担当者がDDoSの復旧対応に追われている隙を突き、裏側の脆弱性から重要な情報を盗み出す手口です。

有事の際も、必要に応じてセキュリティベンダーやSOC(セキュリティオペレーションセンター)と連携しながら、機密データが保管されているサーバーのアクセスログや特権アカウントの動きを同時に別ラインで監視し続けるルーティンが推奨されます。

③ 広報(アナウンス)のタイムライン策定

システムが停止した際、顧客への第一報をどのタイミングで、どのような文面で出すかの広報マニュアルを準備しておきます。迅速で透明性の高いアナウンスは、サービスの停止による企業の信用低下を抑えるための盾となります。

まとめ:技術の盾と組織の連携でしなやかに守る

DDoS攻撃は、企業のWebサービスやネットワークの可用性を低下させ、業務や顧客対応に大きな影響を与えるサイバー攻撃です。

  • 自社サーバーの性能だけでは防ぎきれない場合があるため、CDNやWAF、DDoS緩和サービスによる多層防御が重要。
  • DDoS攻撃の裏で別の不正アクセスが動いていないか、多角的に監視・連携できる体制が必要。
  • 技術的な防壁を導入すると同時に、CSIRTを中心とした有事の連絡手順や対応フローを整備するという「両輪」が不可欠。

自社の運用システムと組織体制の現状を客観的に見直し、サイバー攻撃の濁流が来てもしなやかに耐え抜く強固なセキュリティガバナンスをデザインしていきましょう。

情報セキュリティ研修をご検討中の方へ

当サイトでは、企業・自治体向けに以下のサービスをご提供しています。

  • 研修動画パッケージ(買い切り型)
  • 講師派遣による対面・オンライン研修
  • 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター

動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。

料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。

タイトルとURLをコピーしました