DDoS攻撃対策とは、複数端末からの大量アクセスでWebサービスを停止させる攻撃を、技術・組織の両面で防ぐ取り組みを指します。
中小企業の情シスが押さえるべきDDoS攻撃対策の核は、CDN・DDoS保護サービスの導入とWAFによる多層防御、そしてISPと連携した緊急対応体制の3点です。
加えて、攻撃検知から復旧までの5ステップを事前に整えることが、被害最小化の決め手になります。
本記事ではDDoS攻撃の種類や被害事例、技術的な防御策、攻撃を受けた時の対応フローまで情シスの実務目線で解説します。
目次
DDoS攻撃の対策とは
DDoS攻撃対策とは、分散した複数端末から大量のリクエストを送りつけてサービスを停止させる攻撃を、未然に防ぐ・最小化する取り組みです。
近年は攻撃トラフィックの規模が拡大し、ISPやサーバー側の対策だけでは捌ききれない事例が増えています。
ここではDDoS攻撃の定義、DoS攻撃との違い、情シスが押さえるべき基本観点を整理します。
DDoS攻撃の定義
DDoS攻撃は「Distributed Denial of Service attack」の略称で、日本語では分散型サービス妨害攻撃と呼ばれます。
攻撃者は事前にマルウェアで乗っ取った大量の端末、いわゆるボットネットを使い、標的サーバーへ一斉にアクセスを集中させます。
サーバーやネットワーク機器の処理能力を超える負荷をかけ、正規ユーザーがサービスを利用できない状態を作り出すのが目的です。
DoS攻撃との違い
DoS攻撃は単一の攻撃元からサービスを妨害する攻撃で、送信元IPが特定しやすく遮断も比較的容易です。
一方でDDoS攻撃は世界中に散らばる数千〜数百万台の端末から同時に攻撃が来るため、特定のIPを止めても効果がありません。
つまりDoS攻撃の発展形がDDoS攻撃であり、現在の脅威環境では後者を前提に対策を組む必要があります。
中小企業の情シスがDDoS攻撃対策で押さえるべき3つの観点
DDoS攻撃対策で軸となる観点は3つあります。
ひとつ目は技術的対策で、CDNやWAF、IPSなどによる多層防御の構築です。
ふたつ目は組織的対策で、ISPやセキュリティベンダーと連携した検知・通報体制の整備にあたります。
3つ目は人的対策で、攻撃発生時の判断フローと連絡網を事前に決め、初動の遅れをなくすことです。
この3層を組み合わせて初めて、現在のDDoS攻撃に耐えうる体制が成立します。
関連記事:企業のサイバー攻撃対策とは?被害事例や主な種類、実施すべきセキュリティ対策を解説
DDoS攻撃の主な種類7選
DDoS攻撃の種類を把握することは、攻撃シナリオを想定して優先度の高い対策を選ぶ前提になります。
攻撃は標的とする階層によって、大きく3つに分類されます。
ボリューム型は回線帯域を、プロトコル型はネットワーク機器を、アプリケーション型はWebサーバーの処理能力を狙います。
ここでは情シスが押さえておきたい代表的なDDoS攻撃を7種類紹介します。
①SYNフラッド攻撃
SYNフラッド攻撃は、TCP通信の接続要求であるSYNパケットを大量に送り続け、サーバーを応答待ち状態で埋め尽くす手法です。
サーバーは接続を完了できないまま、リソースを浪費して新規接続を受け付けられなくなります。
プロトコル型の代表例で、ファイアウォールやIPSによる接続制御が対策の中心となります。
②UDPフラッド攻撃
UDPフラッド攻撃は、コネクションレス型のUDPパケットを大量に送り付けて回線帯域を埋める手法です。
サーバーは存在しないアプリケーションへのアクセスに応答しようとし、無駄なリソース消費を強いられます。
ボリューム型に分類され、ISPやCDNでの上流フィルタリングが効果的な対策です。
③ICMPフラッド攻撃(Ping flood)
ICMPフラッド攻撃は、Pingリクエストを大量に送りつけて回線帯域とCPUリソースを消耗させます。
シンプルな手法ながら、機器によっては大きな処理負荷となるため侮れません。
不要なICMPトラフィックをファイアウォールで遮断する設定が基本対策です。
④HTTPフラッド攻撃
HTTPフラッド攻撃は、正規のHTTPリクエストを装って大量に送り付け、Webサーバーの処理能力を超過させます。
通信内容そのものは正常なため、シグネチャ型の防御だけでは判別が難しい点が特徴です。
WAFやレート制限、ボット検知の組み合わせで対処する必要があります。
⑤Slowloris攻撃
Slowloris攻撃は、HTTPリクエストをわざとゆっくり送り、サーバーの同時接続枠を長時間占有する手口です。
少ない帯域でも大きな効果が出るため、攻撃者にとって効率の良い手法です。
接続のタイムアウト値短縮や、専用のWAFモジュールによる検知が有効な防御策です。
⑥DNSアンプ攻撃
DNSアンプ攻撃は、送信元IPを標的に偽装してDNSサーバーへ問い合わせを送り、大きな応答を標的に集中させるリフレクション型攻撃です。
数十倍〜数百倍に増幅されたトラフィックが標的に集中するため、回線が一気に飽和します。
公開DNSサーバーの再帰問い合わせ無効化と、上流ISPでのフィルタが対策の柱です。
⑦Memcachedリフレクション攻撃
Memcachedリフレクション攻撃は、インターネット公開状態のmemcachedサーバーを踏み台にする手口です。
増幅率が5万倍に達した観測例もあり、過去には世界最大規模のDDoSを引き起こしました。
自社サーバーが踏み台にされないよう、memcachedをインターネットに公開しない構成が必須です。
高品質な情報システム体制を
アウトソーシングで実現しませんか?
「情シス部門の必要性は理解しているが、十分な知見がない」
「DXを推進したいが、どうするべきかわからない」
「IT人材が不足して、情シスの負担が大きくなっている」
このような悩みでお困りではありませんか?
「IT顧問 情シス君」は、企業のあらゆるIT化、デジタル化活動を促進するIT支援サービスです。
IT戦略の立案、情報システムの立ち上げ、セキュリティ対策など、ITに関するどんな悩みにも対応します。
経験豊富なスタッフが問題を整理し、最適なソリューションを提供します。
まずは一度、お気軽にご相談ください。
DDoS攻撃の主な目的・動機
DDoS攻撃は大手企業だけの問題ではなく、中小企業も標的になります。
攻撃の動機を理解しておくと、自社が狙われやすい状況を予測できます。
金銭目的の脅迫(ランサムDDoS)
近年急増しているのが「攻撃を止めてほしければ仮想通貨で支払え」と要求するランサムDDoSです。
中小規模のECサイトやBtoBサービスも標的になり、警察庁や各国機関が繰り返し警告を発しています。
支払いに応じても攻撃が止まる保証はなく、二次被害を招くリスクがあります。
関連記事:ランサムウェア感染からの復旧方法は?正しい手順や費用相場、NG行動を解説
競合・営業妨害
セール期や新商品発表のタイミングを狙い、競合の機会損失を生むための攻撃も観測されています。
特にECサイトでは数時間のダウンが大きな売上機会の喪失につながります。
抗議・ハクティビズム
政治的・社会的な主張を背景に、企業や行政機関を標的とするケースも増えています。
国際情勢の緊張時には日本企業のサイトが攻撃を受ける事例も報告されています。
他攻撃の陽動・目くらまし
DDoSで運用チームの目を引きつけている間に、別ルートから情報窃取や侵入を試みる手口があります。
情シスはDDoS対応中も、他の侵入経路への監視を緩めない運用が求められます。
自社が踏み台にされるリスク
自社のサーバーや業務端末がマルウェアに感染すると、知らぬ間にボットネットの一員となり加害者側に回ります。
DDoS攻撃対策には、自社が攻撃の発信源にならない防御も含まれます。
DDoS攻撃の被害事例と想定損失
DDoS攻撃の被害は機器ダウンにとどまらず、事業全体に波及します。
経営層への報告や予算確保の説明材料として、起こりうる損失を整理しておきましょう。
サービス停止による売上機会の損失
ECサイトやSaaSが数時間停止するだけで、想定売上の数百万円〜数千万円規模の機会損失が発生します。
セール時や年末年始など繁忙期を狙われると、被害額は通常時の数倍に膨らみます。
顧客信頼の毀損と解約
サービスがつながらない状態が続けば、ユーザーは競合サービスへ流出します。
一度離れた顧客の再獲得コストは新規獲得の数倍と言われ、長期的な収益基盤を揺るがします。
復旧コストと運用工数の増大
セキュリティベンダーへの緊急対応依頼や、CDN契約のアップグレード費用が一気に発生します。
情シスの残業や経営陣のクライシス対応に取られる工数も、隠れた損失として無視できません。
ブランド毀損と取引先・採用への波及
被害公表後はメディア露出が増え、取引先からのセキュリティ監査要請や新規取引の停止につながります。
採用面でも「ITに脆弱な会社」という印象が長く残り、人材獲得に影響します。
公的機関への対応負担
サービス停止が個人情報漏えいや決済停止を伴う場合、所管官庁への報告義務が発生します。
報告遅延は行政指導の対象となり得るため、社内の連絡網整備が前提となります。
DDoS攻撃を受けている兆候・症状チェックリスト
DDoS攻撃は初動の早さが被害規模を左右します。
普段と違う挙動に気付いたら、攻撃を疑って即座に検証する仕組みが必要です。
代表的な兆候を以下に整理しました。
通信量の急増と帯域使用率の高止まり
特定の時間帯にトラフィックが平常時の数倍〜数十倍に跳ね上がっていれば、攻撃の可能性が濃厚です。
監視ツールで帯域使用率や同時接続数の急増を自動検知できる設定にしておきましょう。
サービス応答の遅延・503エラーの多発
Webサイトの応答が極端に遅くなり、ゲートウェイタイムアウトやサービス利用不可エラーが多発する状態です。
社内からのアクセスだけでなく、社外監視ツールからの計測値も同時に確認しましょう。
同一国・同一IP帯からのアクセス集中
普段アクセスのない地域や、データセンター帯域から大量アクセスが集中していれば攻撃の特徴です。
アクセスログを国別・ASN別に集計できる仕組みを事前に整えておくと判断が早まります。
サーバーリソースの急激な消費
CPUやメモリの使用率が天井に張り付き、ディスクI/Oも飽和する症状です。
特定プロセスではなく、Webサーバーや通信プロセス全体が高負荷の場合はDDoSを疑います。
上流ISPからの異常通報
ISP側で異常トラフィックを検知し、契約者に通報してくれるサービスもあります。
ISP担当者と緊急連絡経路を結んでおくと、検知から対処までの時間が大きく短縮できます。
DDoS攻撃対策の7つの防御策
DDoS攻撃対策の技術的な要点は、攻撃トラフィックを自社サーバーに届く前に止めることです。
情シスがまず整えるべき7つの仕組みを順に解説します。
①CDN・DDoS保護サービスの導入
CloudflareやAWS Shield、Akamaiなどのクラウド型DDoS保護サービスは、攻撃トラフィックを世界中の拠点で分散吸収します。
自社サーバーに届く前に攻撃を遮断できるため、ボリューム型・プロトコル型の双方に効果があります。
中小企業でも月額数千円から導入可能なプランがあり、最優先で検討すべき対策です。
②WAFによるアプリケーション層防御
WAF(Web Application Firewall)はHTTPリクエストの内容を検査し、不正なアクセスをブロックします。
HTTPフラッドやSlowlorisなど、正規通信に紛れたアプリケーション型攻撃の防御に欠かせません。
クラウド型WAFはCDNとセットで提供されるケースが多く、運用負荷も抑えられます。
③IPS・IDSの導入による侵入検知
IPS(侵入防止システム)とIDS(侵入検知システム)は、ネットワーク上の不審な通信パターンを検知し遮断します。
シグネチャ型に加え、機械学習を活用した異常検知機能を備える製品も増えています。
DDoSだけでなく、他攻撃との併用にも備えるなら導入を検討すべき領域です。
④ファイアウォールでの通信制御とジオブロック
不要なポートや国からのアクセスをあらかじめ遮断するだけで、攻撃面を大きく狭められます。
国外からのアクセスが業務上不要な場合は、ジオブロック機能で特定国を一括遮断するのも有効です。
クラウド型ファイアウォールならルール変更も即時に反映できます。
⑤サーバー側のレート制限・接続上限の設定
Webサーバー側で同一IPからの接続数や、単位時間あたりのリクエスト数に上限を設けます。
小規模な攻撃ならアプリ側の制限だけで吸収できる場合もあります。
NginxやApacheの標準モジュールでも実装でき、コストをかけずに導入可能です。
⑥ISPのDDoS対策オプションの活用
主要ISPはDDoS検知・緩和サービスをオプションで提供しています。
上流側で攻撃トラフィックを止めてもらえば、自社の回線契約や機器に負荷をかけずに済みます。
契約時に対策範囲と料金、通報体制をベンダーに確認しておきましょう。
⑦自社端末がボットネット化しないためのパッチ管理
DDoSの加害者側に回らないために、社内端末とサーバーの脆弱性対策が不可欠です。
OS・ブラウザ・IoT機器のパッチ適用を徹底し、マルウェア感染の入口をふさぎます。
EDRの導入で不審な外向き通信を検知できれば、自社が踏み台になる前に止められます。
関連記事:脆弱性対策とは?発生原因や被害事例、対策手法を解説
DDoS攻撃に備える体制・運用整備
技術的対策を入れただけでは攻撃時に動けません。
事前に組織として動ける仕組みを整えてこそ、技術投資が活きます。
監視・アラート体制の構築
24時間のトラフィック監視は、自社運用かMSSP委託のどちらかで必ず確保しましょう。
帯域使用率やHTTPステータスコードの異常を、しきい値超過で即時に通知できる構成が理想です。
社内の連絡網と組み合わせて、夜間・休日でも初動が動く運用にします。
ISP・セキュリティベンダーとの連絡網整備
攻撃発生時に最も時間を食うのが「誰に連絡するか分からない」状態です。
ISPの法人サポート窓口、契約しているWAFやCDNのベンダー、フォレンジック委託先の連絡先を一覧化しておきましょう。
夜間・休日の連絡経路まで含めて整備するのが鉄則です。
BCP・インシデント対応計画への組み込み
DDoS攻撃を事業継続計画(BCP)の想定インシデントに位置づけ、対応手順をドキュメント化します。
サービス停止時の代替手段や顧客告知文の雛形も事前に準備しておくと、初動が速まります。
定期的な訓練とプレイブック更新
机上演習を年1〜2回実施し、対応フローと連絡網の実効性を点検しましょう。
訓練で出た課題は必ずプレイブックに反映し、属人化を防ぐ運用に落とし込みます。
DDoS攻撃を受けた時の対応フロー5ステップ
DDoS攻撃を完全に防ぐことは現実的に不可能です。
攻撃を前提に、被害を最小化する対応フローを5ステップで整理します。
ステップ1:攻撃検知と影響範囲の把握
監視アラートや利用者報告を起点に、攻撃の規模・種類・対象サービスを特定します。
帯域使用率やHTTPステータス、サーバーリソースのログを並べて攻撃か障害かを切り分けます。
判断は情シスが個人で抱えず、即座にCSIRTや経営層へエスカレーションする運びを徹底しましょう。
ステップ2:ISP・セキュリティベンダーへの即時連絡
事前に整備した連絡網に沿って、ISPやCDN・WAFのベンダーへ通報します。
上流での緩和措置を依頼すれば、自社側の対応負荷が一気に下がります。
連絡時は攻撃発生時刻・対象IP・観測トラフィック量を伝えると、ベンダー側の調査が速まります。
ステップ3:WAF・CDN設定の調整と一時的なIPブロック
WAFで攻撃元IPの遮断、レート制限の強化、特定国からのアクセス遮断などを即座に適用します。
過剰な遮断は正規ユーザーまで弾いてしまうため、影響範囲を確認しながら段階的に進めます。
クラウド型サービスならコンソールから即時反映できます。
ステップ4:サービス利用者・関係者への状況告知
サービスがつながらない状態が続けば、ユーザーは原因不明の不安を抱きます。
公式サイトやSNS、サポート窓口を通じて、現状と復旧見込みを早期に告知しましょう。
個人情報漏えいや決済停止が疑われる場合は、所管官庁への報告手続きも並行で進めます。
関連記事:個人情報漏洩の対応マニュアル!発覚時の初動から報告義務まで解説
ステップ5:復旧と再発防止策の実装
攻撃が収束したら、影響範囲を再点検したうえでサービスを段階的に復旧させます。
事後には攻撃手法に応じた再発防止策、たとえばCDNの常時利用化や監視しきい値の見直しを必ず実装します。
同じ手口では二度と止められない状態を作ることがゴールです。
DDoS攻撃対策ツール・サービス
ツール選定は規模・予算・運用体制の3軸で考えると失敗が減ります。
情シスが押さえておきたい主要カテゴリを紹介します。
クラウド型DDoS保護サービス
Cloudflare、AWS Shield、Akamaiといった大手CDNベンダーが提供するサービスです。
世界中の拠点で攻撃を分散吸収するため、テラビット級の大規模攻撃にも耐えられます。
中小企業向けには月額数千円から始められるプランも整い、導入のハードルは大幅に下がっています。
クラウド型WAFサービス
アプリケーション層攻撃を防ぐWAFは、CDNと一体で提供されるケースが主流です。
シグネチャ更新やルール変更がベンダー側で自動化されるため、運用工数を抑えられます。
オンプレ機器型WAFは構築・運用の負荷が大きく、近年はクラウド型が主流です。
IPS・UTM・次世代ファイアウォール
社内ネットワークの境界で攻撃を検知・遮断する機器型のソリューションです。
DDoS単独対策というより、マルウェアや侵入検知を含めた多目的での導入が現実的です。
マネージドセキュリティサービス(MSSP)
監視・検知・初期対応までを外部ベンダーが担うマネージドサービスです。
少人数の情シスでは24時間体制を内製で組むのが難しいため、MSSPは現実解となります。
費用は月額10万円台から、対象範囲に応じて変動します。
ISPのDDoS対策オプション
回線契約に追加するオプション型のサービスです。
上流側で攻撃トラフィックを遮断できるため、自社機器に負担をかけずに済みます。
複数の対策層と組み合わせて使うのが基本です。
DDoS攻撃対策に関するよくある質問(FAQ)
最後に、情シス担当者から寄せられがちな疑問にまとめて答えます。
Q1.ISPに任せておけば十分ですか?
十分ではありません。
ISPの対策は回線レベルの大規模攻撃緩和には有効ですが、アプリケーション層を狙う攻撃は止められません。
CDNやWAFと組み合わせた多層防御が前提となります。
Q2.中小企業もDDoS攻撃の標的になりますか?
なります。
近年はランサムDDoSや競合妨害目的の攻撃が増え、企業規模に関わらず狙われるのが実情です。
自社サイトのオンライン依存度が高いほど、優先的に対策すべきです。
Q3.攻撃を止めるため身代金は支払うべきですか?
支払うべきではありません。
警察庁や各国機関は身代金の支払いを推奨していません。
支払っても攻撃が止まる保証はなく、再要求や追加攻撃を招くリスクがあります。
Q4.クラウド上で運用していればDDoS対策は不要ですか?
不要ではありません。
クラウドプラットフォームには基本的なDDoS緩和機能が備わりますが、アプリケーション層の攻撃や大規模攻撃は別途対策が必要です。
AWS ShieldのAdvanced契約やCDN併用など、追加の防御層を検討しましょう。
Q5.DDoS対策とWAFは何が違いますか?
防御対象の階層が異なります。
DDoS対策は帯域やネットワーク機器を守る防御で、CDNや上流ISPでの緩和が中心です。
WAFはアプリケーション層のリクエスト内容を検査するもので、SQLインジェクションや不正アクセス防御も担います。
両者を組み合わせることで、ネットワーク層からアプリ層まで一貫した防御が完成します。
まとめ|情シスがまず着手すべき優先順位
DDoS攻撃対策は、技術・組織・人の3層を組み合わせて初めて機能します。
情シスが限られたリソースで成果を出すには、優先順位を明確にして段階的に整えることが鍵です。
着手の目安は次の4ステップです。
- 自社のオンライン依存度とリスクの棚卸
- CDN・DDoS保護サービスの導入とWAFの併用
- ISP・ベンダーとの緊急連絡網の整備
- 年1〜2回の机上演習とプレイブック更新
この順で進めれば、DDoS攻撃の被害は大幅に抑えられます。
すべてを内製で抱える必要はありません。
監視や初動対応の負荷が大きい部分はMSSPやクラウドサービスを活用し、情シス本来の戦略業務に時間を割ける体制を目指しましょう。
