DDoS攻撃とは?Azureに装備されている防御ツールもご紹介

公開日:2022年1月31日最終更新日: 2022年1月31日

世の中には情報セキュリティの脅威が数多くあります。その中でも防ぐのが難しいと言われているのがDDoS攻撃(Distributed Denial of Service attack)と呼ばれる、複数のPCから大量にアクセスを仕掛けてダメージを与える「分散型サービス拒否攻撃」です。IoT機器の不正利用や、サービス妨害など、近年減ってきてはいますが攻撃が報告されています。
参考:2020年版 10大脅威 ~セキュリティ対策は一丸となって、Let’s Try!!~

そんな脅威の一つであるDDoS攻撃について、クラウドサービスであるAzureでどのような対策をしているのか、どのように防御すれば良いか、扱われているサービスを紹介しつつ説明いたします。

防御が難しいDDoS攻撃

DDoS攻撃はDoS攻撃(Denial of Service attack)の発展系で、正式名称通りWEBサービスやサーバーに対してアクセス負荷をかけて攻撃を行い、サービスを停止に追い込むことを指します。

DoS攻撃は単独の攻撃元から負荷をかける攻撃であるのに対して、DDoS攻撃はマルウェアによる乗っ取りなどで踏み台にされた複数の攻撃元PCやIoT機器、サーバーから対象のWEBサービスやサーバーに対して負荷をかけます。

DoS攻撃は悪意のある攻撃元をセキュリティ機能でブロックすれば設定以後は同じ攻撃元からの攻撃は防げます。しかし、DDoS攻撃の場合、攻撃元が任意の無自覚な攻撃元PCやIoT機器、サーバーであるため、防御が難しいという特徴があります。

また、単純に攻撃元が増えるため、負荷がDoS攻撃の比較にならないほど増えるのに加え、サービスにアクセスするだけの攻撃では一般の利用アクセスと見分けがつかず、対処が難しいという点もあります。

Azure標準装備のDDoS対策

Azureにはクラウドサービスとして標準のDDoS対策が実装されており、Azure DDoS Protection Basicと呼ばれます。基本的な保護機能は、追加費用なしでデフォルトでAzureに統合されています。

グローバルに展開されたAzureネットワークの規模と容量により、常時トラフィック監視とリアルタイムのミティゲーション(影響緩和)を通じて、一般的なネットワーク層への攻撃に対する防御を提供します。

後述するDDoS Protection Standardとの違いは、DDoS保護ポリシーがAzureインフラストラクチャの全体を保護するものとして規定されており、アラート機能やユーザーごとにカスタマイズされたポリシーは提供されないという点があります。

Azure DDoS Protection Standardとは

Azure DDoS Protection Standardでは前述したBasicに拡張的なDDoS対策機能が提供されます。仮想ネットワーク内の特定のAzureリソースの保護に役立つように自動的に調整され、新規または既存の仮想ネットワークで保護機能を簡単に有効にすることができます。

アプリケーションやリソースを変更する必要はありません。Basicサービスと比較して、ロギング、アラート、テレメトリーなど、有効にできる機能の利点があります。

具体的には、DDoS攻撃が発生した際にDDoS Protectionで使用される任意のAzure Monitorメトリックについて、アラートを構成することができます。また、ログを Splunk(Azure Event Hubs)、Azure Monitor ログ、Azure Storage と統合し、Azure Monitor 診断インターフェースを介して高度な分析を行うことも可能です。

※Azure公式ドキュメントより

その他、DDoS Protection Standardでは、DDoS が有効になっている仮想ネットワーク内で、保護されたリソースのパブリック IP ごとに、3つの自動調整された軽減ポリシー(TCP SYN、TCP、UDP)を適用します。ポリシーのしきい値は、メトリック [Inbound packets to trigger DDoS mitigation](DDoS 軽減をトリガーする着信パケット数)を選択することで確認できます。

※Azure公式ドキュメントより

ポリシーのしきい値は、機械学習ベースのネットワークトラフィック プロファイルを使用して自動的に構成されます。 DDoS の軽減は、ポリシーのしきい値を超過した場合にのみ、攻撃を受けているIPアドレスに対して行われます。

参考:Azure DDoS Protection Standard の概要
Azure DDoS Protection – 回復性の高いソリューションの設計

まとめ

DDoS攻撃とAzureでの対策について、DDoS Protectionを紹介しつつ説明しました。
DDoS攻撃は報告数は減っているものの、致命的なサービス断を受けるという点において無視できない攻撃です。クラウドサービスのAzureが標準で対策を用意しているのも、拡張的な対策サービスがあるのも納得できると思います。

オンプレの構成ではDDoS対策製品を別途用意しなければならず、設計・構築・運用など工数や費用がかかってしまいます。対してAzureなら標準、もしくは月額$2,944程度で拡張的な対策を行えるのは大きなメリットと言えるでしょう。

Azureを利用する際は、提供するリソースの負荷やセキュリティを考慮して、DDoS Protection Standardを念頭に入れた上で構成してみてください。

クラウドの運用代行や導入、開発は22年の実績をもつジードにご相談ください

  • クラウドの運用代行

    クラウドの監視・保守・運用の代行 お客様が運営するクラウドの監視・保守・運用業務を、ジードが代行いたします。

    サービスの詳細はこちら

  • クラウドの設計・構築

    クラウドの設計・構築 お客様のご要望に沿って、適切なクラウド選定から設計・構築までを行います。

    サービスの詳細はこちら

  • クラウド上でのシステム開発

    クラウドの設計・構築 Azure上で、AI + 機械学習、分析、ブロックチェーン、IoTを開発します。

    サービスの詳細はこちら

お問い合わせ・お見積もりのご依頼はお気軽に

Scroll to top