2022.07.08

DDoS攻撃をAWS Shieldで確認する方法と対策

難易度
2
カテゴリー
AWS
おしえてアカデミー!

DDoS攻撃をAWS Shieldで確認する方法と対策

インターネットに公開されている自社のホームページや、自社のWebサービスは、常に他社から攻撃を受けるリスクに晒されています。その中で、一般的な攻撃ともいえるDDoS攻撃について、AWS Shieldを利用して「現在攻撃されている」ことを確認し、DDoS自体の対策についても解説します。

目次

  1. DDoS攻撃とは?
  2. AWSを使ったDDoS攻撃対策
  3. DDoS攻撃が行われた際の対応
    1. 全AWS顧客に対するグローバルなDDoS攻撃状況を把握
    2. イベントサマリの確認
    3. レイヤーへの保護
    4. AWS WAFの設定変更
  4. AWSのセキュリティ対策をお任せできる「WADAXおたすけクラウドサーバー」
  5. 最後に

DDoS攻撃とは?

DDoS攻撃とは、Distributed Denial of Service (分散型サービス拒否攻撃) の略で、サーバーに対して過度のアクセスやデータ送付などを行うことで、標的のサーバーにアクセスできないようにする攻撃です。

DDoS攻撃を受けた場合、利用者がホームページにアクセスできなくなかったり、自社が提供するWebサービスが利用できないといった状態になります。その結果、サービス停止による売上減少、会社や提供するサービスへの信頼低下につながりますので、リスク軽減のためにもDDoS対策を行う必要があります。

AWSを使ったDDoS攻撃対策

AWSを利用してサービスを提供する企業は、DDoS対策として「AWS Shield」を利用できます。なおAWS Shieldには、追加費用なしで利用できる無償版のStandardと、有償版のAdvancedの2種類が提供されています。

AWS Shield Standardは、ネットワークレイヤーとインフラストラクチャーレイヤーの保護が提供されます。AWSユーザーであれば、自動的にサービスがONになっており、保護機能が有効化されています。

AWS Shield Advancedは、EC2, ELB, CloudFront, Global AcceleratorなどをターゲットにしたDDoS攻撃に対して、より高度な検出および緩和策、ほぼリアルタイムの可視性、AWS WAFとの統合、24時間365日のレスポンスチームへのアクセス、およびDDoS攻撃が原因で生じるAWSへの課金増加からの保護が提供されます。

DDoS攻撃が行われた際の対応

以下では、実際にDDoS攻撃を受けた際に、どのような手順で保護・対応を行う必要があるのかについて解説します。

全AWS顧客に対するグローバルなDDoS攻撃状況を把握

AWSのマネジメントコンソール上では、AWS Shieldの機能である「Global Thread Dashboard」が提供されています。これは、現在全世界でAWS向けに発生しているDDoS攻撃を表示するものです。ダッシュボードを利用することで、現在発生している自社へのDDoS攻撃が、「グローバルなDDoS攻撃の一部」なのか、「自社を特に狙った攻撃」なのかを判断できます。

イベントサマリの確認

DDoS攻撃が行われた件数(イベント)の数や、bit、packet、requestのレートについても、AWSマネジメントコンソールから確認できます。

レイヤーへの保護

レイヤー3(ネットワーク層)とレイヤー4(トランスポート層)への保護は、Standard版から提供されています。加えて、Advanced版を利用することで、レイヤー5 (セッション層)、レイヤー6(プレゼンテーション層)、レイヤー7(アプリケーション層)への保護が有効となります。

AWS WAFの設定変更

AWS Shield Advanced版では、AWS WAFと統合されているため、WAF (Web Application Firewall) の機能を利用できます。AWS WAFを用いることで、特定のIPアドレスからの攻撃が検出すると、そのIPアドレスからの接続を自動で拒否します。また、IPアドレスが頻繁に変更される攻撃に対しても、設定を行うことで攻撃からの保護が可能です。

さらに、しきい値に到達した際のアラートメールの配信設定も行えるため、関係するメンバーが迅速に問題に気づくことが可能となります。

AWSのセキュリティ対策をお任せできる「WADAXおたすけクラウドサーバー」

AWS Shieldおよび、AWS WAFはDDoS攻撃に対して、非常に有効に機能し、ホームページやWebサービスがアクセスできない自体を防いでくれます。ただ、こうしたセキュリティ機能は「正しく設定する」「正しく運用する」ことが前提となります。

機能が提供されていても、正しく設定・運用されていなければ、攻撃に気づくことも、そして攻撃を防ぐこともできません。例えば、情報システム部門の人員が少ない企業や、AWSについて詳しいスタッフが在籍していない企業の場合、大きな問題となります。

こうした企業に対して、セキュリティ面・サポート面を全てお任せできるAWSのマネージドサービスが「WADAX おたすけ クラウドサーバー」です。世界有数のインターネット・インフラ企業である「GMOインターネットグループ」が提供するサービスで、利用者がAWSのセキュリティについて調べたり設定したりしなくても、高いレベルでの保護が提供されるよう設計されています。

DDoS攻撃対策強化に、「WADAX おたすけ クラウドサーバー」をご検討ください。

最後に

さて、今回はAWS上のDDoS対策についてお届けしました。良いヒントは得られましたでしょうか?AWS基盤のレンタルサーバーをご検討であれば、30日間無料トライアルで実際に運用お試しできる、WADAXを是非ご検討ください。

wadax 30日間無料トライアル

この記事を書いた人

村岡英一

ユニファイ株式会社代表取締役。IT企業のコンテンツマーケティングに特化し、上場企業からスタートアップまで幅広く支援。慶應義塾大学、日本マイクロソフト、ブランコジャパン(フィンランド系IT企業)を経て現職。

GMOクラウドアカデミーYouTubeチャンネルはこちらから

アカデミー用バナー

メルマガ会員募集中!

アカデミーの最新情報や会員限定のお得な情報をお届けします。

メルマガ登録はこちら