最近、DDoS攻撃が急増しています。2024年の年末に、大手航空会社や都市銀行、大手通信会社など、日本を代表する企業がDDoS攻撃の標的となり、Webサイトやサービスが一時的に利用できなくなるなどの被害が相次いでいます。
このような状況から、多くの企業がDDoS攻撃のセキュリティ対策を検討しています。セキュリティ対策の選択肢の1つとしてWAFがありますが、WAFがDDoS攻撃を完全に防御できるかという疑問を持つ方も多いのではないでしょうか。
この記事では、WAFによるDDoS攻撃対策について詳しく解説していきます。
そもそもDDoS攻撃とは?
DDoS攻撃(Distributed Denial of Service Attack)は、複数のIPアドレスから大量の不正アクセスを送り付けるサイバー攻撃です。
攻撃に使用されるIPアドレスは数千万に上ることもあり、対策するのに専門知識や多くの人手・時間が必要なため、DDoS攻撃の対策が難しいと言われています。
DDoS攻撃による影響とは?
DDoS攻撃を受けると、サーバが大量のアクセスを処理しなければならないので、WebサイトやWebサービスの表示や処理速度が著しく低下し、最悪の場合はサーバが落ちてしまう恐れがあります。
それによって、通常の顧客がWebサイトやWebサービスを利用できなくなる可能性があるため、顧客に不信感を与えてしまい、影響が長期化した場合は売上機会の損失につながる可能性があります。
さらに、DDoS攻撃を対策している隙を狙い、追加の攻撃を仕掛ける攻撃者がいます。情報漏えいやWebサイト改ざんなどの二次被害を引き起こすSQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を仕掛けられるケースも少なくありません。
DDoS攻撃の被害を最小限に抑えるために、しっかり対策を取っておくことが重要です。
WAFでDDoS攻撃を対策可能!仕組みを解説

DDoS攻撃から企業のWebサイトを守るため、WAFは有効な対策です。ここではWAFがDDoS攻撃を防御する仕組みについて説明していきます。
そもそもWAFとは?DDoS攻撃対策の仕組み
WAF(Web Application Firewall)とは、Webアプリケーションを狙う攻撃を防御するセキュリティサービスです。Webアプリケーションの前段に配置するので、通過するアクセスはWAFが詳しくチェックし、攻撃に使われる不正アクセスを検知し遮断します。
ただし、正常なアクセスを悪用するDDoS攻撃もあるので、通常のWAFではDDoS攻撃を防ぎきれない可能性があります。その場合、一部のWAFに搭載される一定時間内に大量のアクセスを送ってくるIPアドレスを遮断する機能を活用することで、正常アクセスを悪用するDDoS攻撃もWAFによって対策可能です。
DDoS攻撃対策の仕組みはWAFの提供ベンダーによって異なるので、導入前にしっかり確認することがおすすめです。
DDoS攻撃に限らずL7へのほかの攻撃もWAFで対策可能
WAFはアプリケーション層(OSI参照モデルの第7層、L7)への攻撃を防ぐセキュリティサービスなので、DDoS攻撃だけでなくアプリケーション層へのほかの攻撃もWAFによって防御できます。
L7は、ユーザーが操作するアプリケーションの直下で、データ処理の最上位層です。Webページを読み込むために使われるHTTPリクエストやレスポンスなどもL7で発生しているので、Webアプリケーションの最前面となります。
WAFはL7のさらに前に配置するので、Webアプリケーションの前面で不正アクセスや攻撃を検知し遮断します。DDoS攻撃のほかにも、情報漏えいやWebサイトの改ざんを引き起こすSQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃もWAFによって防げます。
L3やL4へのDDoS攻撃はWAFで防げない
L7へのDDoS攻撃に加え、L3(ネットワーク層)とL4(トランスポート層)を標的としたDDoS攻撃も存在します。WAFはL7向けのセキュリティサービスのため、L7への攻撃は防御できますが、L3とL4への攻撃は防げません。
近年、L7へのDDoS攻撃が増加傾向にあるものの、L3やL4への攻撃も少なくありません。L3とL4へのDDoS攻撃を防御できるように、WAF以外のセキュリティサービスを導入する必要があります。
DDoS攻撃対策として併用できるセキュリティサービス2選

万全なDDoS攻撃対策を実施するため、WAFとほかのセキュリティサービスを併用することがおすすめです。ここでは、WAFと併用すべきDDoS攻撃対策サービスを2つ紹介します。
DDoS攻撃対策サービス
クラウド環境を利用している場合、クラウドベンダーが提供するDDoS攻撃対策サービスを利用することがおすすめです。例えば、AWS環境の場合、AWS Shieldというサービスがあります。
AWS ShieldはAWSが提供しているDDoS攻撃対策サービスです。Amazon CloudFrontやAmazon Route 53などを利用している場合、AWS Shield Standardが自動的に適用され、インフラストラクチャ (L3やL4)を保護するため、WAFでは防げないL3やL4へのDDoS攻撃も対策可能となります。
さらに、L7へのDDoS攻撃をより万全に対策したい場合、AWS Shield Advancedを利用すると対策が可能です。
CDN(Content Delivery Network)
CDN(Content Delivery Network)は、Webコンテンツを世界中の配信拠点にキャッシュ(コピー)し、ユーザーの最寄りの拠点から配信するサービスです。
CDNの主な目的はコンテンツ配信の高速化ですが、副次的効果としてDDoS攻撃による大量アクセスを複数の配信拠点に分散し、オリジンサーバの負荷を軽減することができます。そのため、セキュリティサービスではないもののDDoS攻撃への対策としてCDNを導入する企業があります。
ただし、DDoS攻撃以外のサイバー攻撃をCDNによって防げないので、CDNを導入しただけでは十分なセキュリティ対策とは言えません。ほかの攻撃も防御できるようにWAFを含めたセキュリティサービスの導入が必要です。
DDoS攻撃対策なら「攻撃遮断くん」
DDoS攻撃の対策を検討しているなら、国内シェアNo.1※のクラウド型WAF「攻撃遮断くん」がおすすめ!
攻撃遮断くんのDDoSセキュリティタイプを導入すると、WebアプリケーションへのDDoS攻撃を防御することができます。攻撃遮断くんはWebアプリケーションの前に配置するので、Webアプリケーションへのアクセスを分析し、DDoS攻撃に使われそうなアクセスを検知し遮断することができます。
さらにDDoS攻撃だけでなく、SQLインジェクションやクロスサイトスクリプティング(XSS)などアプリケーション層への攻撃も攻撃遮断くんによって防御できます。
クラウド型のサービスなので、インターネット経由で利用でき、DNSの切り替えだけで導入可能なため、攻撃遮断くんを導入する企業が年々増加しています。
国内シェアNo.1※のクラウド型WAF「攻撃遮断くん」について詳しくはこちらの資料をダウンロードして確認してください。

デロイト トーマツ ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望 2023年度」