AWSセキュリティの専門家が、強固な多層防御の構築方法から、導入必須の主要サービス、そしてエンタープライズに不可欠なマルチアカウント戦略まで、実践的なベストプラクティスを分かりやすく解説します。
AWSにおいて実施すべきDDoS対策とは?AWSが提供しているDDoS対策
近年、サイバー攻撃の手法は巧妙化しており、特にDDoS(分散型サービス妨害)攻撃は企業のWebサービスやインフラに深刻な被害をもたらす脅威となっています。アマゾン ウェブ サービス(AWS)を活用してインフラを構築する企業も増加する中で、DDoS攻撃に対する効果的な対策は重要性を増しています。
そこで本記事では、AWS環境におけるDDoS攻撃の基本とリスク、主な対策方法、さらにAWSが提供する各種DDoS対策サービスについて詳しく解説します。
この記事でわかること
- DDoS攻撃とは、複数のデバイスを利用してサービスの正常な提供を妨害する攻撃手法
- AWSでは、CDN導入やロードバランサーの活用などがDDoS対策となる
- AWS Shield StandardやWAF、CloudFrontなど、AWSが提供するDDoS対策サービスも存在する
※当記事は2025年5月に書かれたものであり、以後に展開された最新情報が含まれていない可能性がございます。
目次 [表示]
AWSにおけるDDoS攻撃とは
近年、サイバー攻撃の手法は高度化・巧妙化しており、特にDDoS(分散型サービス拒否)攻撃は、企業のウェブサービスやアプリケーションの可用性を脅かす深刻な脅威となっています。AWSを利用する企業にとっても例外ではなく、適切な対策を講じなければ、サービス停止や業務への影響を招く可能性があります。
本章では、DDoS攻撃の基本的な概要と、AWS環境における主な攻撃対象について解説します。
そもそもDDoS攻撃とは
DDoS(Distributed Denial of Service)攻撃とは、複数のコンピュータやデバイスを利用して、ターゲットとなるシステムに対して大量のトラフィックやリクエストを送りつけ、サービスの正常な提供を妨害する攻撃手法です。攻撃者は、ボットネットと呼ばれる感染デバイスのネットワークを構築し、これらを使って標的のリソースを過負荷状態に陥らせます。
その結果、正規のユーザーがウェブサイトやアプリケーションにアクセスできなくなるなど、サービスの停止や遅延が発生します。DDoS攻撃は、ネットワーク層(L3)、トランスポート層(L4)、アプリケーション層(L7)など、さまざまな層を標的とすることがあり、攻撃の手法も多岐にわたります。
AWSにおけるDDoS攻撃の主なターゲット
AWS環境においては、以下のリソースがDDoS攻撃の主な標的となることが知られています。
| 対象 | 概要 | 攻撃手法 |
|---|---|---|
| Amazon EC2(Elastic Compute Cloud)インスタンス | 仮想サーバーとして機能し、ウェブアプリケーションやサービスのホスティングに利用されます。 | 大量のリクエストを送信することで、CPUやメモリなどのリソースを枯渇させ、サービスの停止を狙います。 |
| Elastic Load Balancing(ELB) | トラフィックを複数のバックエンドインスタンスに分散するロードバランサーです。 | 大量の接続要求を送ることで、負荷を集中させ、背後のシステム全体のパフォーマンス低下を引き起こす可能性があります。 |
| Amazon Route 53 | 高可用性とスケーラビリティを備えたDNS(ドメインネームシステム)サービスです。 | DNSクエリを大量に送信することで、名前解決の遅延や失敗を引き起こし、最終的にウェブサイトへのアクセス不能を招くことがあります。 |
| Amazon CloudFront | コンテンツ配信ネットワーク(CDN)サービスで、グローバルに分散したエッジロケーションを通じてコンテンツを配信します。 | CloudFrontを経由して大量のリクエストを送信し、オリジンサーバーへの負荷を増大させることで、サービスの低下や停止を狙います。 |
これらのリソースは、AWS環境におけるサービスの中核を担っており、DDoS攻撃の対象となることで、企業の業務継続性や顧客満足度に重大な影響を及ぼす可能性があります。
そのため、これらのリソースに対する適切な保護策を講じることが重要です。
AWSにおける主なDDoS対策
DDoS(Distributed Denial of Service)攻撃は、AWS環境においてもサービスの可用性を脅かす重大な脅威です。これに対処するためには、インフラストラクチャの設計段階から多層的な防御策を講じることが重要です。
本章では、AWSにおける代表的なDDoS対策として、CDNの導入とサーバーの冗長化について解説します。
CDNの導入
CDN(Content Delivery Network)は、ユーザーに近いエッジロケーションからコンテンツを配信する仕組みであり、DDoS攻撃に対する有効な防御手段の一つです。AWSでは、Amazon CloudFrontがCDNサービスを提供しており、以下のようなメリットがあります。
- トラフィックの分散:CloudFrontは、世界中のエッジロケーションを活用してトラフィックを分散し、特定のリージョンやサーバーへの負荷集中を防ぎます。
- 攻撃の吸収:エッジロケーションでのキャッシュ機能により、オリジンサーバーへのリクエスト数を削減し、大量のトラフィックによる攻撃を吸収します。
- セキュリティ機能の統合:CloudFrontは、AWS WAFやAWS Shieldと連携し、アプリケーション層の攻撃やボットによる不正アクセスからの保護を強化します。
これらの特性により、CloudFrontを導入することで、DDoS攻撃の影響を最小限に抑え、サービスの可用性を維持することが可能です。
サーバーの冗長化
サーバーの冗長化は、DDoS攻撃による単一障害点のリスクを軽減し、システム全体の耐障害性を高めるための重要な手法です。AWSでは、以下のサービスや機能を活用して冗長化を実現できます。
- Elastic Load Balancing(ELB):ELBは、受信したトラフィックを複数のバックエンドインスタンスに自動的に分散し、個々のサーバーへの負荷を軽減します。Application Load Balancer(ALB)は、HTTP/HTTPSトラフィックのルーティングに適しており、SYNフラッドやUDPリフレクション攻撃などの一般的なDDoS攻撃をブロックする機能も備えています。
- Auto Scaling:Auto Scalingは、トラフィックの増減に応じてEC2インスタンスの数を自動的に調整し、リソースの最適化とコスト効率の向上を図ります。これにより、突発的なトラフィックの急増にも柔軟に対応できます。
- マルチアベイラビリティゾーン(AZ)配置:アプリケーションを複数のAZにデプロイすることで、特定のデータセンターに障害が発生した場合でも、他のAZでサービスを継続できます。
これらの冗長化手法を組み合わせることで、DDoS攻撃によるサービス停止のリスクを大幅に低減し、システムの信頼性と可用性を向上させることが可能です。
AWSが提供しているDDoS対策サービス
AWSでは、DDoS攻撃からシステムを保護するための多様なサービスを提供しています。これらのサービスを組み合わせることで、ネットワーク層からアプリケーション層まで、包括的なセキュリティ対策を構築できます。以下では、各サービスの概要とそのメリット・デメリットについて解説します。
AWS Shield Standard
AWS Shield Standardは、OSI参照モデルにおけるレイヤー3とレイヤー4に対するDDoS攻撃を検知して、自動的に防御することが可能です。
メリット
- 面倒な設定などがなく、導入しやすい
- 無料で提供されていて、基本的なDDoS保護が可能
デメリット
- HTTP/HTTPSなどを利用したレイヤー7アプリケーション層への攻撃は防御できない
- WebACL、Amazon CloudFrontやAmazon Route 53などの利用が必要不可欠(利用していない場合はシステムを再構築しなければならない)
AWS WAF
AWS WAFは、Webアプリケーションに対する攻撃から保護するためのファイアウォールサービスです。SQLインジェクションやクロスサイトスクリプティング(XSS)など、アプリケーション層の脅威に対応します。
メリット
- 特定の攻撃パターンに対するカスタムルールの設定が可能。
- 使用量に応じた従量課金制で、コスト効率が高い。
- Webトラフィックの可視化により、リアルタイムでの監視と分析が可能。
デメリット
- 効果的な運用には、セキュリティに関する専門知識が求められる。
- ルールの設定や管理が複雑になる可能性があり、誤設定による誤検知や漏れが発生するリスクがある。
AWS Shield Advanced
AWS Shield Advancedは、より高度なDDoS攻撃に対応するための有料サービスです。レイヤー3からレイヤー7までの広範な攻撃に対する保護を提供し、24時間365日のセキュリティサポートも含まれます。
メリット
- 大規模かつ複雑なDDoS攻撃に対する自動緩和機能を提供。
- セキュリティレスポンスチーム(SRT)による24時間体制のサポートが利用可能。
- 攻撃による追加コストの保護(DDoSコスト保護)を提供。
デメリット
- 有料サービスであり、コストが発生する。
- 利用には、AWSアカウントの設定やリソースの構成に関する知識が必要。
Elastic Load Balancing (ELB)
ELBは、受信したトラフィックを複数のターゲット(例:EC2インスタンス)に自動的に分散するサービスです。これにより、システムの可用性とスケーラビリティが向上し、DDoS攻撃による影響を軽減できます。
メリット
- トラフィックの分散により、特定のリソースへの過負荷を防止。
- ヘルスチェック機能により、異常なインスタンスを自動的に検出し、トラフィックの振り分けを調整。
- スケーラブルなアーキテクチャの構築が可能。
デメリット
- ELB自体はDDoS攻撃を防ぐ機能がないため、他のセキュリティサービスとの併用が必要。
- 設定や運用には、アーキテクチャ設計の知識が求められる。
Amazon CloudFront
Amazon CloudFrontは、AWSが提供するコンテンツ配信ネットワーク(CDN)サービスです。世界中のエッジロケーションを活用して、ユーザーに近い場所からコンテンツを配信し、遅延を最小限に抑えます。
メリット
- トラフィックの分散により、DDoS攻撃の影響を軽減。
- AWS Shield Standardが標準で組み込まれており、基本的なDDoS保護が提供される。
- AWS WAFとの統合により、アプリケーション層のセキュリティを強化可能。
- 従量課金制で、コスト効率が高い。
デメリット
- 動的コンテンツのキャッシュには制限があり、すべてのアプリケーションに適しているわけではない。
- 効果的な利用には、キャッシュ戦略やコンテンツ配信の設計に関する知識が必要。
AWSパートナー活用のすすめ
DDoS対策は、単一のサービスを導入すれば完了するものではありません。AWS Shield、AWS WAF、Amazon CloudFront、ELBなどを適切に組み合わせ、攻撃の種類やシステム特性に応じた設計・運用を行うことが重要です。
一方で、DDoS対策はトラフィック設計や監視、ルール調整など継続的な運用が求められる領域でもあります。自社だけでの対応が難しい場合は、AWSに精通したパートナーの支援を活用することも有効な選択肢です。
サーバーワークスの支援内容
サーバーワークスは、最上位のAWSプレミアティアサービスパートナーとして、DDoS対策の設計・運用を多数支援してきました。システム構成やトラフィック特性に応じた防御設計から、運用時の監視・チューニングまでを含め、実運用を見据えたDDoS対策を支援します。
AWSセキュリティの専門家が監修した、AWSセキュリティ対策のベストプラクティスをまとめたお役立ち資料を無料で配布しています。ご興味のある方は、ぜひ下記よりダウンロードしてご覧ください。
【お役立ち資料】セキュアな AWS 環境を実現する主要サービスとマルチアカウント戦略
【この資料でわかること】
- セキュリティ対策の原則 「多層防御」の重要性
- 30以上のサービスから厳選した「優先すべきAWSセキュリティサービス」
- なぜ今、AWS運用に「マルチアカウント戦略」が求められるのか
- AWS Organizations などを使ったマルチアカウントの具体的な実現方法
- セキュリティ維持の鍵となる「継続的な運用」の重要性
