インフラ技術&サービスでお客様のビジネスを
バックアップします。

  • contact
  • menu
03-5946-840003-5946-8400平日 10:00 - 18:00
ENGLISH
close

Azure Managed Service Column <Azure運用コラム>

AzureでのDDoS攻撃対策について

Category: 入門編

2022.09.14

Azure での DDoS 攻撃対策について

DDoS 攻撃とは Distributed Denial of Service の頭文字をとり「ディードス」と呼ばれるサイバー攻撃の一種です。複数のコンピューターから一斉に攻撃を仕掛けることにより過剰な高負荷で標的のネットワークやサーバー機能を機能停止に追い込みます。

あらゆる社会インフラや業務システムがインターネットに依存する現代において DDoS 攻撃による被害が注目を集めています。

Azure 環境では DDoS 攻撃から保護するために Azure DDoS Protection サービスを提供しています。
本記事では DDoS 攻撃の基礎知識、他セキュリティアプライアンスとの違い、Azure DDoS Protection のメリットなどについて解説します。

DDoS攻撃とDoS攻撃
Azure のセキュリティ対策について相談する

1. Azure DDoS Protection の概要

Azure DDoS Protection は Azure が提供する DDoS 対策ソリューションです。Azure DDoS Protection は DDoS 攻撃の予兆を検知しマルチレイヤの保護を実現します。

Azure DDoS Protection には「 Basic 」と「 Standard 」の 2 種類のプランがあります。Basic は既定の Azure プラットフォームに統合されており、追加コストや構成変更なく、すぐに利用することができます。基本機能に加え拡張機能を追加できるプランが Standard です。

Azure DDoS Protection の主な機能

主な機能を紹介します。

常時接続トラフィック監視

Azure DDoS Protection は DDoS 攻撃の兆候をとらえるため、常に通信のトラフィックを監視しています。攻撃の兆候が検知されると自動的に該当の通信を軽減します。

ターンキー保護

Azure DDoS Protection を有効化すると仮想ネットワークのすべてのリソースが保護されます。ユーザーが手動で設定するなどの手間をかける必要はなく容易に導入することができます。

多層防御

Azure Application Gateway など他セキュリティサービスとともに併用することで Azure DDoS Protection による多層防御を容易に導入することが可能です。

攻撃の分析機能

攻撃を受けている時には5分ごとに詳細なレポートと攻撃終了後の完全な概要を取得することが可能です。

攻撃アラート

攻撃の開始時、停止時、攻撃中についてアラートを通知することが可能です。Azure Monitor、Splunk、Azure Storage、電子メール、Azure portal などの運用系のアプリケーションやサービスに統合することが可能です。

ファイアウォールとの違い

DDoS 攻撃の防御と一般的に利用されるファイアウォールはどのような違いがあるのでしょうか。

ファイアウォールは主にパケットのヘッダー情報を見て通過させるかを判断する「パケットフィルタリング型」が主流です。ヘッダー情報とは主にプロコトル種類、送信元、送信先 IP アドレス、ポート番号などです。このパケットフィルタリング型はヘッダー情報のみを検査しているため、ペイロードと呼ばれるデータ格納部分に不正データが入っていてもヘッダー情報が正しいと判断されれば侵入できてしまいます。

それに対し Azure DDoS Protection はネットワークの兆候や振る舞いから自動的に通信を制御することができます。

WAF との違い

Web アプリやクラウドサービスの増加により最近よく耳にするのが WAF (ワフ)です。
WAF とは、「 Web Application Firewall 」の略で、 Web アプリケーションの保護に特化したファイアウォール機能です。 SQL インジェクション、クロスサイトスクリプティング、 OS コマンドインジェクション、ディレクトリトラバーサルなど Web アプリケーションの脆弱性を悪用した攻撃から Web サイトを保護することを目的としたファイウォールです。

2. Azure DDoS Protection の導入メリット

Azure DDoS Protection

図版出典:Microsoft 公式サイト

ここまで Azure DDoS Protection の機能や、他セキュリティアプライアンスとの違いを説明してきました。ここからはメリットについてより具体的に解説します。

DDoS 攻撃の種類

その前に DDoS 攻撃にはどのような種類があるのかを解説します。

帯域幅消費型

大量のトラフィックをネットワークに送信し帯域を消費させることでネットワークの遅延、機能停止を引き起こすタイプの攻撃です。TCP 、UDP フラッド攻撃や偽装パケットによるフラッドに用いられます。

プロトコル攻撃

レイヤー 3 (ネットワーク層)とレイヤー 4 (トランスポート層)におけるプロトコル内の弱点を悪用し、標的を動作停止状態に陥れる攻撃です。SYN 、FIN 、ACK フラッド攻撃やリフレクション攻撃に用いられます。

リソースレイヤー攻撃

Web アプリケーションパケットを標的に SQL インジェクション、クロスサイトスクリプティングなど、レイヤー 7 (アプリケーション層)への攻撃です。

Azure DDoS Protection 導入のメリット

紹介した各種 DDoS 攻撃に対し Azure DDoS Protection では以下のメリットがあります。

適応型脅威インテリジェンス

帯域消費型攻撃で用いられる TCP 、UDP は正常な通信でも利用されます。そのため正常な通信を制御してしまっては本来のサービスを妨害することになります。

このような状況を False Positive (フォールスポジティブ:偽陽性)と呼びます。 Azure DDoS Protection はこの False Positive 状況を極力少なくし、適応型脅威インテリジェンス機能により悪意のあるトラフィックと正常なトラフィックを区別し悪意のあるトラフィックを軽減することが可能です。

大量のフラッドデータを吸収

DDoS 攻撃の中でも TCP のプロトコル攻撃で用いられる SYN、 FIN 、ACK は特に多くのパケットが生成されます。これは 3 WAY ハンドシェイクというプロトコルの交換ルールに則った接続、応答パケットです。これらのパケットは攻撃の段階で大量にフラッドされます。

Azure DDoS Protection は Azure の巨大なネットワークリソースであるグローバルネットワークスケールを活用し潜在的な大量のフラッドデータを吸収して除去することで攻撃効果を大幅に軽減することが可能です。

様々なサービスとの統合利用

Azure DDoS Protection は Azure Application Gateway でも有効化することが可能です。よってリソースレイヤー攻撃に対応が可能です。 多層防御は実際に構築しようとするとコスト負担が大きくなりがちですが、Azure 内の様々なサービスと統合することで、強力な多層防御を容易に実現できます。

容易な管理機能

Azure DDoS Protection は常時監視機能がデフォルトで有効になるため高度なセキュリティ機能を実装できます。
また攻撃内容における診断機能はさらに高度な分析として Microsoft Sentinel が提供する SIEM 機能などが利用でき、高度な可視化機能として Azure Monitor 、 Azure portal などと統合することで利用者の負荷を削減することが可能です。

3. Azure DDoS Protectionの提供プランと料金について

Azure DDoS Protection には先述した通り「 Basic 」と「 Standard 」という2つのプランが用意されています。

Basic は追加コストや構成変更なく、すぐに利用することができます。 Basic プランでは常時監視、ネットワーク層、トランスポート層レベルの緩和、リージョン間をまたいだ防御機能の提供などが含まれます。

Standard プランは Basic プランで提供される機能に加えて、仮想ネットワークリソースに対する攻撃の軽減機能なども提供されます。 Azure Application Gateway と併用したアプリケーション層保護の機能は Standard プランに含まれます。
また Standard プランではログ、メトリック、アラート機能等を追加で利用できるようになり実践的なセキュリティ運用に欠かせない機能が揃っています。セキュリティ対応を強化したい利用者は Standard プランの利用が推奨されます。

料金はデータ処理量によって異なり、 1 GB 当たりの料金が定められています。詳細はマイクロソフト公式のホームページをご参照ください。

※参考 Azure DDoS Protection の価格

4. まとめ

ここまで Azure DDoS Protection について、導入メリット、価格について解説しました。

常時監視機能、脅威インテリジェント機能などの高度な検出機能に加え、利用者の負担を軽減し Azure の様々なサービスと統合的することでさらに効果的に利用する事ができるサービスです。

DDoS 攻撃は近年では標的型攻撃に用いられ社会的に大きな影響を与えかねないサイバー攻撃です。自社の利用状況に合わせ導入の検討をお勧めします。また導入や統合的な利用については専門家へ相談されることを推奨いたします。

Azure のセキュリティ対策を相談したい

Azureセキュリティ対策サービス

Azure セキュリティ対策サービス

Microsoft Azure のセキュリティ対策をご支援します。

詳しくはこちら
Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード

  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

    ダウンロード

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure DDoS Protection Azureセキュリティ

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

03-5946-840503-5946-8405平日 10:00 - 18:00
03-5946-840503-5946-8405平日 10:00 - 18:00
single.php