テックブログ

2026.4.6

AWSでのDoS・DDoS攻撃対策について

こんにちは。運用チームのS.Iです。

私は主に夜間帯に監視業務を行っておりますが、
深夜にもかかわらずアクセス集中により、WEBページにアクセスできなくなる障害が発生します。
調査してみると海外IPアドレスによる不審なクローリング(スクレイピング)が原因の場合があったりします。

こういったアクセスへの対策としてDoS攻撃、DDoS攻撃への対策が有効な場合があります。

今回はサービスがダウンしてしまうような不審なアクセスの対策について、AWSでの対策を軸に書いていこうと思います。

DoS攻撃、DDoS攻撃とは？

まずはDoS攻撃、DDoS攻撃について説明します。

DoS（Denial of Service）攻撃とは1つのIPアドレスから大量のリクエストを送信しサーバに負荷をかけサービスを停止させる攻撃です。

一方、DDoS（Distributed DoS）攻撃は、複数のIPアドレスから一斉に標的のサーバにリクエストを送信しサーバに負荷をかける攻撃です。

アプリケーション層へのDoS攻撃対策の有効手段としてWAFの導入をおすすめします。
ネットアシストで取り扱っているWAFについては下記をご確認ください。

WAFの詳細はこちら

WAFを導入されていない場合、不正アクセスによるサーバダウンのリスクが下げられる可能性がありますので導入をご検討ください！

DoS攻撃の対策について

具体的にWafCharm(AWS WAF)での対策方法について説明していきます。

クローラーによるアクセスと通常のアクセスを見分ける際、リクエスト数は目安になると思います。
クローラーによるアクセスはリクエスト数が桁違いに多い場合があります。
そういったアクセスに対してWafCharmのレートベースルール設定が有効です。

レートベースルール

レートベースルールとは、特定のIPアドレスからのリクエスト数を制限するためのルールです。
例えば同一IPアドレスから1分間に1000リクエストを超えるとブロックするなどのルール設定が可能です。

環境により設定するルールが異なるため、ルール設定の際にサーバごとに調査が必要になります。

WafCharmを導入済みでしたらレートベースルールの設定についてご相談いただければと思います。

DoS攻撃の対策について

DDos攻撃についても少し触れていこうと思います。

DDoS攻撃は対策が困難な攻撃で、それぞれのWAFに専用のプランが用意されていたり、別のサービスを追加する必要があります。

例えば攻撃遮断くんであれば「DDoSセキュリティタイプ」というプランがあり、
AWSであれば「AWS Shield Advanced」「DDoS保護マネージドルール(Resource-level DDoS protection)」「マネージドルールグループ(AWS managed rule group DDoS protectio)」などが該当します。

AWSのDDoS対策について

AWSでは「AWS Shield Advanced」という月額 3,000 USD からとなるサービスが主なDDoS対策でしたが、
2025年6月から「DDoS保護マネージドルール」と「マネージドルールグループ(AWS managed rule group DDoS protectio)」機能が追加されました。

https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-automatic-application-layer-ddos-protection