WebサイトがDDoS攻撃でダウン？知っておくべき対策とアクセス安定化の完全ガイド

DDoS攻撃によるダウンタイムの平均損失は1分あたり6,130ドル。Indusface「2026年アプリケーションセキュリティ状況レポート」によると、2025年にDDoS攻撃を少なくとも1回経験したウェブサイトは70％に上り、サイトあたりの攻撃量は前年比27％増加。APIが標的になる確率は従来型ウェブサイトよりも675％高い。現在主流となっているのは、ほとんどの対応チームがアラートを受け取る前に終了するよう設計された「2〜3分の短時間攻撃」であり、その裏でクレデンシャルスタッフィングやアカウント乗っ取りも静かに進行している。

2026年においてDDoS攻撃を防ぐには、帯域幅やファイアウォールだけでは全く不十分だ。必要なのは、動作検知、多層防御、そして被害が拡大する前に素早く対応する準備である。本ガイドでは、実戦で検証済みのDDoS防止ベストプラクティス15項目を、フェーズ別に整理して紹介する。現在の防御体制のどの穴を優先して塞ぐべきか、判断するのに役立つだろう。

DDoS攻撃を防ぐ方法

DDoS対策が施されていない一秒一秒は、攻撃者が利用できる貴重な時間である。

以下に示すのは、ほとんどの攻撃が深刻な損害を引き起こす前に阻止するための核となる対策だ。

• オリジンサーバーのIPをWAFまたはCDNの背後に隠す – 攻撃者がエッジ防御を迂回してインフラを直撃するのを防ぐ。

• 静的なしきい値ではなく、エンドポイント単位での動作ベースのレート制限を適用する – 分散攻撃では各送信元は静的制限以下に抑えられても、全体としてアプリケーションが圧倒される。

• アセットを重要度で階層化する – ログインページ、決済API、ビジネスクリティカルなフローを最も強力な保護下に置き、静的なマーケティングページと同じレベルにしない。

• 常時オン型のDDoS保護を導入し、サブ秒単位で応答する – 2〜3分の短時間攻撃は、オンデマンド緩和が起動する前に終了してしまう。

• 攻撃が実際に来る前にインシデントレスポンスの訓練を行う – 適切に訓練され文書化された計画を持つ組織は数分で復旧するが、そうでなければ数時間かかる。

以下の15のプラクティスはこれらの原則をベースに、ウェブサイト、ネットワーク、API、ルーター向けの具体的な実施指針を提供する。

2026年、なぜDDoS攻撃の防止はこれほど困難になったのか

DDoS防御の構造的な課題を理解すれば、多くの組織が対策に投資しているにもかかわらずリスクにさらされ続ける理由がわかる。

攻撃の規模と分散により、IPブロックは無意味になる。 現代のDDoS攻撃は、地理的に分散した数十万のIPからなるボットネットに由来する。1つの送信元をブロックしても、さらに数千の送信元がトラフィックを送り続ける。その規模だけで、セキュリティアナリストが反応する前にほとんどのネットワークを圧倒できる。

短時間で正確な攻撃は防御が間に合う前に終わる。 2025年の支配的な攻撃パターンは、分散IPプールからの2〜3分間のフラッドだった。静的しきい値が発動する直前、そして人間の対応チームがアラートを受け取る前に終了するよう巧妙にタイミングが調整されている。静的レート制限では、誰もページングされる前に終わってしまう攻撃を止められない。

アプリケーションレイヤー攻撃は正規トラフィックを装う。 レイヤー7 DDoS攻撃における個々のHTTPリクエストは、それ単体では完全に正常に見える。問題はリクエストの規模とパターンであって、パケット内容ではない。エンドポイントごとの動作ベースラインがなければ、シグネチャベースの防御は、ログインエンドポイントへの悪意のあるフラッドと正規のトラフィックスパイクを見分けられない。

攻撃者はリアルタイムで戦術を変える。 高度な攻撃者は防御システムの反応を監視し、攻撃中に動的に戦略を調整する。1分目に有効だった防御も、3分目には回避されるかもしれない。適応型の攻撃に対抗できるのは、継続的に更新される動作モデルだけである。

ほとんどの組織は24時間365日のDDoS対応を維持できない。 2026年のレポートによると、DDoS攻撃の60％はAI駆動の動作モデルによってのみ識別可能であり、静的レート制限だけでは決して捕捉できない。効果的なDDoS防御には、年中無休の監視とリアルタイム分析が必要だが、ほとんどのチームはそれを社内で維持できない。

2026年のDDoS防止ベストプラクティス15選

DDoS攻撃は、粗雑な帯域幅フラッドから精密兵器へと進化した。短時間攻撃はアラートが発報される前に終了する。APIエンドポイントは従来型ウェブサイトよりも675％多く攻撃される。クレデンシャルスタッフィングは、対応チームがフラッドに対処している間に並行して実行される。昨日の攻撃向けに作られた静的な防御では、今日の攻撃は止められない。

これらの15のプラクティスは、「リスクの理解」「露出の低減」「早期検知」「積極的防御の構築」「事業継続の計画」の5つのフェーズに分類される。DDoS防御をゼロから構築する場合は、フェーズ順に従ってほしい。すでに計画がある場合は、各フェーズを参照して現行計画の穴を見つけてほしい。

フェーズ1：リスクを理解する

知らないものは防御できない。DDoS対策ツールや技術に投資する前に、何を守っているのか、誰が攻撃してくる可能性があるのか、どのアセットが最も重要かを明確にする。このフェーズがDDoS計画全体の成否を左右する。これをスキップした組織は、最終的に間違ったものを守るためにお金を使うことになる。

1. 自分の環境を標的とする攻撃タイプを特定する

被害が出る前に攻撃タイプを素早く見極めることは、あらゆるDDoS防御計画の基礎である。攻撃タイプによって標的となるレイヤーや環境が異なる。直面している脅威の種類を知ることで、どの防御手段を使うべきかが決まる。

レイヤー7 HTTPフラッド – 大量のGET、POST、APIリクエストでウェブサイトやWebアプリケーションを攻撃する。アプリケーションサーバーのCPUを消費し、帯域幅ではないため、ネットワークレイヤーの防御では止められない。ウェブサイトのログインページ、チェックアウトフロー、検索機能が主な標的となる。個々のリクエストは正常に見え、攻撃は1つのエンドポイントに火力を集中させる。

UDP増幅攻撃 – オープンなDNSやNTPサーバーを悪用して攻撃トラフィックを増幅させる。攻撃者が小さなリクエストを送ると、サーバーは大きな応答を返す。これは帯域幅を飽和させることを目的としたネットワークレイヤー攻撃であり、アプリケーションをクラッシュさせるのではない。イングレスフィルタリングがなく、ネットワークインフラが直接露出しているルーターが最も脆弱である。

DNSフラッド – 大量のクエリでDNSリゾルバーを圧迫し、正当なユーザーがドメイン名を解決できなくする。この攻撃はウェブサイトとネットワークインフラの両方に影響する。ウェブサーバーが完全に正常でも、DNSがダウンしていればユーザーは到達できない。典型的な兆候は、DNSタイムアウトや部分的な接続障害（例：IP直ではアクセスできるがドメイン名ではアクセスできない）である。

短時間精密攻撃 – 2025年に支配的だったパターン。分散IPプールからの2〜3分の高速攻撃で、特定のウェブサイトやAPIエンドポイントを狙い、自動アラートがトリガーされる直前に終了するよう設計されている。検出と対応の間のギャップを悪用するアプリケーションレイヤー攻撃である。

各攻撃タイプを理解することで、適切な防御を適用できる。UDP増幅にはネットワークレイヤーのスクラビングが必要であり、HTTPフラッドにはアプリケーションレイヤーの動作検知が必要である。間違った防御を使うと、貴重な対応時間を浪費し、本当の攻撃ベクトルが放置される。

2. 環境に合わせたDDoS脅威モデルを構築する

リアクティブな防御とプロアクティブな防御の違いは、脅威モデルを持っているかどうかにある。脅威モデルがなければ、常に前回の攻撃の事後対応に終始する。脅威モデルがあれば、攻撃が来る前に予見できる。

インターネットに面した全アセットを棚卸しする – Webアプリケーション、API、DNSインフラ、CDNオリジン、ネットワークエンドポイント、ルーターを含む完全な資産リストを作成する。他のチームが管理するアセットを見逃さないこと。シャドーAPIや文書化されていないエンドポイントは、誰も監視していないため頻繁なDDoS標的となる。ウェブサイトの場合はすべての公開URLを記録する。ネットワークの場合は外部から到達可能なすべてのIPとポートを記録する。小規模組織ではルーターやネットワークエッジデバイスも含める。これらは攻撃標的であると同時にボットネットのリクルート対象でもある。

業界に応じた現実的な脅威アクターを特定する – 金融サービス業界は国家レベルの攻撃者と金銭目的の攻撃者に直面しており、彼らはDDoSを詐欺活動の煙幕として利用する。Eコマースは競合他社や恐喝者を警戒する必要があり、彼らはピークセールス時期に合わせて攻撃を仕掛ける。医療業界はハクティビストに注意する必要があり、彼らは患者データの脆弱性を探る気をそらすためにDDoSを利用する。脅威アクターによって能力、好むベクトル、標的選択のロジックが異なる。

攻撃ベクトルを特定のアセットにマッピングする – ウェブサイト上の高トラフィックなログインエンドポイントは、アプリケーションレイヤーフラッドとクレデンシャルスタッフィングの両方の標的となる。決済APIは、トランザクションピーク時にリソース枯渇攻撃の主要標的となる。DNSインフラは増幅攻撃の標的となる。ファームウェアが古いネットワークルーターはボットネットリクルートの格好の標的となる。

可能性と影響でリスクを評価する – 特定の環境を狙う可能性が最も高く、最も大きな損害をもたらす攻撃に基づいて、投資の優先順位を決定する。これにより、理論上の攻撃に過剰投資し、可能性の高いベクトルを無防備にするという古典的なミスを回避できる。

3. アセットにDDoS優先度の階層を設定する

すべてのアセットが攻撃を受けたときのビジネスリスクは同じではない。すべてのアセットを同じように扱うDDoS計画は、クリティカルなアセットを犠牲にして低価値のアセットを守ることになる。

攻撃が発生する前に、インターネットに面した全アセットを3つの階層に分ける：

クリティカル – ダウンタイムが収益、コンプライアンス、または安全性に直接影響するアセット。ウェブサイトの場合、ログインページ、チェックアウトフロー、決済API。ネットワークの場合、DNSリゾルバー、ルーティングインフラ、主要なインターネットアップリンク。APIの場合、認証エンドポイントとトランザクションフロー。これらには常時オンの保護と最速の応答時間が必要である。

高優先度 – 中断が日常業務に影響するが、即座に金銭的またはコンプライアンス上の結果を引き起こさないアセット。管理パネル、レポートダッシュボード、内部APIなど。保護は必要だが、応答時間はクリティカルよりやや遅くてもよい。

通常 – それ以外のすべて。マーケティングページ、静的アセット、非トランザクションエンドポイント。標準的なレート制限とCDNキャッシングで十分である。

さらに、廃止済みアセットという特別なバケットもある。まだオンラインだがアクティブな監視がなく、誰も注意を払っていないために頻繁にDDoS標的となる古いシステムや未使用のAPI。すぐにオフラインにするか、明示的な拒否ルールを設定する。アプリケーション自体が死んでいても、そのウェブサイトのエンドポイントが名前解決される限り、攻撃者は共有インフラリソースを消費するためにそれらを利用できる。

フェーズ2：露出を減らす

最も安価なDDoS防御は、攻撃面が悪用される前に除去することである。必要のないインターネットエンドポイントはすべて潜在的な標的であり、使用していないサービスはすべて脆弱性である。このフェーズでは、検出や緩和に1円も使う前に、攻撃者が到達できる範囲を縮小する。

4. ウェブサイトとアプリケーションの攻撃面を減らす

オリジンサーバーのIPを隠す – すべてのウェブサイトトラフィックはWAFまたはCDNを経由させなければならない。DNS履歴、SSL証明書の透過性ログ、サブドメイン列挙などでオリジンIPが見つかってしまうと、攻撃者はあらゆるエッジ防御を迂回してウェブサーバーに直接攻撃トラフィックを送り込める。公開されているウェブサイトやアプリケーションは決してオリジンIPを漏らしてはならない。

未使用のサービスやレガシーエンドポイントを削除する – 使われていないポート、非推奨のAPI、古いアプリケーションエンドポイントはすべて、DDoSの潜在的なエントリポイントである。インターネットに面したサービスを四半期ごとに監査する。まだ名前解決はするがメンテナンスされていないレガシーAPIエンドポイントは、監視もレート制限もアクティブな防御もない – 攻撃面の中で最も簡単に悪用される箇所である。

静的アセットをエッジで積極的にキャッシュする – ウェブサイトへのDDoS攻撃は、バックエンド処理が必要なリクエストを処理させることでウェブサーバーのCPUを枯渇させることを目的としている。画像、スクリプト、スタイルシート、ダウンロード可能なファイルをCDNエッジノードから配信し、オリジンからロードしないようにすることで、それらのリクエストを攻撃対象範囲から完全に外す。攻撃者は、そもそもサーバーに到達しないリクエストでサーバーリソースを枯渇させることはできない。

適切な場合にジオブロッキングを有効にする – ウェブサイトのユーザーがある程度の地域に集中している場合、正当なユーザーベースが存在しない国や地域からのトラフィックを制限する。これだけで決定的な攻撃を止められるわけではないが（ボットネットは広く分散している）、ユーザーベースが地理的に集中している組織にとっては攻撃面を意味ある形で削減できる。

5. ネットワークとルーターの攻撃面を減らす

ネットワーク境界でイングレス・エグレスフィルタリングを有効にする – イングレスフィルタリングは、送信元IPを偽装したトラフィックがネットワークに入る前に止める。エグレスフィルタリングは、自ネットワークが他組織への増幅攻撃に悪用されるのを防ぐ。どちらも低コストであり、ボリュメトリック攻撃や増幅攻撃のリスクを劇的に減らす。

ネットワークをセグメント化する – ウェブサーバーをパブリックサブネットに、データベースをインターネットに直接公開されないプライベートサブネットに配置する。データベースへのアクセスはアプリケーションサーバーのみに制限する。たとえ攻撃者がパブリックサーバーレイヤーを圧倒しても、セグメント化によって高価値のバックエンドリソースへの到達を防げる。複雑なインフラでは、さらに細かいセグメント化（例：決済処理を通常のウェブサーバーよりも厳格なアクセス制御を持つ別のネットワークゾーンに配置する）を行う。

ルーターをDDoS攻撃とボットネットリクルートに対して強化する – ルーターはDDoS標的であると同時にボットネットリクルートの手段でもある。すべてのネットワークデバイスでデフォルトの管理者資格情報を直ちに変更する。ルーターのファームウェアは自動更新を有効にするか、毎月手動で更新する。UPnP、リモート管理、未使用のポートフォワーディングルールを無効にする。これらはすべてルーターの攻撃面を広げ、特にUPnPは増幅攻撃に頻繁に悪用される。エンタープライズルーターでは、絶対に必要でない限りリモート管理を完全に無効にする。

DNSインフラを保護する – 組み込みのDDoS保護を持つマネージドDNSプロバイダーを利用する。DNSSECを展開してDNSポイズニングを防ぐ。インフラ上でのオープンな再帰的DNS解決を制限または無効にする。他のすべてのインフラが正常でも、DNSフラッドが成功すればドメイン名を解決できなくなり、組織全体をオフラインにできる。

6. トラフィックスパイクに備えてインフラを準備する

急激な負荷でクラッシュするインフラは、攻撃を止められないインフラと同じくらい問題である。スパイク対応能力があれば、正当なトラフィックピークとボリュメトリックDDoS攻撃の両方に対処できる。

グローバルに分散したCDNを統合する – Anycast CDNは攻撃トラフィックを多くの地理的に分散したエッジノードに分散し、オリジンインフラに到達する前に吸収する。攻撃ボリュームは単一のポイントに集中する代わりにネットワーク全体に希釈される。ウェブサイトの場合、CDN統合は正当なトラフィックスパイク（フラッシュセール、製品ローンチ、バイラルコンテンツ）もオリジンサーバーからオフロードするため、正常なバーストを攻撃と誤認することがなくなる。

従量課金型ではなく、従量無制限（unmetered）のDDoS保護を選ぶ – 攻撃トラフィックや帯域幅消費に応じて課金されるDDoS保護は、テラビット規模の攻撃に直面したときにビジネス中断に加えて予期せぬ高額請求という危機を生む。従量無制限の保護は、あらゆる規模の攻撃を定額で吸収し、ビジネスが最大のストレス下にあるときに予測不可能なコストを排除する。

ISPとの間で上流スクラビングを確立する – エッジネットワークの処理能力を超える大規模な攻撃に対しては、ISP側のスクラビングが攻撃トラフィックをネットワークに到達する前にドロップする。この関係を事前に構築し、実際に必要になる前にシグナリングメカニズムをテストしておく。攻撃を受けている最中に上流スクラビングを有効化しようとすると、時間のかかる厄介なプロセスによって損害の時間枠が拡大する。

フェーズ3：早期に検知する

早期検知は、DDoSインシデントが10分で終わるか4時間の停止になるかの分かれ目である。2025年に支配的だった2〜3分の短時間攻撃は、検出システムがアラートを発する前に終了するよう特別に設計されている。このフェーズでは、そのギャップを埋める – 攻撃が取り返しのつかない損害を引き起こす前に特定し、自動化システムだけでは見逃す攻撃パターンを捉えるための監視体制を整える。

7. DDoS攻撃の早期警告サインを知る

DDoSの早期警告サインは、他のインフラ問題（ハードウェア障害、設定ミス、正当なトラフィックスパイク）と重複する。以下はDDoSをそれらから見分ける方法である。

単一エンドポイントに集中するトラフィック – 通常のトラフィック増加は、すべてのページとエンドポイントに比例して分散される。DDoS攻撃は特定のURL、API、またはサービスに集中する。他のすべてが正常なままログインページのリクエストだけが急増した場合、それはアプリケーションレイヤーDDoSのシグナルであり、通常のトラフィックバーストではない。

異常な地理的分布 – 通常のトラフィックスパイクはユーザーの地理的分布に一致する。ボットネットのトラフィックは一致しない。通常のユーザーベース外の国や地域からの予期しないトラフィック（特に徐々に増加するのではなく突然始まった場合）は、分散攻撃のシグナルである。

同質的なリクエスト特性 – 通常のユーザーは多様なリクエスト特性（ユーザーエージェント、リファラー、パラメータ値）を生成する。ボットネットは大規模に同一またはほぼ同一のリクエスト特性を生成する。同じユーザーエージェントやヘッダーセットを共有する大量のリクエストはボットネットのシグナルである。

帯域幅は正常だがCPUが枯渇する – アプリケーションレイヤーDDoS攻撃はネットワーク帯域幅を正常に保ったままウェブサーバーのCPUを消費する。アプリケーションサーバーのCPUが100％に張り付いているのにネットワークインターフェースの使用率が正常であれば、攻撃はアプリケーションレイヤーで発生している – ネットワークレイヤーの防御では止められない。

サーバーは正常だがDNS解決に失敗する – ユーザーが到達できないと報告するが、ウェブサーバーやアプリケーションサーバーが正常に応答する場合、攻撃はアプリケーションではなくDNSインフラを標的にしている可能性がある。

8. トラフィックログを継続的に監視・分析する

継続的なログ監視は、最も早い検出手法であると同時に、インシデント後のフォレンジックの基盤でもある。自動検出をすり抜けた攻撃は、深刻な損害を引き起こす前にログパターンに痕跡を残すことが多い。

動作ベースラインに基づく自動アラートを設定する – アラートのしきい値をアプリケーションの通常のトラフィックパターンに合わせて調整し、小さな変動ごとに発報するのではなく、真の異常時にのみ作動させる。通常1時間あたり500リクエストのログインエンドポイントには、例えば1時間あたり5,000リクエストでアラートを設定する。同じしきい値を通常1時間あたり50,000リクエストのトップページに適用すれば、誤報で溢れることになる。

ネットワーク、アプリケーション、CDNレイヤー間でログを相関分析する – アプリケーションレイヤー攻撃はネットワークレイヤーでは正常な帯域幅を示しつつ、アプリケーションレイヤーでCPUを枯渇させる。レイヤー間のログ相関分析は、単一レイヤーの監視では見逃す攻撃を捉える – これは特に、ネットワークレイヤーのしきい値をトリガーせずにアプリケーションパフォーマンスを損なう短時間攻撃に対して重要である。

ログを少なくとも1年間保持する – インシデント後のフォレンジックには、攻撃パターンを特定し、送信元を追跡し、コンプライアンスや法的目的でイベントを文書化するための履歴データが必要である。数週間分のログしか保持しないと、繰り返し発生する攻撃行動やゆっくりと構築される脅威を認識するために必要な履歴ベースラインを失う。

ログをリアルタイムでSIEMに送信する – SIEM統合により、ログデータを脅威インテリジェンスフィードや環境内の他のセキュリティシグナルと相関分析できるようになる。マルチベクトル攻撃は異なるシステムやレイヤーにまたがる。すべてのソースからのログデータが一箇所に集まって初めて、全体像が可視化される。

フェーズ4：積極的な防御を構築する

予防と検出は露出を減らし、識別を高速化する。しかし、実際に攻撃が到来したときにそれを止めるのは積極的な防御である。このフェーズでは、攻撃トラフィックがインフラに到達する前に遮断する対策を扱う – リアルタイムで適応する動作ベースのレート制限から、通常の緩和能力を超える攻撃に対する緊急措置まで。攻撃が来る前にこれらの防御を整えておくことが、DDoSイベントを乗り切るか、やられてしまうかの分かれ目である。

9. エンドポイント単位での動作ベースのレート制限を実装する

レート制限は最も広く導入されているDDoS防御の一つであると同時に、最も設定を誤りやすいものの一つでもある。すべてのトラフィックに同じ静的レート制限を適用することは、分散攻撃によって簡単に回避される – 各送信元はしきい値以下に抑えられていても、その総和がアプリケーションを圧倒する。

動作ベースのレート制限は、各エンドポイントおよび各ユーザーセッションの通常のリクエストパターンのベースラインを構築し、そのベースラインに相対的な制限を適用する。決済APIを例にとると、通常の状態では認証済みセッションあたり毎分約200リクエストである。このエンドポイントの制限はそのしきい値を基準に設計される。単一の汎用ルールでは、高価値エンドポイントで正当なトラフィックをブロックするか、または十分な保護を提供できないかのどちらかである。エンドポイント単位の動作制限は両方の失敗モードを排除する。

エンドポイント単位の動作ベースのレート制限は、APIエンドポイントにとって特に重要である。2025年、APIは従来型ウェブサイトよりも675％多く攻撃された。APIレイヤー全体に単一のレート制限を適用すると、正当な高ボリューム統合をブロックするか、または認証エンドポイントや決済エンドポイントなど、ボリュームは低いがセンシティブなエンドポイントの保護が不十分になるかのどちらかである。

動作ベースのレート制限は、正当なトラフィックスパイク時の誤検出も防ぐ。フラッシュセールにより、チェックアウトエンドポイントへのトラフィックが通常の10倍に跳ね上がるかもしれない。静的なレート制限にとって、それは攻撃とまったく同じに見える。プロモーションイベント中のこのエンドポイントの通常パターンを理解している動作制限は、本当の買い物客をブロックすることはない。

10. CAPTCHAと暗号チャレンジを導入する

CAPTCHAと暗号チャレンジは、アプリケーションレイヤーでの自動化された攻撃トラフィックを減らす二次的な制御手段である。高価値エンドポイントでは両方を導入してもよい（どちらか一方という選択ではない）。

CAPTCHA – ログインページ、登録フォーム、チェックアウトフローなどの高価値エンドポイントへのアクセスを許可する前に、人間の操作を検証する。現代のCAPTCHAは視覚的なパズルではなく、マウスの動き、キーストロークパターン、ブラウザフィンガープリンティングなどの行動シグナルを利用する – ほとんどの正規訪問者はほとんど気付かない。CAPTCHAはDDoSリスクが最も高いエンドポイントにのみ導入し、サイト全体には導入しない。すべてのページにCAPTCHAを設定するとユーザーフリクションが増えるだけで、リスクの低いページには実質的なセキュリティ上のメリットがない。

暗号チャレンジ – 各リクエストに計算コストを課し、大規模な自動化攻撃を経済的に採算の悪いものにする。アプリケーションサーバーがDDoS圧力下にあるとき、エッジでのプルーフ・オブ・ワーク・チャレンジはバックエンド処理が必要なリクエストの量を劇的に削減できる。ブラウザ環境がなくCAPTCHAが機能しないAPIエンドポイントでは、暗号チャレンジとクライアント証明書認証を組み合わせることで同様の効果が得られる。

11. 緊急措置としてブラックホールルーティングを使用する

ブラックホールルーティングは攻撃トラフィックをヌルインターフェースに送り、標的インフラに到達する前にドロップする。これは粗い手段である – 標的IPへのすべてのトラフィック（正当なものも攻撃も）がドロップされる。しかし、攻撃ボリュームが緩和能力を超え、最優先目標が上流インフラの崩壊を防ぐことである場合には有効である。

緩和能力を超えた攻撃ボリュームが発生した場合にブラックホールルーティングを有効にする。正当なユーザーも一緒にブロックしてしまうため、行動緩和の代わりにはならない。

リモートトリガーブラックホールルーティングでは、上流ISPに通知してトラフィックをネットワークに入る前にドロップさせることができる – 大規模な攻撃に対して特に効果的である。ISPとの関係を事前に確立し、実際に必要になる前にシグナリングメカニズムをテストしておく。状況が許せば、ブラックホールルーティングからより精密な行動フィルタリングに切り替え、正当なユーザーのアクセスを回復する。

12. 自インフラがボットネットノードになるのを防ぐ

自インフラはDDoSの標的であると同時に、潜在的なDDoS兵器でもある。侵害された企業サーバー、クラウドインスタンス、ルーターは、他の組織を攻撃するボットネットにリクルートされる。自インフラがボットネットノードとして使われると、インバウンド攻撃に加えて、滥用申告、IPレピュテーションの低下、アウトバウンドトラフィックコストの増加に直面する。

パッチ管理が最優先 – ほとんどのボットネットリクルートは、パッチが適用されていないシステムの既知の脆弱性を悪用する。クリティカルな脆弱性には明確な修復期間を設定し、可能な限りパッチを自動化する。既知の脆弱性が露出したままの期間が長いほど、ボットネットリクルートの対象となる時間が広がる。

アウトバウンドトラフィックの異常パターンを監視する – 正常なサーバーは、ランダムなIPへの大量のアウトバウンド接続を開始しない。異常なアウトバウンドトラフィック（見知らぬ送信先への大量通信、既知のC2インフラへの接続、または異常なポート）に対して自動アラートを設定する。アウトバウンド異常の早期検出は、ボットネットリクルートを早期に捉える。

インターネットに面したすべての管理インターフェースで強力なパスワードポリシーを強制する – 多くのボットネットリクルートは、露出したルーター管理パネル、SSHインターフェース、管理コンソールへのクレデンシャルスタッフィングから始まる。すべての管理アクセスに多要素認証を有効にする。デプロイ後すぐにすべてのネットワークデバイスのデフォルト資格情報を変更する。

内部リソースを公開アクセスから分離する – インターネット向けでない内部アセットには、直接的な公開パスがあってはならない。ネットワーク分離は、侵害された内部システムが侵害後に外部C2インフラと通信するのを防ぐ。

13. DDoSインシデント対応および復旧計画を策定する

攻撃が発生する前に、DDoSインシデント計画は文書化され、テストされ、対応チェーン上の全員が把握していなければならない。

明確な役割とエスカレーションパスを定義する – DDoSイベントが発生していると誰が判断するか？誰が緩和を起動するか？誰が顧客や規制当局と通信するか？ライブ攻撃中に役割が不明確だと対応時間が無駄になり、無駄にされた1分ごとに数千ドルのダウンタイムコストが発生する。エスカレーションパスを文書化し、チェーン上の全員が攻撃前に自分の役割を理解していることを確認する。

攻撃タイプごとのプレイブックを作成する – ボリュメトリック攻撃のプレイブックは、APIへのアプリケーションレイヤー攻撃のプレイブックとは全く異なる。事前定義された対応手順により、ライブイベント中の判断の遅れを排除する。プレイブックには、各攻撃タイプに対して有効にする具体的な緩和制御、エスカレーションをトリガーするしきい値、緩和が機能していることを検証する手順を含める。

事前にコミュニケーションテンプレートを作成する – 攻撃が発生する前に、顧客通知、内部関係者向け更新、規制当局向けインシデントレポートの下書きを作成する。金融や医療などの規制産業では、インシデント報告の期限は義務である – 事前に作成されたテンプレートがあれば、運用対応を処理しながら期限内に報告できる。

復旧とロールバック手順を文書化する – 攻撃終了後に通常運用に戻るための正確な手順を文書化する：攻撃が止んだことを確認する方法、正当なユーザーをブロックする可能性のある一時的な緩和措置を解除する方法、攻撃が二次侵害の煙幕として使われたかどうかを評価する方法。

四半期ごとに訓練を実施する – 訓練されたことのない計画は、未知の障害モードを持つ計画である。少なくとも四半期ごとに机上訓練を実施し、さまざまな攻撃タイプのDDoSシナリオをシミュレーションする。実際の攻撃で明らかになる前に、検出、応答時間、チーム連携のギャップを見つける。

14. 専用のDDoS防御ツールを導入する

ファイアウォール、ロードバランサー、侵入検知システムといった従来のセキュリティツールは、現代のDDoS攻撃向けに作られていない。テラビット規模の攻撃に対処できず、通常のトラフィックに偽装したアプリケーションレイヤー攻撃を検出するための動作分析も欠けている。

専用のDDoS防御ツールは、従来のインフラでは再現できない4つの能力を提供する：

• エンドポイント単位の動作検知 – 各エンドポイントのトラフィックベースラインを構築し、リアルタイムで逸脱を識別する。シグネチャベースのツールは、個々には正当なリクエストからなる攻撃を見逃す。動作ツールはそのパターンを捉える。

• 従量無制限のエッジスクラビング – トラフィックがオリジンインフラに到達する前に、グローバルに分散したエッジノードで攻撃を吸収する。これにはオンプレミスツールでは提供できないネットワーク容量が必要である。

• 自動化されたリアルタイム緩和 – 検出から数秒以内に緩和を自動的に有効にする。2〜3分の短時間攻撃には自動応答が必要である – 手動による有効化では遅すぎる。

• AI駆動のトラフィック分類 – 機械学習モデルを使用して、攻撃トラフィックと正当なスパイクを区別する。2026年のレポートでは、DDoS攻撃の60％が正確な検出にAI動作モデルを必要とすることが示されている – 静的レート制限だけでは決して止められない。

適切なツールは環境によって異なる。ウェブサイトやAPIを保護する組織には、アプリケーションレイヤーの動作検知とエッジスクラビングの組み合わせが必要である。ネットワークインフラを保護する組織には、Anycastルーティングによる大容量スクラビングが必要である。ほとんどの組織は両方を必要とする – これが、L3からL7までをカバーする統合プラットフォームがデフォルトの選択肢になりつつある理由である。

CDN5について

CDN5は、分散型DDoS保護、CC保護、WAF、ボット行動分析をひとつに統合した、企業向けのセキュリティ＋高速化ソリューションを提供する。CDN5はマネージドDDoS保護を、攻撃面の削減から動作検知、リアルタイム緩和、インシデント後のレポーティングまで、あらゆるフェーズをカバーする統一的で常時オンのサービスとして実現している。

CDN5の核となる保護機能は、分散Anycastアーキテクチャ、多段階スクラビングセンター、行動フィンガープリンティング、AI自己学習エンジンに基づいている。実際のオリジンIPを隠すことで、大規模な攻撃をエッジで分解し、L3/L4から複雑なL7アプリケーションレイヤー攻撃までをフィルタリングする。

具体的には、CDN5の保護には4つの優れた特徴がある：

• エンドポイント単位の動作検知 – CDN5はエンドポイント（ログインページ、決済API、チェックアウトフロー、その他のビジネスクリティカルなエンドポイント）ごとに独立したトラフィックベースラインを構築し、固定しきい値ではなくそのベースラインに相対した制限を適用する。これにより、フラッシュセール中のチェックアウトエンドポイントの通常のスパイクが攻撃と誤認されることはなく、一方で各送信元IPが静的制限を下回っていても、決済APIへの精密攻撃は捕捉される。CDN5のAIエンジンはリクエストヘッダー、Cookie、暗号スイートなどを分析し、各リクエストにレピュテーションスコアを付与し、低スコアは自動ブロックをトリガーする。

• クリーントラフィックのみ課金の従量無制限緩和 – CDN5のAnycastルーティングはテラビット規模の攻撃を複数の数百ギガビットのローカルフローに分解し、グローバルに分散したエッジノードでボリュメトリック攻撃とアプリケーションレイヤー攻撃の両方を吸収する – トラフィック上限もリクエスト単位の課金もない。第三者テストによると、CDN5のDDoSスクラビング率は99.98％、CC攻撃スクラビング率は99.95％、誤検出率はわずか0.12％である。

• 年中無休のエキスパート監視 – 2〜3分の短時間攻撃は、ほとんどの対応チームがアラートを受け取る前に終了してしまう。CDN5のセキュリティ運用チームはライブトラフィックを継続的に監視し、攻撃行動をリアルタイムで検証し、攻撃中にエンドポイント単位の制御を展開し、攻撃戦術が変化した場合に介入する。検出からスクラビングまでの中央値時間はわずか15秒 – ほとんどの正当なユーザーは何も起こらなかったかのようにアクセスを続けられる。

• 高可用性SLA – CDN5はシンガポール、香港、マレーシア、アメリカ、アラブ首長国連邦にオペレーションセンターを持つグローバルインフラ上で稼働しており、全世界で2,040以上のPoP、30,000以上の企業顧客にサービスを提供している。分散アーキテクチャと冗長性により事業継続性を保証する。

15. 脅威インテリジェンスを活用して進化する攻撃に先んじる

DDoS攻撃は絶えず変化する。ボットネットは再構築され、新たな増幅ベクトルが発見され、攻撃アズ・ア・サービスプラットフォームが新たな脅威アクターの参入障壁を下げる。6ヶ月前に有効だったDDoS防御は、今日では穴だらけかもしれない。

グローバルな脅威インテリジェンスフィードを統合する – 脅威インテリジェンスフィードは、既知のボットネットIPレンジ、アクティブな攻撃キャンペーン、新たな攻撃技術を提供する。これらをレート制限やブラックリストルールに統合することで、既知の脅威が自分たちに対して使われる前に、プロアクティブに防御を更新できる。

攻撃のたびに事後分析を実施する – すべてのDDoSイベントはデータの源である。攻撃ベクトル、最初の侵害指標、検出から緩和までの時間、対応のギャップを文書化する。その情報を使ってプレイブックを更新し、検出しきい値を調整し、アセットの優先順位付けを洗練させる。

アプリケーショントラフィックパターンの変化に合わせて動作ベースラインを更新する – アプリケーショントラフィックパターンは、製品リリース、季節変動、ユーザー成長に伴って進化する。昨年のトラフィックパターンに合わせて調整された動作検出ベースラインは、今年の正当なスパイクに対して誤検出を引き起こす。少なくとも四半期ごとにベースラインをレビューし更新する。

新たな増幅ベクトルに注意する – 攻撃者は定期的に増幅攻撃に利用できる新しいプロトコルを発見する。新たな増幅ベクトルを追跡する脅威インテリジェンスにより、関連する露出を事前に閉じることができる – 特に、ネットワークデバイス上で不要なサービスやプロトコルを無効にし、それらが自インフラに対する攻撃に悪用される前に防ぐ。

あなたの環境に合ったDDoS防御アプローチは？

これら15のプラクティスを読んで、「どこから始めればいいのか？」と疑問に思うかもしれない。答えは、あなたの環境と、現在の最大のギャップがどこにあるかによって異なる。

ウェブサイトやWebアプリケーションを保護している場合 – 最優先すべきプラクティスは、＃4（ウェブサイトの攻撃面削減）、＃7（早期警告サインを知る）、＃9（エンドポイント単位の動作レート制限）、＃14（アプリケーションレイヤー検出機能を備えた専用DDoSツール）である。オリジンIPの隠蔽と、ログインエンドポイントやチェックアウトエンドポイントでの動作検知は、最も一般的なウェブサイトDDoSの穴を塞ぐための2つの重要な制御手段である。

ネットワークインフラを保護している場合 – 最優先すべきプラクティスは、＃5（ネットワークとルーターの攻撃面削減）、＃6（スパイク対応準備と上流スクラビング）、＃11（ブラックホールルーティング機能）、＃14（トラフィックスクラビングツール）である。ルーターの強化と上流ISPとのスクラビング関係は、ネットワークレベルのDDoS防御で最も見落とされがちな2つの制御手段である。

専任のセキュリティ担当者がいない場合 – ＃14から始める。上記のプラクティスをデフォルトでカバーするマネージドDDoS保護プラットフォームを導入する。CDN5は、動作検知、従量無制限緩和、アプリケーションレイヤー保護、ボット緩和、年中無休のエキスパート監視を単一のサービスに含んでおり、CNAME設定だけで30分以内に稼動開始できる – 内部チームが手動で設定や調整を行う必要はない。

引用元：

• Radware 2026 Global Threat Report – 2026年の最新脅威分析、DDoS攻撃の量と規模の急増を示す。
  https://www.globenewswire.com/news-release/2026/02/19/3240861/8980/en/Radware-2026-Global-Threat-Report-Shows-DDoS-Attacks-Jump

• Gcore Radar Report: DDoS attacks grew 150% – 2025年Q3〜Q4のDDoS攻撃動向データ、攻撃量と複雑性の増加を示す。
  https://gcore.com/press-releases/gcore-radar-ddos-attack-trends-q3-q4-2025

• Cloudflare 2025 Q4 DDoS Threat Report – Cloudflare公式脅威レポート、攻撃規模とピーク帯域幅（例：31.4 Tbps）をカバー。
  https://blog.cloudflare.com/ddos-threat-report-2025-q4/

• Cloudflare Radar Quarterly DDoS Report (Q2 2025) – Cloudflare Radar提供の四半期DDoSデータ、長期的な傾向比較に有用。
  https://radar.cloudflare.com/reports/ddos-2025-q2

• DDoS Attack Statistics 2026（Stingraiまとめ） – Cloudflare、NETSCOUT、Akamaiなど複数の信頼できる情報源から最新統計を集約。
  https://www.stingrai.io/blog/ddos-attack-statistics-2026