すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:トラフィックスクラビングによる DDoS 攻撃対策

最終更新日:May 16, 2026

各パブリック IP アドレスには、最大 5 Gbps の無料の DDoS スクラビングが含まれています。より強力な保護が必要な場合は、Anti-DDoS Origin または Anti-DDoS Pro and Anti-DDoS Premium を使用してください。

セキュリティリスク

分散型サービス妨害 (DDoS) 攻撃では、攻撃者が多数の侵害されたホストを使用して、Web サーバー、アプリケーション API などの標的に対し、一見正当なリクエストを大量に送信します。これらのリクエストにより、帯域幅、CPU、メモリ、接続などのシステムリソースが枯渇し、応答遅延やクラッシュが発生します。正当なユーザーはアクセスできなくなり、金銭的損失やブランド毀損につながります。EC サイト、オンラインゲーム、金融決済などのサービスは一般的な標的であり、特にプロモーション期間や大規模イベント時に狙われやすくなります。

Alibaba Cloud は、各パブリック IP アドレスに対して最大 5 Gbps の無料 Anti-DDoS 保護を提供します。この基本保護には、次の制限があります:

  1. 緩和しきい値の制限:近年の攻撃は数百 Gbps に達することがあり、5 Gbps の上限を容易に超過します。攻撃トラフィックがこのしきい値を超えると、ブラックホールフィルタリングがトリガーされ、悪意のないトラフィックを含むサーバー宛てのすべてのインターネットトラフィックが破棄され、サービスが完全に停止します。

  2. 保護タイプの制限:Free Edition は、UDP リフレクション攻撃、SYN フラッド、ACK フラッド攻撃など、一般的なネットワークレイヤーおよびトランスポートレイヤー攻撃をスクラビングします。一方、実ユーザーの挙動を模倣して CPU とメモリリソースを枯渇させる HTTP Floods (CC 攻撃) などのアプリケーションレイヤー攻撃には対応できません。

  3. きめ細かいポリシーなし:Free Edition は固定の自動ポリシーを使用します。緩和設定をカスタマイズしたり、詳細な攻撃レポートを取得したりすることはできません。

ベストプラクティス

インターネット公開範囲の最小化

DDoS 攻撃にはパブリック IP アドレスが必要です。サービスが内部向けである場合や特定のネットワークにのみ提供する場合は、インターネットへの公開を避けてください。ECS インスタンスのインターネット公開リスクを低減する内部ネットワークまたは専用線経由でクラウドサービスにアクセスするPrivateLink を使用して不要なインターネット通信を削減する をご参照ください。

Anti-DDoS Free Edition の使用

基本の DDoS スクラビングサービスは、購入や設定を必要としません。各パブリック IP アドレスには、500 Mbps から 5 Gbps のスクラビングしきい値があります。このしきい値未満では、攻撃トラフィックは自動的にフィルタリングされ、悪意のないトラフィックは通過します。Free Edition がスクラビングできるのは、UDP リフレクション攻撃、SYN フラッド、ACK フラッド攻撃など、一般的なネットワークレイヤーおよびトランスポートレイヤー攻撃のみです。CC 攻撃などのアプリケーションレイヤー攻撃はスクラビングできません。しきい値を超えると、ブラックホールフィルタリングにより攻撃対象の IP アドレス宛てのすべてのトラフィックが破棄されます。Free Edition は、低ボリュームのネットワークレイヤーおよびトランスポートレイヤーの DDoS 防御に適しています。

  1. Traffic Security - Overview ページに移動します。

    アカウント配下のアセットにおける DDoS 攻撃の状態を確認し、攻撃中か、過去に攻撃を受けたかを判断します。

  2. Traffic Security - Asset Center ページに移動します。メニューバーの左上で、アセットのリージョンを選択します。

  3. [ECS] などのクラウド製品タブを選択します。

    ECS インスタンス、EIP など、特定のアセットのセキュリティ状態を確認します。

有料 Anti-DDoS エディションの使用

Free Edition は IP アドレスあたり 5 Gbps が上限であり、これを超えるとブラックホールフィルタリングがトリガーされ、サービスが中断します。また、アプリケーションレイヤー攻撃を防御できません。大容量攻撃やアプリケーションレイヤー攻撃を受ける可能性がある場合、または高度な緩和ポリシーが必要な場合は、有料の Anti-DDoS エディションを選択してください。

  • Anti-DDoS Origin:Elastic Compute Service (ECS)、Server Load Balancer (SLB) などのクラウド製品とネイティブに連携します。IP アドレスや DNS の変更は不要です。攻撃時には、トラフィックが Alibaba Cloud のバックボーンネットワーク上のスクラビングセンターに迂回されます。その後、クリーントラフィックがサーバーに転送されます。メリットとして、透過的な導入、低レイテンシ、Tbps までの緩和能力、CC 攻撃に対するきめ細かいポリシーが挙げられます。Anti-DDoS Origin インスタンスを購入する をご参照ください。

  • Anti-DDoS Pro and Anti-DDoS Premium:DNS リダイレクションまたは IP ポインティングを使用して、広帯域のグローバル分散型保護ノード経由でトラフィックをルーティングします。クリーントラフィックは、Alibaba Cloud 上かどうかにかかわらずオリジンサーバーに転送されるため、オリジン IP アドレスを秘匿する用途に最適です。Anti-DDoS Proxy インスタンスを購入する をご参照ください。

攻撃状況の確認

Alibaba Cloud は毎日 100,000 件を超える DDoS 攻撃に対応しています。サービスにアクセスできない、タイムアウトが多発する、またはパフォーマンスが低下している場合は、Traffic Security - Overview ページで、現在および過去の攻撃情報を確認してください。

DDoS 攻撃アラートの設定

デフォルトでは、DDoS 攻撃中に通知は送信されません。CloudMonitor alerts (Anti-DDoS Origin) または CloudMonitor alerts (Anti-DDoS Pro and Anti-DDoS Premium) でアラートルールを設定してください:

  • トラフィックアラート:CloudMonitor で IP アドレスの受信および送信トラフィックのしきい値を設定します。トラフィックがしきい値を超えるとアラートが送信されます。DDoS 攻撃では通常レベルを大幅に上回るトラフィックが発生するため、有効です。

  • イベントアラート:CloudMonitor で DDoS のブラックホールフィルタリングに関するアラートと、スクラビングイベントに関するアラートを購読します。Anti-DDoS のアクションがトリガーされると、CloudMonitor のアラートチャネルを通じて通知が送信されます。