ESA はトラフィックをリアルタイムで監視し、SYN フラッド、 ACK フラッド、 CC 攻撃などの攻撃パターンを特定します。異常なトラフィックを検知すると、ESA は悪意のあるリクエストを速やかにブロックしつつ、正当なトラフィックの通過を許可して、ビジネス継続性を確保します。
DDoS 攻撃からの保護
分散型サービス妨害 (DDoS) 攻撃では、攻撃者が大量の偽リクエストを Web サーバーに送り付けます。これによりサーバーリソースが枯渇し、サーバーが正当なユーザーに応答できなくなります。これらの攻撃を効果的に防御するには、トラフィックがオリジンサーバーに到達する前に、遮断してフィルタリングする必要があります。
ESA は、Anti-DDoS、 WAF ルール、 スマートキャッシュポリシーを組み合わせた多層防御システムを使用します。このアプローチにより、悪意のあるリクエストを効果的にブロックし、オリジンサーバーの負荷を低減し、正当なトラフィックを効率的に配信します。
Anti-DDoS による攻撃の緩和
ESA は Anti-DDoS 機能を標準搭載しており、サブスクリプションプランに応じて 2 つの保護レベル (基本的な DDoS 保護、ベストエフォート保護) を提供します。
基本的な DDoS 保護
ESA は、Entrance、 Pro、 Premium、Enterprise Edition プランのユーザーに対して、設定不要で基本的な DDoS 保護を自動的に有効化します。この機能は、最大 10 Gbps の DDoS 攻撃と、最大 1 秒あたりのクエリ数 (QPS) 100,000 の CC 攻撃から自動的に防御します。ここでの CC 攻撃とは、設定済みルールまたは ESA 組み込みのセキュリティルールのいずれかを使用して ESA がブロックしたサイトへのすべてのリクエストを指します。攻撃中、ESA はエッジ ESA POP でベストエフォート防御を提供します。ただし、アクセラレーションパフォーマンスに影響する場合があります。また、基本的な DDoS 保護では、特定の緩和時間を保証しません。
サイトが DDoS 攻撃の高リスクにさらされている場合、またはより強力で保証された保護が必要な場合は、お問い合わせください。Enterprise Edition プランへのアップグレードについてご案内します。
ベストエフォート保護
Enterprise Edition プランのユーザーは、アドオンとしてベストエフォート保護を購入できます。ベストエフォート保護では、ESA は既定で [HTTP DDoS 攻撃対策] と [ディープラーニングと保護] の機能を有効化します。[HTTP DDoS 攻撃対策] 機能はリアルタイムで動作します。膨大なセキュリティデータに基づいた組み込みの一般的な緩和ルールを使用して、突発的な HTTP 攻撃の急増をブロックします。これにより、過剰なリクエストがオリジンサーバーを圧迫することを防ぎます。[ディープラーニングと保護] 機能は攻撃パターンから継続的に学習し、動的な保護ポリシーを生成してセキュリティを強化します。
誤検知が発生した場合や保護を強化する必要がある場合は、サービスのパフォーマンスに基づいて、[HTTP DDoS 攻撃対策] と [ディープラーニングと保護] の保護レベルと保護モードを調整できます。
-
ESA コンソールで、サイト管理 を選択し、サイト 列で対象のサイトをクリックします。
-
左側のナビゲーションペインで を選択します。
-
防御設定 タブの [HTTP DDoS 攻撃対策] セクションで、設定 をクリックします。必要に応じて保護レベルを設定し、OK をクリックします。

-
[ディープラーニングと保護] セクションで、設定 をクリックします。必要に応じて保護レベルと保護モードを設定し、OK をクリックします。

WAF ルールによる Web アプリケーションの保護
Web アプリケーションファイアウォール (WAF) は、Web アプリケーションとインターネットの間で盾として機能します。アクセスリクエストをリアルタイムで分析し、悪意のあるトラフィックをフィルタリングして、一般的なネットワーク攻撃を防ぎ、アプリケーションの安定性を確保します。
ESA は、世界中の ESA POP で WAF 機能を提供します。スマートレート制限、セキュリティ分析、ルールテンプレート、カスタムルールなどのさまざまな保護戦略を使用して、ESA はクリーンなトラフィックのみをオリジンサーバーに転送し、世界中でサイトとデータのセキュリティを確保します。

スマートキャッシュポリシーによるオリジンリクエストの削減
ESA の スマートキャッシュポリシー は、Web サイトのコンテンツをグローバルに分散された ESA POP にキャッシュします。ユーザーがリソースをリクエストすると、コンテンツはオリジンサーバーから直接提供されるのではなく、最寄りの ESA POP から提供されます。
DDoS 攻撃中は、スマートキャッシュポリシーにより、繰り返しのリクエストが最寄りの ESA POP から提供されます。これにより、オリジンサーバーへのトラフィックが大幅に削減され、過負荷のリスクが軽減されます。