すべてのプロダクト
Search

このプロダクト

    Security Center:ブルートフォース攻撃対策

    ドキュメントセンター

    Security Center:ブルートフォース攻撃対策

    最終更新日:Jul 18, 2025

    ブルートフォース攻撃は、攻撃者が考えられるすべての組み合わせを試すことによってパスワードまたはキーを解読しようとするときに発生します。 このトピックでは、ブルートフォース攻撃対策機能を使用してホストを効果的に保護する方法について説明します。

    しくみ

    ブルートフォース攻撃に対する防御ルールを作成できます。 防御ルールが適用されているサーバーへの IP アドレスからのログイン失敗回数が、指定された統計期間中に指定された制限を超えた場合、防御ルールがトリガーされ、IP アドレスブロックポリシーが自動的に生成されます。 指定された無効化期間中、その IP アドレスからサーバーへのログインリクエストはブロックされます。 [システムルール] タブの「ブルートフォース攻撃対策」タブで IP アドレスを表示できます。 IP アドレスブロックポリシーは、防御ルールの無効化期間中に自動的に有効化され、有効になります。

    ブルートフォース攻撃に対する防御ルールを作成する

    ブルートフォース攻撃保護をトリガーする条件を指定する防御ルールを作成できます。 また、さまざまなシナリオに基づいて、サーバーに対してブルートフォース攻撃に対する複数の防御ルールを作成することもできます。

    重要

    IP アドレスをホワイトリストに登録するには、[承認済みログイン IP アドレス] の下の数字をクリックし、承認済みログイン IP アドレスとして IP アドレスを指定します。 ブルートフォース攻撃に対する防御ルールは、承認済みログイン IP アドレスからのログインリクエストをブロックしません。

    1. Security Center コンソールにログインします上部のナビゲーションバーで、管理する資産のリージョンを選択します。サポートされているリージョンは、中国 および 全世界 (中国を除く) です。

    2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ホストルール管理 に移動します。

    3. ホストルール管理 ページで、[ブルートフォース攻撃対策] タブをクリックします。

    4. [すぐに承認] をクリックして、Security Center がクラウド リソースにアクセスすることを承認します。

      詳細については、「Security Center のサービスにリンクされたロール」をご参照ください。

    5. 防御ポリシータブで、ポリシーの新規作成 をクリックします。 ポリシーの新規作成 パネルで、パラメーターを設定します。

    6. Security Center は、「ルールの作成」パネルで次のデフォルト設定を提供します。同じサーバーへの IP アドレスからのログイン失敗回数が 10 分以内に 80 に達すると、その IP アドレスは 6 時間ブロックされます。 デフォルト設定を保持する場合は、サーバーを直接選択できます。 カスタムルールを作成する場合は、次のパラメーターを設定できます。

      パラメーター

      説明

      [ポリシー名]

      防御ルール名を入力します。

      防御ルール:

      防御ルールのトリガー条件を指定します。 防御ルールが適用されているサーバーへの IP アドレスからのログイン失敗回数が、統計期間中に制限を超えた場合、防御ルールはその IP アドレスを無効化期間中ブロックします。 たとえば、IP アドレスからのログイン失敗回数が 1 分以内に 3 回を超えると、その IP アドレスは 30 分間ブロックされます。

      [保護シナリオ]

      • 必須: [RDP ブルートフォース攻撃] および [SSH ブルートフォース攻撃]

      • オプション: [SQL Server ブルートフォース攻撃]。これは、データベース セキュリティを強化し、機密データを保護するために不可欠です。

        重要

        この保護シナリオを有効にする前に、SQL Server でログインログ機能を有効にする必要があります。 詳細な手順については、「SQL Server でログインログ機能を有効にする」をご参照ください。

      デフォルトのポリシーとして設定

      防御ルールをデフォルトの防御ルールとして指定するかどうかを決定します。 [デフォルトポリシーとして設定] を選択すると、防御ルールによって保護されていないサーバーは、その防御ルールを使用します。

      説明

      デフォルトのポリシーとして設定 を選択すると、対応するサーバーを選択してください: セクションでサーバーを選択したかどうかに関係なく、防御ルールは防御ルールによって保護されていないすべてのサーバーに適用されます。

      対応するサーバーを選択してください:

      防御ルールで保護するサーバーを選択します。 サーバーリストからサーバーを選択するか、サーバー名またはサーバー IP アドレスでサーバーを検索できます。

    7. OK をクリックします。

      重要

      各サーバーに対して作成できるブルートフォース攻撃対策の防御ルールは 1 つだけです。

      • 選択したサーバーが防御ルールによって保護されていない場合、作成した防御ルールが有効になります。

      • 選択したサーバーが防御ルールによって保護されており、作成した防御ルールをサーバーに適用する場合、[変更の確認] メッセージの情報を読み、確認し、[OK] をクリックします。

      • 既存の防御ルールが適用されているサーバーにルールを作成すると、既存の防御ルールが適用されているサーバーの数が減少します。

    システムルールを管理する

    システムルールとは、ブルートフォース攻撃に対する防御ルールがトリガーされた後に自動的に生成される IP アドレスブロックポリシーのことです。 システムルールを表示、有効化、および無効化するには、次の操作を実行します。

    1. Security Center コンソールにログインします上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 次のリージョンがサポートされています: 中国全世界 (中国を除く) 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ホストルール管理を選択します。

    2. ホストルール管理 ページで、Brute-force attacks protection タブをクリックします。

    3. System Rules タブで、次の操作を実行します。

      • システムルールに関する情報を表示する

        ブロックされた IP アドレス、ポート、有効なサーバー、ルール名、インターセプトモード、有効期間、ステータスなどの情報を表示できます。 有効なサーバーとは、ルールが適用されているサーバーのことです。 Security Center は、AliNet プラグインがインストールされているかどうかに基づいて、さまざまなインターセプトメカニズムを有効にします。 次のリストは、インターセプトメカニズムについて説明しています。

        • Security Center: このインターセプトメカニズムは、AliNet プラグインを使用します。 Security Center の Advanced、Enterprise、または Ultimate エディションを使用し、悪意のあるネットワーク行動からの保護 機能を有効にすると、Security Center は AliNet プラグインを使用してログインを自動的にブロックします。 悪意のあるネットワーク行動からの保護 機能を有効にする方法の詳細については、「プロアクティブな防御」をご参照ください。

        • ECS セキュリティグループ: システムルールを有効にすると、セキュリティグルールのルールが自動的に作成されます。 システムルールの有効期限が切れた場合、またはシステムルールが無効になった場合、セキュリティグルールのルールは自動的に削除されます。

      • システムルールを有効にする

        システムルールが無効になっている場合は、ステータス 列のスイッチをオンにして、システムルールを有効にすることができます。 その後、Security Center は、システムルールで指定された IP アドレスからのログインを引き続きブロックします。 ルールは、有効になってから 2 時間有効です。

      • システムルールを無効にする

        システムルールが有効になっており、システムルールで指定された IP アドレスのブロックが誤検知であることを確認した場合は、ルールを無効にして、その IP アドレスからのログインを許可できます。 ルールを無効にするには、ステータス 列のスイッチをオフにします。 約 1 分後、その IP アドレスからのログイン試行が許可されます。

    カスタムルールを管理する

    カスタム IP アドレスブロックポリシーを作成して、悪意のある IP アドレスからクラウド アセットへのアクセスをブロックできます。 カスタム IP アドレスブロックポリシーを管理するには、次の操作を実行します。

    1. Security Center コンソールにログインします上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 サポートされているリージョンは、中国 および 全世界 (中国を除く) です。

    2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ホストルール管理 に移動します。

    3. ホストルール管理 ページで、Brute-force attacks protection タブをクリックします。

    4. Custom Rules タブで、次の操作を実行します。

      • カスタム IP アドレスブロックポリシーを作成する

        1. [すぐに承認] をクリックして、Security Center がクラウド リソースにアクセスすることを承認します。

          詳細については、「Security Center のサービスにリンクされたロール」をご参照ください。

        2. ホワイトリストルール作成 をクリックします。 IP ブロックポリシーの作成 パネルで、パラメーターを設定し、OK をクリックします。 次の表は、パラメーターについて説明しています。

          パラメーター

          説明

          [インターセプト対象]

          ブロックする IP アドレス。

          すべてのアセット

          IP アドレスブロックポリシーを有効にするサーバー。 複数のサーバーを選択できます。 また、検索ボックスにサーバー名またはサーバー IP アドレスを入力して、サーバーを検索することもできます。

          Rule Direction

          ブロックするトラフィックの向き。 有効な値: [インバウンド] および [アウトバウンド]

          所属セキュリティグループ

          IP アドレスブロックポリシーに関連付けられているセキュリティグループ。 デフォルト値: [Cloud Security Center ブロックグループ]。 ポリシーを有効にすると、セキュリティグループにブロックルールが自動的に作成されます。 ポリシーの有効期限が切れた場合、またはポリシーが無効になった場合、セキュリティグループのルールは自動的に削除されます。

          有効期限

          ポリシーの有効期限。 ポリシーの有効期限が切れると、ポリシーのステータスは [無効になっています] に変わります。

          デフォルトでは、新しい IP アドレスブロックポリシーは Disabled 状態になっています。 ポリシーを手動で有効にする必要があります。

      • カスタム IP アドレスブロックポリシーとカスタム IP アドレスブロックポリシーの詳細を表示する

        Custom Rules タブでは、各カスタム IP アドレスブロックポリシーについて、ブロックされた IP アドレス、有効なサーバー、有効期限、ルールの向き、ステータスなどの情報を表示できます。 また、ポリシーの [アクション] 列の [詳細] をクリックして、[有効なサーバー] パネルに移動することもできます。 このパネルでは、ポリシーが有効になっているサーバーを表示できます。 無効、有効、有効化中、ルールの有効化など、ステータス別にサーバーをフィルタリングできます。

      • カスタム IP アドレスブロックポリシーを編集する

        編集する IP アドレスブロックポリシーを見つけ、編集操作する 列でクリックします。 IP ブロックポリシーの編集 パネルで、[すべてのアセット] パラメーターと [有効期限] パラメーターを変更し、[OK] をクリックします。 変更後、Security Center は、ポリシーの新しい設定に基づいて、IP アドレスからのアクセス リクエストをブロックします。

        ポリシーが [無効] 状態の場合にのみ、ポリシーを編集できます。 [有効] 状態のポリシーを編集する場合は、ポリシーを無効にする必要があります。

      • IP アドレスブロックポリシーを有効または無効にする

        ブルートフォース攻撃の開始に使用される可能性のある IP アドレスに対して、IP アドレスブロックポリシーを設定できます。 通常のトラフィックがポリシーによってブロックされている場合は、ポリシーを無効にすることができます。 ポリシーを無効にすると、Security Center はその IP アドレスからのリクエストをブロックしなくなります。

        • 有効にする: IP アドレスブロックポリシーを有効にするには、ステータス 列のスイッチをオンにします。 [IP ポリシーの有効化] メッセージで、OK をクリックします。 その後、ポリシーが有効になり、ポリシーのステータスが Enabling に変わります。 ポリシーが [有効化中] 状態になっている時間は、有効なサーバーの数とともに増加します。 Security Center は、ポリシーに基づいて悪意のあるトラフィックをブロックします。 ポリシーを有効にした後、ポリシーは次のいずれかの状態になっている可能性があります。

          • 起動の異常: IP アドレスブロックポリシーは、選択したすべてのサーバーに適用されません。

          • 一部成功しました: IP アドレスブロックポリシーは、選択したサーバーの一部にのみ適用されます。

          有効なサーバーの詳細を表示するには、[アクション] 列の 詳細 をクリックします。 有効サーバー パネルで、[ルールの有効化] 状態になっているサーバーを見つけ、操作する 列の [再試行] をクリックして、ポリシーを有効にします。

          説明

          カスタム IP アドレスブロックポリシーを有効にし、ポリシーの有効期限が切れた場合、ポリシーは有効にした時点から 2 時間有効です。 ポリシーの有効期間を変更する場合は、ポリシーを有効にする前にポリシーを変更することをお勧めします。

        • 無効: IP アドレスブロックポリシーを無効にするには、ステータス 列のスイッチをオフにします。 [IP ポリシーの無効化] メッセージで、OK をクリックします。 その後、ポリシーは無効になり、ポリシーのステータスは Disabled に変わります。 Security Center は、ポリシーで指定された IP アドレスからのリクエストをブロックしなくなります。

      • カスタム IP アドレスブロックポリシーを削除する

        Disabled 状態の IP アドレスブロックポリシーを削除できます。 ポリシーを削除するには、[アクション] 列の 削除 をクリックします。 表示されるメッセージで、OK をクリックします。

    SQL Server でログインログ機能を有効にする

    SQL Server ブルートフォース攻撃から保護するには、まず SQL Server でログインログ機能を有効にして、成功した認証試行と失敗した認証試行の両方を記録する必要があります。これは、パスワード推測攻撃を検出して確認するために不可欠です。 ログインログを有効にするには、以下の手順に従います。

    1.  SQL Server Management Studio を開き、資格情報を使用して SQL Server インスタンスに接続します。

    2. 左側の [オブジェクト エクスプローラー] ウィンドウで、設定するターゲット SQL Server インスタンスを右クリックし、 [プロパティ] を選択します。

    3. [プロパティ] ダイアログの左側のメニューで、[セキュリティ] をクリックします。

    4.  [セキュリティ] > [ログインの監査] セクションで、SQL Server ブルートフォース攻撃に対する保護戦略を有効にする場合は、[失敗と成功の両方のログイン] を選択します。

    5. [OK] をクリックし、SQL Server インスタンスを再起動して変更を有効にします。