すべてのプロダクト
Search

このプロダクト

    Security Center:ブルートフォース攻撃対策

    ドキュメントセンター

    Security Center:ブルートフォース攻撃対策

    最終更新日:Mar 18, 2025

    ブルートフォース攻撃は、攻撃者が考えられるすべての組み合わせを試すことによってパスワードまたはキーを解読しようとするときに発生します。このトピックでは、ブルートフォース攻撃対策機能を使用してホストを効果的に保護する方法について説明します。

    しくみ

    ブルートフォース攻撃に対する防御ルールを作成できます。防御ルールが適用されているサーバーへの IP アドレスからのログイン失敗回数が、指定された統計期間中に指定された制限を超えると、防御ルールがトリガーされ、IP アドレスブロックポリシーが自動的に生成されます。指定された無効化期間中、その IP アドレスからサーバーへのログインリクエストはブロックされます。[システムルール] タブの [ブルートフォース攻撃対策] タブで、IP アドレスを表示できます。 IP アドレスブロックポリシーは、防御ルールの無効化期間中に自動的に有効化され、有効になります。

    ブルートフォース攻撃に対する防御ルールを作成する

    防御ルールを作成して、ブルートフォース攻撃保護をトリガーする条件を指定できます。また、さまざまなシナリオに基づいて、サーバーに対してブルートフォース攻撃に対する複数の防御ルールを作成することもできます。

    重要

    IP アドレスをホワイトリストに登録するには、[承認済みログイン IP アドレス] の下の数字をクリックし、承認済みログイン IP アドレスとして IP アドレスを指定します。ブルートフォース攻撃に対する防御ルールは、承認済みログイン IP アドレスからのログインリクエストをブロックしません。

    1. セキュリティセンターコンソールにログオンします上部のナビゲーションバーで、管理するアセットのリージョンを選択します。サポートされているリージョンは、中国全世界 (中国を除く) です。

    2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ホストルール管理 に移動します。

    3. ホストルール管理 ページで、Brute-force attacks protection タブをクリックします。

    4. セキュリティセンターがクラウドリソースにアクセスすることを承認していない場合は、[すぐに承認] をクリックします。

      詳細については、「セキュリティセンターのサービスにリンクされたロール」をご参照ください。

    5. [防御ポリシー] タブで、ポリシーの新規作成 をクリックします。ポリシーの新規作成 パネルで、パラメーターを設定します。

    6. セキュリティセンターは、[ルールの作成] パネルで次のデフォルト設定を提供します。同じサーバーへの IP アドレスからのログイン失敗回数が 10 分以内に 80 に達すると、その IP アドレスは 6 時間ブロックされます。デフォルト設定を保持する場合は、サーバーを直接選択できます。カスタムルールを作成する場合は、次のパラメーターを設定できます。

      パラメーター

      説明

      ポリシー名

      防御ルール名を入力します。

      防御ルール:

      防御ルールのトリガー条件を指定します。防御ルールが適用されているサーバーへの IP アドレスからのログイン失敗回数が統計期間中に制限を超えると、防御ルールはその IP アドレスを無効化期間中ブロックします。たとえば、IP アドレスからのログイン失敗回数が 1 分以内に 3 を超えると、その IP アドレスは 30 分間ブロックされます。

      保護シナリオ

      • 必須: RDP ブルートフォース攻撃SSH ブルートフォース攻撃

      • オプション: SQL Server ブルートフォース攻撃。これは、データベースセキュリティを強化し、機密データを保護するために不可欠です。

        重要

        この保護シナリオを有効にする前に、SQL Server でログインログ機能を有効にする必要があります。手順については、「SQL Server でログインログ機能を有効にする」をご参照ください。

      デフォルトのポリシーとして設定

      防御ルールをデフォルトの防御ルールとして指定するかどうかを決定します。[デフォルトポリシーとして設定] を選択すると、防御ルールによって保護されていないサーバーは、その防御ルールを使用します。

      説明

      デフォルトのポリシーとして設定 を選択すると、対応するサーバーを選択してください: セクションでサーバーを選択したかどうかに関係なく、防御ルールは防御ルールによって保護されていないすべてのサーバーに適用されます。

      対応するサーバーを選択してください:

      防御ルールで保護するサーバーを選択します。サーバーリストからサーバーを選択するか、サーバー名またはサーバー IP アドレスでサーバーを検索できます。

    7. OK をクリックします。

      重要

      各サーバーに対して作成できるブルートフォース攻撃対策の防御ルールは 1 つだけです。

      • 選択したサーバーが防御ルールによって保護されていない場合、作成した防御ルールが有効になります。

      • 選択したサーバーが防御ルールによって保護されており、作成した防御ルールをサーバーに適用する場合、[変更の確認] メッセージの情報を読み、確認し、[OK] をクリックします。

      • 既存の防御ルールが適用されているサーバーにルールを作成すると、既存の防御ルールが適用されているサーバーの数が減少します。

    システムルールを管理する

    システムルールとは、ブルートフォース攻撃に対する防御ルールがトリガーされた後に自動的に生成される IP アドレスブロックポリシーのことです。システムルールを表示、有効化、および無効化するには、次の操作を実行します。

    1. セキュリティセンターコンソールにログオンします上部のナビゲーションバーで、管理するアセットのリージョンを選択します。サポートされているリージョンは、中国全世界 (中国を除く) です。 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ホストルール管理 を選択します。

    2. ホストルール管理 ページで、Brute-force attacks protection タブをクリックします。

    3. System Rules タブで、次の操作を実行します。

      • システムルールに関する情報を表示する

        ブロックされた IP アドレス、ポート、有効なサーバー、ルール名、インターセプトモード、有効期間、ステータスなどの情報を表示できます。有効なサーバーとは、ルールが適用されているサーバーのことです。セキュリティセンターは、AliNet プラグインがインストールされているかどうかに基づいて、さまざまなインターセプトメカニズムを有効にします。インターセプトメカニズムについては、以下で説明します。

        • Security Center: このインターセプトメカニズムは、AliNet プラグインを使用します。Advanced、Enterprise、または Ultimate エディションのセキュリティセンターを使用し、悪意のあるネットワーク行動からの保護 機能を有効にすると、セキュリティセンターは AliNet プラグインを自動的に使用してログインをブロックします。悪意のあるネットワーク行動からの保護 機能を有効にする方法の詳細については、「プロアクティブな防御」をご参照ください。

        • ECS セキュリティグループ: システムルールを有効にすると、セキュリティグループルールが自動的に作成されます。システムルールの有効期限が切れた場合、またはシステムルールが無効になった場合、セキュリティグループルールは自動的に削除されます。

      • システムルールを有効にする

        システムルールが無効になっている場合は、ステータス 列のスイッチをオンにして、システムルールを有効にすることができます。その後、セキュリティセンターは、システムルールで指定された IP アドレスからのログインを引き続きブロックします。ルールは、有効になってから 2 時間有効です。

      • システムルールを無効にする

        システムルールが有効になっており、システムルールで指定された IP アドレスのブロックが誤検知であることを確認した場合は、ルールを無効にして、その IP アドレスからのログインを許可できます。ルールを無効にするには、ステータス 列のスイッチをオフにします。約 1 分後、その IP アドレスからのログイン試行が許可されます。

    カスタムルールを管理する

    カスタム IP アドレスブロックポリシーを作成して、悪意のある IP アドレスからクラウドアセットへのアクセスをブロックできます。カスタム IP アドレスブロックポリシーを管理するには、次の操作を実行します。

    1. セキュリティセンターコンソールにログオンします 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。サポートされているリージョンは、中国全世界 (中国を除く) です。

    2. 左側のナビゲーションウィンドウで、保護設定 > ホスト保護 > ホストルール管理 に移動します。

    3. ホストルール管理 ページで、Brute-force attacks protection タブをクリックします。

    4. Custom Rules タブで、次の操作を実行します。

      • カスタム IP アドレスブロックポリシーを作成する

        1. セキュリティセンターがクラウドリソースにアクセスすることを承認していない場合は、[すぐに承認] をクリックします。

          詳細については、「セキュリティセンターのサービスにリンクされたロール」をご参照ください。

        2. ホワイトリストルール作成 をクリックします。IP ブロックポリシーの作成 パネルで、パラメーターを設定し、OK をクリックします。次の表でパラメーターについて説明します。

          パラメーター

          説明

          インターセプト対象

          ブロックする IP アドレス。

          すべてのアセット

          IPアドレスブロックポリシーを有効にするサーバー。複数のサーバーを選択できます。また、検索ボックスにサーバー名またはサーバー IP アドレスを入力して、サーバーを検索することもできます。

          説明

          Alibaba Cloud Elastic Compute Service (ECS) インスタンスのみがサポートされています。

          Rule Direction

          ブロックするトラフィックの方向。有効な値:受信送信

          所属セキュリティグループ

          IPアドレスブロックポリシーに関連付けられているセキュリティグループ。デフォルト値:Cloud Security Center ブロックグループ。ポリシーを有効にすると、セキュリティグループにブロックルールが自動的に作成されます。ポリシーの有効期限が切れた場合、またはポリシーが無効になった場合、セキュリティグループのルールは自動的に削除されます。

          有効期限

          ポリシーの有効期限。ポリシーの有効期限が切れると、ポリシーのステータスは 無効 に変更されます。

          デフォルトでは、新しい IP アドレスブロックポリシーは Disabled 状態です。ポリシーを手動で有効にする必要があります。

      • カスタム IP アドレス制限ポリシーとカスタム IP アドレス制限ポリシーの詳細を表示する

        Custom Rules タブで、制限対象の IP アドレス、有効なサーバー、有効期限、ルールの方向、ステータスなど、各カスタム IP アドレス制限ポリシーに関する以下の情報を表示できます。また、ポリシーの [アクション] 列の [詳細] をクリックして、[有効なサーバー] パネルに移動することもできます。このパネルでは、ポリシーが有効になっているサーバーを表示できます。[無効]、[有効]、[有効化中]、[ルールを有効にする] などのステータスでサーバーをフィルタリングできます。

      • カスタム IP アドレス制限ポリシーを編集する

        編集する IP アドレス制限ポリシーを見つけ、編集 操作する 列をクリックします。IP ブロックポリシーの編集 パネルで、[すべてのアセット] パラメーターと [有効期限] パラメーターを変更し、[OK] をクリックします。変更後、セキュリティセンターは、ポリシーの新しい設定に基づいて、 IP アドレスからのアクセスリクエストをブロックします。

        ポリシーが [無効] 状態の場合にのみ、ポリシーを編集できます。[有効] 状態のポリシーを編集する場合は、ポリシーを無効にする必要があります。

      • IP アドレス制限ポリシーを有効または無効にする

        ブルートフォース攻撃の起動に使用される可能性のある IP アドレスに対して、IP アドレス制限ポリシーを設定できます。ポリシーによって通常のトラフィックがブロックされる場合は、ポリシーを無効にできます。ポリシーを無効にすると、セキュリティセンターは、その IP アドレスからのリクエストをブロックしなくなります。

        • 有効化: IP アドレス制限ポリシーを有効にするには、ステータス 列のスイッチをオンにします。[IP ポリシーの有効化] メッセージで、OK をクリックします。その後、ポリシーが有効になり、ポリシーのステータスは Enabling に変わります。ポリシーが有効化中ステータスである時間は、有効なサーバーの数に応じて増加します。セキュリティセンターは、ポリシーに基づいて悪意のあるトラフィックをブロックします。ポリシーを有効にした後、ポリシーは次のいずれかの状態になります。

          • 起動の異常: 選択したすべてのサーバーで IP アドレス制限ポリシーが有効になりません。

          • 一部成功しました: IP アドレス制限ポリシーは、選択した一部のサーバーでのみ有効になります。

          有効なサーバーの詳細を表示するには、[アクション] 列の 詳細 をクリックします。有効サーバー パネルで、[ルールを有効にする] 状態のサーバーを見つけ、操作する 列の [再試行] をクリックしてポリシーを有効にします。

          説明

          カスタム IP アドレス制限ポリシーを有効にし、ポリシーの有効期限が切れた場合、ポリシーは有効にした時点から 2 時間有効です。ポリシーの有効期間を変更する場合は、ポリシーを有効にする前にポリシーを変更することをお勧めします。

        • 無効: IP アドレス制限ポリシーを無効にするには、ステータス 列のスイッチをオフにします。[IP ポリシーの無効化] メッセージで、OK をクリックします。ポリシーは無効になり、ポリシーのステータスは Disabled に変わります。セキュリティセンターは、ポリシーで指定された IP アドレスからのリクエストをブロックしなくなります。

      • カスタム IP アドレス制限ポリシーを削除する

        Disabled 状態の IP アドレス制限ポリシーを削除できます。ポリシーを削除するには、[操作] 列の 削除 をクリックします。表示されるメッセージで、OK をクリックします。

    SQL Server でログインログ機能を有効にする

    SQL Server のブルートフォース攻撃から保護するには、まず SQL Server でログインログ機能を有効にして、成功した認証試行と失敗した認証試行の両方を記録する必要があります。これは、パスワード推測攻撃を検出して確認するために不可欠です。ログインログを有効にするには、次の手順に従います。

    1. [SQL Server Management Studio] を開き、資格情報を使用して SQL Server インスタンスに接続します。

    2. 左側の [オブジェクト エクスプローラー] ウィンドウで、構成するターゲット SQL Server インスタンスを右クリックし、[プロパティ] を選択します。

    3. [プロパティ] ダイアログの左側のメニューで、セキュリティをクリックします。

    4. [セキュリティ] > [ログインの監査] セクションで、SQL Server ブルートフォース攻撃に対する保護戦略を有効にする場合は、[失敗したログインと成功したログインの両方] を選択します。

    5. [OK] をクリックし、SQL Server インスタンスを再起動して変更を有効にします。