Webサイト停止対策とは?止めない設計と復旧準備の基本
2026年4月30日
東証スタンダード上場企業のジオコードが運営!
Web制作がまるっと解るWebマガジン
DoS攻撃対策の基本とは?DDoS被害を防ぐための考え方と対策
【監修】株式会社ジオコード Web制作事業 責任者
坂従 一也
DoS攻撃対策は、Webサイトやシステム、ネットワークを「使えない状態」にされる被害を防ぐための備えです。
単純にアクセスが増えるだけに見えても、実際には大量の通信でサーバーや回線、アプリケーションの処理能力を奪い、正規ユーザーが利用できなくなることがあります。
NCSCはDoS対策の基本として、サービスの理解、防御手段の把握、対応計画の作成、対応テストの4つを示しており、JPCERT/CCもDDoS対策や緊急時の手順確認の重要性を案内しています。
この記事では、DoS攻撃対策の意味から、被害を防ぐための考え方と基本対応を順番に整理して解説します。
目次
DoS攻撃対策とは何か
DoS攻撃は、サービスを止めることを狙う妨害行為を指す
DoS攻撃とは、Denial of Serviceの略で、サーバーやネットワーク、サービスに大量の通信や処理要求を送りつけ、正常な利用を妨げる攻撃です。Cloudflareは、DDoS攻撃を「大量のインターネットトラフィックで標的や周辺インフラをあふれさせ、通常の通信を妨害する試み」と説明しています。
DoSは単一の発信元から行われる形を指し、複数の端末から分散して行われるものはDDoSと呼ばれますが、管理者にとって重要なのは、どちらも「利用者が使えなくなる」という実害をもたらす点です。
DoS攻撃対策は、攻撃を完全に消すことより被害を抑える考え方が重要になる
DoS攻撃対策では、攻撃をゼロにする発想だけでは不十分です。NCSCはDoSリスク管理の基本としてとして、まず自社サービスの重要性や弱点を理解し、次に防御手段を把握し、対応計画を作り、最後にその計画をテストすることを挙げています。
つまり本当に大切なのは、攻撃が来ないことを願うことではなく、攻撃を受けても止まりにくく、止まっても早く復旧できる体制を整えることです。
DoS対策は機器を一つ追加して終わる話ではなく、事前準備と運用設計まで含めた継続的な取り組みです。
実務では通信対策だけでなく、手順と連絡体制の整備も対策に含まれる
DoS攻撃対策というと、通信の遮断や高性能な防御サービスだけを想像しがちです。
しかしJPCERT/CCは、Webサイトへのサイバー攻撃に備えるうえで、DDoS対策そのものに加え、異常発生時の対応手順、ログ保存方法、対応者の連絡先を事前に確認しておく必要があると案内しています。さらにNISTは、DoSやDDoS緩和策として送信元IPアドレス検証、ACL、フィルタリングや送信元検証など複数の技術を組み合わせる考え方を示しています。
つまり実務上のDoS攻撃対策は、回線や機器の設定だけでなく、検知、判断、連絡、復旧までを含めて設計する必要があります。
DoS攻撃とDDoS攻撃の違い
DoS攻撃とDDoS攻撃は、どちらもサービスを「使えない状態」にすることを目的とした攻撃ですが、攻撃元の数に違いがあります。
名前は似ていますが、実務では攻撃規模や対策方法にも関係するため、違いを理解しておくことが重要です。
DoS攻撃は、単一の発信元から行われる攻撃
DoS(Denial of Service)攻撃は、1台の端末や単一の通信元から大量のリクエストを送り、サーバーやネットワークへ負荷をかける攻撃です。
比較的シンプルな構造で、攻撃元が限定されるため、アクセス制御やIPブロックによって対処しやすいケースもあります。ただし、小規模でもサーバー性能や設定によってはサービス停止につながる可能性があります。
DDoS攻撃は、複数端末から分散して行われる攻撃
DDoS(Distributed Denial of Service)攻撃は、複数の端末から同時に大量通信を送り込む攻撃です。攻撃者は、マルウェア感染した端末やボットネットを利用して分散攻撃を行うことがあり、単一IPだけを遮断しても通信が止まりにくい特徴があります。
そのため、回線やサーバーへかかる負荷が大きくなりやすく、一般的にはDoSより被害規模が拡大しやすい傾向があります。
現在の実務では、DDoS攻撃を前提に考えるケースが多い
現在インターネット上で問題になる大規模攻撃の多くは、DDoS形式です。特にWebサービスやECサイト、ゲーム、API基盤などは、短時間で大量アクセスを受けるケースがあります。
そのため実務では、単純なIP遮断だけではなく、CDNやWAF、上流防御、レート制限などを組み合わせて負荷を分散、吸収する考え方が重要になります。
管理者視点では、「どちらもサービス停止を引き起こす」点が重要
DoSとDDoSには構造上の違いがありますが、管理者側にとって本質的な問題は共通しています。それは、正規ユーザーがサービスを利用できなくなることです。
つまり、単に攻撃名称を区別するだけではなく、「どの経路で大量通信が来ても、止まりにくい構成と運用を作ること」がDoS攻撃対策では重要になります。
なぜDoS攻撃対策が必要なのか
DoS攻撃は、サービスを「使えない状態」にして機会損失を生む
DoS攻撃対策が必要な理由は、情報を盗む攻撃とは違い、サービスそのものを止めることで直接的な被害を生むからです。
JPCERT/CCは、DoSやDDoSをサーバーやPC、ネットワーク機器、回線などのネットワークリソースに対して、サービスを提供できないようにする攻撃と説明しています。
つまり被害の本質は、正規の利用者がアクセスできなくなり、問い合わせ、注文、予約、業務利用といった本来の機能が止まることです。
サイトが落ちる時間が長いほど、売上や信頼への影響も大きくなります。
攻撃を完全に防げなくても、備えの差で被害は大きく変わる
DoS攻撃は、すべてを事前に止め切るのが難しい場面もあります。だからこそNCSCは、DoSリスクの管理において「自社サービスを理解する」「防御策を理解する」「対応計画を作る」「対応をテストする」という4つの実践を示しています。
重要なのは攻撃の存在をゼロにすることではなく、攻撃を受けても耐えやすくし、影響範囲を抑え、早く復旧できる状態を作ることです。
準備がある組織とない組織では、同じ攻撃を受けても止まる時間と混乱の大きさが変わります。
技術対策だけでは足りず、連絡体制や手順整備も欠かせない
DoS攻撃対策が必要なのは、被害時に必要な対応がネットワーク設定だけでは完結しないからです。JPCERT/CCは、Webサイトへの攻撃に備える際、DDoS対策だけでなく、異常発生時のログ保存方法、緊急時の対応手順、対応者の連絡先を事前に確認しておくことが被害低減に不可欠だと案内しています。加えてNCSCの上流防御の案内では、サービスプロバイダーが自動で緩和策を適用するか、通知してくれるか、追加対策の有効化にどのくらいかかるかまで確認すべきとされています。
つまりDoS対策は、攻撃を受けた瞬間に誰が何をするかまで決まっていて初めて機能します。
DoS攻撃を受けるとどうなるか
DoS攻撃の被害は、単にアクセス数が増えるだけではありません。大量の通信や処理要求によってサーバーや回線、アプリケーションの処理能力が奪われると、正規ユーザーがサービスを利用できなくなります。
しかも影響はWebサイト表示だけにとどまらず、問い合わせ、注文、予約、社内システムなど、業務全体へ広がることがあります。
Webサイトが表示されなくなり、問い合わせや注文が止まる
もっとも分かりやすい被害が、Webサイトやサービスへのアクセス障害です。大量アクセスによってサーバーが応答できなくなると、ページ表示が極端に遅くなったり、タイムアウトが発生したりします。ECサイトでは購入処理が止まり、企業サイトでは問い合わせフォームが送信できなくなることもあります。
サイト自体は存在していても、「利用できない状態」になることが問題です。
APIや社内システムにも影響が広がることがある
DoS攻撃の対象はWebサイトだけとは限りません。API基盤、認証サーバー、DNS、VPN機器などへ負荷が集中すると、社内業務システムや外部サービス連携にも影響が広がることがあります。
たとえばログイン認証が遅延したり、外部決済APIが正常に利用できなくなったりすると、表面上はサイトが表示されていても、内部では業務が止まり始めます。
サーバー停止だけでなく、ネットワーク回線自体が逼迫する場合もある
大規模なDDoS攻撃では、サーバー本体より先にネットワーク回線が埋まり、通信そのものが正常に流れなくなるケースがあります。この状態になると、サーバー性能を上げるだけでは解決できず、CDNや上流プロバイダー側での緩和が必要になることがあります。
つまりDoS対策では、「サーバーを強くする」だけでは不十分で、通信経路全体を考えた防御が重要になります。
長時間化すると、売上や信用への影響も大きくなりやすい
DoS攻撃は、情報漏えいのように直接データを盗む攻撃ではない一方、「使えない状態」が続くことで事業への影響を生みます。ECサイトでは販売機会の損失につながり、企業サイトでは問い合わせ減少や信頼低下を招くことがあります。
さらに、障害対応に追われることで通常業務が止まり、復旧後も顧客対応や説明対応が必要になるケースもあります。
だからこそDoS攻撃対策では、「攻撃を受けないこと」だけでなく、「止まりにくく、早く戻せること」が重要になります。
DoS攻撃対策は「急に」必要になることがある
DoS攻撃対策が後回しにされやすい理由の一つに、「今まで攻撃されたことがないから大丈夫」という感覚があります。
しかし実際には、DoSやDDoS攻撃は予兆なく突然発生することも多く、問題が起きてから慌てて対策を始めるケースも少なくありません。
しかも攻撃が始まってからでは、設定変更や防御構成の準備が間に合わない場合があります。
普段は問題なく動いていても、突然アクセス不能になることがある
DoS攻撃は、通常のアクセス急増とは違い、短時間で大量の通信が集中することで発生します。
そのため、普段は安定しているサイトでも、急激な負荷によって突然応答できなくなることがあります。
特に共用サーバーや最小構成のクラウド環境では、回線帯域やCPU、メモリが先に限界を迎えやすく、短時間でサービス停止につながるケースもあります。
ボットや自動化攻撃によって、無差別に狙われることもある
現在のDoSやDDoS攻撃は、特定企業だけを狙うものとは限りません。ボットネットや自動スキャンによって、インターネット上の公開サービスへ機械的に大量通信を送るケースもあります。
そのため、「有名企業ではないから安全」とは言えず、防御が弱い環境が自動的に対象になることもあります。
特にVPN機器、API、認証ページなどは攻撃対象になりやすい傾向があります。
SNS拡散や炎上によるアクセス急増も、実質的なDoS状態を起こすことがある
悪意ある攻撃だけでなく、SNSで急に話題になったことによるアクセス集中で、サービスが停止状態になるケースもあります。
短時間で大量アクセスが集中すると、通常時を前提にしたサーバー構成では処理しきれず、結果としてDoS攻撃に近い状態になることがあります。
そのため、DoS対策は「攻撃者対策」だけではなく、「急激なアクセス増加への耐性」を高める意味でも重要になります。
攻撃後に準備を始めると、復旧まで長引きやすい
DoS攻撃は、発生してから対策を考えるほど対応が難しくなります。CDN導入、レート制限設定、上流プロバイダーとの調整、緊急連絡体制の整理などは、事前準備があって初めて効果を発揮します。
攻撃発生後に初めて構成確認を始めると、誰が対応するのか、どのサービスを止めるのか、どこへ連絡するのかが整理されておらず、復旧が長引く原因になります。
だからこそDoS攻撃対策では、「まだ被害がない段階」で準備しておくことが重要です。
中小企業でもDoS攻撃対策が必要な理由
DoS攻撃というと、大規模サービスや有名企業だけが狙われるイメージを持たれがちです。しかし実際には、中小企業のWebサイトや公開サービスが攻撃対象になるケースも少なくありません。
特に現在は、自動化されたボットやスキャンによって、脆弱な環境や防御の弱いサービスが機械的に探されることも多く、「知名度が低いから安全」とは言えなくなっています。
「狙われた」というより、自動的に見つけられるケースも多い
現在のDoSやDDoS攻撃の中には、特定企業への恨みや標的型攻撃だけではなく、自動化された大量スキャンによって発生するものもあります。
攻撃者は、公開されているWebサイトやAPI、VPN機器などへ機械的にアクセスし、防御が弱い環境を見つけると大量通信を送り込むことがあります。
そのため、「中小企業だから狙われない」のではなく、「防御が薄いから対象になる」というケースも珍しくありません。
小規模サイトほど、アクセス集中に耐えにくいことがある
中小企業では、共用サーバーや最小構成のクラウド環境で運用しているケースも多く、大規模サービスほど余裕のあるインフラを持たないことがあります。
そのため、比較的小規模なDoS攻撃でも、CPU、メモリ、回線帯域が先に限界へ達し、サイト停止につながる場合があります。
特に問い合わせフォームや予約システムなど、単一サーバーへ依存しているサービスは影響を受けやすくなります。
被害が出ると、業務停止や信用低下へ直結しやすい
DoS攻撃の被害は、単にサイトが重くなるだけではありません。ECサイトなら注文停止、企業サイトなら問い合わせ停止、会員サービスならログイン障害につながることがあります。
さらに、中小企業では専任のセキュリティ担当者や24時間監視体制を持たない場合も多く、復旧まで時間がかかるケースがあります。
その結果、「サイトにつながらない会社」という印象が残り、信用低下につながることもあります。
高価な機器より、「止まりにくい構成」を考えることが重要
DoS攻撃対策というと、高価なセキュリティ機器が必要に見えるかもしれません。
しかし実際には、CDNの利用、レート制限、WAF設定、上流プロバイダーとの連携、緊急時の対応手順整理など、比較的現実的な対策でも被害を減らせる場合があります。
重要なのは、「絶対に攻撃されないこと」ではなく、「攻撃を受けても止まりにくく、早く戻せる状態」を作っておくことです。
DoS攻撃対策の主な方法
まずは通信をさばき切れなくなる前に、入口で制御する
DoS攻撃対策の基本は、攻撃トラフィックをアプリケーションやサーバー本体まで素通りさせないことです。
NCSCは上流防御の考え方として、サービスプロバイダーやCDNなどネットワークの手前側で攻撃通信を吸収、制御する方法を案内しており、特にWebサービスではCDNが静的コンテンツ配信とあわせてアプリケーション層の攻撃に対するレート制限に役立つと説明しています。
カナダ政府のDDoS対策ガイドでも、たとえば、短時間に同じIPから大量アクセスが来た場合、一時的に通信数を制限する方法があります。
つまり、まず有効なのは大量リクエストを無条件に受けるのではなく、入口で絞ることです。
CDNや上流プロバイダーの防御を使い、オリジンサーバーを直接さらさない
自社サーバー単体でDoS攻撃を受け止めようとすると、回線やCPU、メモリが先に限界を迎えやすくなります。そのためNCSCは、上流プロバイダーが自動緩和を提供するか、通知してくれるか、追加対策を有効化するのにどの程度かかるかを事前に確認すべきだと案内しています。さらにNCSCは、CDNはグローバルなエッジ基盤を持ち、DoSで落としにくい構造を持つため、特にWebベースのサービスで有効だと説明しています。
対策の中心は「高いサーバーを買うこと」ではなく、オリジンを直接攻撃にさらさない構成に変えることです。
ネットワーク側では、送信元詐称対策やフィルタリングを組み合わせる
ネットワークレベルのDoSやDDoSに対しては、より基盤寄りの対策も重要です。NISTは、DoSやDDoSの緩和策として、送信元アドレス検証、アクセス制御リスト、uRPF、RTBH、FlowSpecなど複数の技術を挙げています。
またNISTの別資料では、IPスプーフィング対策としてBCP38系の送信元検証の重要性も説明されています。
これらは一般のサイト運営者が単独で全て実装するものではありませんが、ISPやホスティング事業者、ネットワーク担当と連携して、どこまで適用できるかを確認しておくことが実務上は大切です。
緊急時の手順と連絡体制を決めておくことも立派な対策になる
DoS攻撃対策というと技術の話だけに見えますが、実際には運用面の備えも非常に重要です。
JPCERT/CCは、Webサイトへの攻撃に備えるうえで、DDoS対策だけでなく、異常発生時のログ保存方法、緊急時の対応手順、対応者の連絡先を事前に確認しておくことが被害低減に不可欠だと案内しています。
NCSCも、DoS対策の柱として対応計画の作成とそのテストを挙げています。攻撃を受けたときに誰が判断し、どこへ連絡し、どの防御設定を有効化するのかが決まっていなければ、対策機能があっても十分に活かせません。
ジオコードのセキュリティプランで、サイトのリスクを根本から見直す
サイトのセキュリティ対策は、一度設定して終わるものではありません。更新漏れや設定ミス、監視不足といった小さな隙が積み重なることで、不正アクセスや改ざんといった被害につながる可能性があります。
日々の運用の中で対策を継続できているか、現状の設定に見落としがないかを定期的に見直すことが重要です。しかし、専門知識が必要な領域も多く、社内だけで適切に管理し続けるのは簡単ではありません。
株式会社ジオコードのセキュリティプランでは、サイトの現状をもとにリスクを洗い出し、必要な対策の提案から実施、さらに継続的な監視までを一貫してサポートしています。
単なる診断にとどまらず、実際の運用に合わせた改善を行うことで、対策が形だけで終わらない実効性のあるセキュリティ体制を構築することが可能です。
現在の対策に不安がある場合や、何から見直すべきか判断できない場合は、一度専門家によるチェックを受けることで、見えていなかったリスクに気づける可能性があります。
サイトの安全性は、事前の対策で大きく変わります。問題が発生してから対応するのではなく、被害を防ぐための準備として、今の状態を見直してみてはいかがでしょうか。
まとめ
DoS攻撃対策は、攻撃をなくすことより止まりにくくすることが重要
DoS攻撃対策では、すべての攻撃を完全に防ぐことだけを目標にすると現実に合わなくなります。
実際に重要なのは、攻撃を受けてもサービスが止まりにくい構成を作り、止まったとしても早く復旧できる状態を整えることです。
大量通信を入口で制御し、CDNや上流プロバイダーの防御を活用し、オリジンサーバーを直接さらさない構成にする。この考え方が、DoS対策の土台になります。
技術対策と運用対策の両方がそろって初めて機能する
DoS攻撃への備えは、通信制御やフィルタリングのような技術対策だけでは十分ではありません。
異常が起きたときに誰が判断し、どこへ連絡し、どのログを保存し、どの設定を有効化するのかまで決まっていて、はじめて現場で機能します。
攻撃時は状況判断の時間が限られるため、手順と連絡体制が未整備だと、対策機能があっても対応が遅れやすくなります。だからこそ、平時の準備そのものが重要な対策になります。
まずは自社の公開サービスと防御手段を整理することから始める
DoS攻撃対策を強化したい場合、最初から高度な仕組みを一気に導入する必要はありません。
まずは、自社で公開しているサービスがどこにあり、どの回線やサーバー、CDN、プロバイダーに支えられているのかを把握することが重要です。
そのうえで、レート制限が設定されているか、上流防御が使えるか、緊急時の連絡先や対応手順が整理されているかを確認すれば、対策の抜け漏れは見えやすくなります。
DoS攻撃対策は、一つの機器やサービスで終わるものではなく、構成と運用を合わせて整えることが成功の近道です。
