DDoS攻撃への備えに、SIEMのDevoが果たす役割とは？

DDoS攻撃は、サービスの停止だけでなく、企業の信頼性やビジネスの継続性に深刻な影響を与える脅威です。従来のWAFや専用アプライアンスだけでは不十分な場合もあり、多層防御（Defense in Depth）が求められる現代のセキュリティ対策において、SIEM（Security Information and Event Management）が重要な役割を果たします。
本記事では、クラウドネイティブなSIEMであるDevoが、DDoS攻撃への備えとしてどのように「異常の早期検知」「迅速なインシデント対応」「攻撃後の分析」で貢献できるのかをご紹介します。可視化と分析による攻撃の兆候発見から、迅速な対応までのプロセスをDevoがどのように支援できるのかを解説します。

はじめに

2024年12月から2025年1月の年末年始にかけて、航空事業者・金融機関・通信事業者などを標的とした大規模なDDoS攻撃が相次いで発生しています。DDoS攻撃は、単なる一時的なサービス停止にとどまらず、企業の信頼性や事業継続性、さらには顧客満足度にも深刻な影響を及ぼすリスクがあります。こうした状況を受けて、内閣サイバーセキュリティセンターも各事業者に向けて適切なセキュリティ対策を促す注意喚起を発表しています（内閣サイバーセキュリティセンターの注意喚起はこちら）。

一般的なDDoS対策としては、WAFのSaaSサービスや専用アプライアンスの導入が主流です。しかし、攻撃手法の高度化や多様化が進む中で、これらの防御策と共に重要になるのが、「攻撃の兆候をいち早く検知し、迅速に対応する力」です。

本記事では、DDoS攻撃対策においてSIEM（Security Information and Event Management）が果たす役割、特にクラウドネイティブなSIEMであるDevoがどのように貢献できるのかについて解説します。

1. DDoS攻撃の対策ポイントとDevoの貢献領域

【1】DDoS攻撃による被害を抑えるための対策

海外IPからの不審なアクセスの可視化
DDoS攻撃の多くは、特定の地域や国から発生する傾向があります。Devoを活用することで、国や地域ごとのトラフィックを可視化し、不審なトラフィックを迅速に特定することが可能です。これにより、ファイアウォールやACLでのアクセス制御を効果的に実施できます。

図1 Unknownな国からのアクセスを抽出した例

異常トラフィックのリアルタイム検知
Devoは、大量のネットワークトラフィックデータをリアルタイムで分析し、通常とは異なる急激なトラフィックの増加や、特定のIPアドレスからの大量リクエストを即座に検知します。
たとえば、UDPフラッドやHTTPフラッド攻撃の兆候をGUI上で簡単にアラートルールとして設定でき、異常が発生した瞬間に即座に通知が可能です。直感的な操作性により、セキュリティ運用担当者の負担も軽減します。