![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
システムダウンやネットワークの…
61%がDDoS攻撃「未対策」。理由は人材やコスト、社内理解の不足
IIJ法人サービスのマーケティング全般を担当。市場トレンドを的確に捉え、お客様に"今"必要なコンテンツを提供。メールマガジンのコンテンツ企画、ウェビナー・イベントの企画、アンケート調査に基づくデータ分析など、多岐にわたる業務に従事し、トレンドやニーズに応じた情報発信を行う。
執筆・監修者ページ/掲載記事:20件
こんにちは。マーケティング担当の大利です。
IIJでは「ズバリアンケート」と称して、企業ITにおけるお客様の実態や課題に“ズバリ”切り込む一問一答アンケートを実施しています。
今回は「DDoS攻撃への対策状況」についてアンケートを実施しました。2024年の年末から翌年始にかけて、航空会社や金融機関などで被害が相次いで報道されたDDoS攻撃ですが、他社の対策状況について気になっている方も多いのではないでしょうか。対策における効果や、対策していない理由など様々な回答が集まりましたのでご紹介します。
【アンケート調査の概要】
- 調査手法:IIJメールマガジンの読者に対するWebアンケート
- 調査期間:2025年2月20日~25日
- 回答対象者:情報システム部門
- 有効回答数:218件
※記事中に使われている略称の意味や正式名称は、記事末尾にまとめていますので参考になさってください。
アンケート結果
NO
コストがかけられない、そこまで手が回らない。
(40代/その他/IT管理部門(社内情報システム)/担当者)
NO
コスト問題。知見をもつ人材がいない(予防・監視・発見・対策・改善)。
(40代/建設業/IT関連技術職/課長、リーダー)
NO
経営層がDDoSについての知識が乏しく、脅威と捉えられてない為。
(30代/建設業/IT管理部門(社内情報システム)/課長、リーダー)
NO
攻撃対象とはならない(攻撃をされても業務的、社会的影響が少ない)とみているため。
(50代/他のサービス業/IT管理部門(社内情報システム)/部長、マネージャー)
NO
ノウハウを持つ人材がいない、経営層は事故が発生しないと重要性を検討することはない。
(60代/製造業/IT管理部門(社内情報システム)/課長、リーダー)
NO
中小企業では大丈夫だろうという安易な考えにより、楽観視してしまっている。情報システム担当者(一人情シス)としては失格だが、日々の業務に忙殺されており、情報収集さえも行っていない。
(40代/製造業/IT管理部門(社内情報システム)/課長、リーダー)
NO
まずコストをかけられない。経験をすることで今後の対策を考える。
(50代/卸売・小売業/IT管理部門(社内情報システム)/担当者)
NO
セキュリティ予算が限られた中で順次採用するため、後回しになっている。
(50代/製造業/IT管理部門(社内情報システム)/課長、リーダー)
NO
攻撃を受けた際の影響が少ない。狙われる理由がない。
(50代/金融・保険業/IT管理部門(社内情報システム)/担当者)
NO
経営層の理解が得られないため、予算が確保できない。
(40代/製造業/IT管理部門(社内情報システム)/課長、リーダー)
NO
根拠はないが、「自社は攻撃を受けないだろう」と変な考えがある。
(60代/製造業/IT管理部門(社内情報システム)/専門職)
NO
ノウハウを持つ人材がいない他、経営層がこの手のリスクに対して関心がない。
(40代/他のサービス業/IT管理部門(社内情報システム)/課長、リーダー)
考察
今回のアンケートでは、DDoS攻撃について「対策済」の方は39%と半数に満たない結果となりました。対策手段としてはWAF、CDN、IPS/IDSなど様々なキーワードが挙がりました。業務に大きな影響はなかったものの、実際に攻撃を受けたことがあるという声も複数挙がりました。
一方、61%の方は「未対策」と回答しました。「コストをかけられない」「ノウハウを持つ人材がいない」といったリソース面の課題が多く挙がったほか「そもそも脅威と捉えていない」「経営層が重要視していない」といった攻撃への理解不足によるものとも推察されるコメントも複数挙がりました。「大企業だけが狙われるものだ」「自社には無関係だ」などと考え、対策の優先度が上がらずにコストも割かれず、なかなか導入が進まないという実態があるように感じました。
2025年2月には、年末年始に相次いだ国内企業へのDDoS攻撃を受け、内閣サイバーセキュリティセンター(NISC)が、今後大規模な攻撃が発生する可能性も否定できないとして、注意喚起と対策の徹底を呼びかけました(※)。更に、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」の組織編において、DDoS攻撃は5年ぶりにランクインしています。規模や業種を問わず、様々な企業がDDoS攻撃のターゲットになっており、他人事と捉えずに警戒することが必要です。
※出典「DDoS 攻撃への対策について(注意喚起)」(内閣サイバーセキュリティセンター、2025/2/4)
DDoSというと、大量のパケットを集中的に送信してネットワーク帯域をパンクさせる攻撃を思い浮かべる方も多いと思いますが、規模による攻撃だけとは限らず、アプリケーショ ンやミドルウェアなどの脆弱性を突く少量のパケットを送りつけてインフラリソースを枯渇させるという攻撃パターンも存在します。
IIJは、大規模なDDoS攻撃に対するバックボーン側での防御と、小規模な攻撃に対するエッジ側での防御による、包括的な対策を提供しています。詳しい内容はサービスガイドブックよりご確認いただけますので、ご興味のある方はぜひダウンロードしてみてください。 引き続きいろいろなテーマで調査していく予定です!どうぞお楽しみに!
- DDoS(Distributed Denial of Service)
- 分散型サービス拒否攻撃。複数の端末から大量の通信を送りつけたり、脆弱性を突く少量のパケットを送りつけてインフラリソースを枯渇させたりしてサービスを妨害する攻撃。
- WAF(Web Application Firewall)
- Webアプリケーションファイアウォール。Webアプリへの攻撃(SQLインジェクションなど)を検知・防御する。
- IPS/IDS(Intrusion Prevention System / Intrusion Detection System)
- 侵入防止/検知システム。ネットワークやシステムへの不正アクセスを検出し(IDS)、防御を行う(IPS)。
- CDN(Content Delivery Network)
- コンテンツ配信ネットワーク。複数のサーバを活用し、Webサイトの表示速度向上や負荷分散を行う。
- SOC(Security Operations Center)
- セキュリティオペレーションセンター。組織のシステムを監視し、セキュリティインシデントを検出・対応する設備や拠点。
多段の対策で強力な防御を実現
DDoS対策サービスガイドブックを差し上げます
- IIJのDDoS対策サービス ガイドブック
(PDF:26ページ) - サービスの特長や機能の詳細など、導入へのヒントを掲載!
インターネット回線側でDDoS検知システムを設置しており、さらに、WAFを導入しております。過去、検知はございません。
(50代/金融・保険業/IT管理部門(社内情報システム)/部長、マネージャー)
WAF、IPSを活用し、業務影響は発生していない。IDSによる監視も行っている。
(30代/情報通信業/IT管理部門(社内情報システム)/担当者)
WAFを利用しており、過去に1度も攻撃を受けて業務支障を来したことはありません。
(40代/情報通信業/IT管理部門(社内情報システム)/課長、リーダー)
CDNサービスを利用し、攻撃の緩和に役立ています。
(60代/他のサービス業/IT管理部門(社内情報システム)/専門職)
WAFやインターネット回線のDDoS対策を利用してきました。これまでに業務影響を受けることはありませんでした。
(50代/金融・保険業/IT管理部門(社内情報システム)/課長、リーダー)
WAFとCDNを利用している。過去の攻撃で多少の影響はあったが、一過性の攻撃であったためかほどなく復旧した。
(50代/情報通信業/IT管理部門(社内情報システム)/担当者)
データセンターサービスとともにSOCなどに委託することで、社内要員の負荷軽減をできた。それまではDDoSの都度緊急対応などが多くあった。
(40代/金融・保険業/IT管理部門(社内情報システム)/担当者)
社内のゲートウェイにWAFを導入してDDoS対策を実施しております。今のところ被害はないですが、異常時は通知等でアラート表示されるように設定を実施しました。
(30代/情報通信業/IT関連技術職/課長、リーダー)
IPS/IDSを導入して防いでいる(毎月、攻撃を遮断した報告をもらっている)。クラウド上のWebアプリにはWAFを導入している。
(40代/他のサービス業/IT管理部門(社内情報システム)/課長、リーダー)
WAFを活用して、過去の攻撃でも業務影響はなかった。
(60代/製造業/IT関連技術職/専門職)