Azure DDoS Protection は、Distributed Denial of Service (DDoS) 攻撃から Azure リソースを保護するサービスです。 本番 Web 公開システムの DDoS 対策の最終防衛線で、Cost Protection でクラウドコスト爆発リスクも大幅軽減。 本記事では、3 ティア構成・Always On Detection・WAF 組み合わせ・運用ベストプラクティスを網羅的に整理します。
| 項目 | Infrastructure Protection | IP Protection | Network Protection |
|---|---|---|---|
| 対象 | すべての Azure リソース | Public IP 単位 | VNet 単位 |
| カバー攻撃 | Volumetric のみ | L3/L4 + L7 (WAF 統合時) | L3/L4 + L7 (WAF 統合時) |
| 調整可能性 | 不可 | 可 | 可 + Adaptive Tuning |
| Microsoft DRR | × | × | ○ |
| Cost Protection | × | × | ○ |
| 料金 | 無料 | 199 USD / Public IP | 2,944 USD / 月 + データ転送 |
| 適用シーン | 標準 Azure 利用 | 小規模・少数 IP | 大規模・本番 Web 公開 |
| 種類 | レイヤ | 例 | 対策 |
|---|---|---|---|
| Volumetric Attacks | L3/L4 | UDP Flood・DNS Amplification・NTP Reflection | DDoS Protection |
| Protocol Attacks | L4 | SYN Flood・ACK Flood・Fragment Attack | DDoS Protection |
| Application Layer Attacks | L7 | HTTP Flood・Slowloris・DNS Query Flood | WAF (Application Gateway / Front Door Premium) |
Azure DDoS Network Protection は L3/L4 を完全カバー、L7 は Azure WAF との組み合わせで対応するのが本番アーキテクチャ。
Azure DDoS Protection は Always On Detection (24/7 トラフィック監視) + Adaptive Tuning (ML ベース正常パターン学習) で攻撃を自動検知・Mitigation。
Mitigation までの時間は数分以内、Cost Protection で攻撃中の Azure 自動スケールアウト料金を保証。
判断基準: 1 VNet で Public IP 15 個未満なら DDoS IP Protection、15 個以上なら DDoS Network Protection (199 USD × 15 IP = 2,985 USD > 2,944 USD で逆転)。
大企業・本番 Web 公開システムは DDoS Network Protection が標準選択。
DDoS Protection は L3/L4 攻撃対応、L7 (Application Layer) 攻撃には WAF が必要。
Front Door Premium は実質的に Edge で大規模 DDoS を吸収するため、Volumetric Attack は Azure VNet に到達する前に Drop。本番 Web 公開システムでは『Front Door Premium + Application Gateway WAF v2 + DDoS Network Protection』の 3 層構成が現代の標準パターン。
Microsoft Sentinel への送信で KQL 分析・Logic App Playbook 自動応答 (例: 攻撃中に Slack 通知 + CISO エスカレーション + ステークホルダーメール)。
Azure DDoS Protection とは?
Azure DDoS Protection は、Distributed Denial of Service (DDoS) 攻撃から Azure リソースを保護するサービス。3 ティア構成: 1) DDoS Network Protection (旧 DDoS Protection Standard): VNet 単位の保護、月額 2,944 USD (約 44 万円) + データ転送、最大 100 Public IP まで保護、Volumetric / Protocol / Application Layer 攻撃すべて対応、Adaptive Tuning (ML ベース)・Rapid Response Team サポート・Cost Protection (DDoS 攻撃時のスケールアウト料金保証)。2) DDoS IP Protection (2022 GA): Public IP 単位、月額 199 USD / Public IP、小規模向け。3) DDoS Infrastructure Protection: すべての Azure リソースに無料で適用される基本保護 (Volumetric 攻撃のみ、調整不可)。本番 Web 公開システムでは DDoS Network Protection が標準、Cost Protection でクラウドコスト爆発リスクを大幅軽減します。
DDoS 攻撃の 3 種類は?
DDoS 攻撃は OSI レイヤ別に 3 種類。1) Volumetric Attacks (体積型・L3/L4): UDP Flood・DNS Amplification・NTP Reflection など、ネットワーク帯域を飽和させる攻撃。最大規模が 1 Tbps 超。Azure DDoS Protection の Always On Detection で自動検知・Mitigation。2) Protocol Attacks (プロトコル型・L4): SYN Flood・ACK Flood・Fragment Attack など、Network Stack のリソースを枯渇させる攻撃。3) Application Layer Attacks (L7): HTTP Flood・Slowloris・DNS Query Flood など、Application Layer の処理リソースを枯渇させる攻撃 (Application Gateway / Front Door 経由で WAF 統合)。Azure DDoS Network Protection は 1)・2) を完全カバー、3) は Azure WAF (Application Gateway / Front Door Premium) との組み合わせで対応するのが本番アーキテクチャです。
Always On Detection と Mitigation の動作は?
Azure DDoS Protection は Always On Detection (24/7 トラフィック監視) + Adaptive Tuning (ML ベース正常パターン学習) で攻撃を自動検知・Mitigation。動作フロー: 1) Public IP のトラフィックパターンを継続学習 (通常時のリクエスト数・帯域・地理分布)、2) 異常パターン (大量トラフィック・新規 IP からの急増) を AI 検出、3) Microsoft の Global DDoS Mitigation Network が攻撃 IP からのトラフィックを Edge で Drop、4) 正常トラフィックのみ Azure VNet に到達、5) Mitigation Report 生成 (攻撃詳細・期間・トラフィック量)、6) Microsoft DDoS Rapid Response Team (DRR) が大規模攻撃時にカスタム対応。Mitigation までの時間は数分以内、Cost Protection で攻撃中の Azure 自動スケールアウト料金を保証 (請求書から控除)。本番 Web サービスの DDoS 対策の最終防衛線です。
DDoS Network Protection と DDoS IP Protection の使い分けは?
DDoS Network Protection: VNet 単位で保護、VNet 内のすべての Public IP (最大 100) を一括保護、月額 2,944 USD 固定 + データ転送、Public IP の数が多い大規模環境 (Web アプリ群・複数 Microservices) で 1 IP あたりコストが大幅安。DDoS IP Protection: Public IP 単位で保護、月額 199 USD / IP、小規模スタートアップ・少数 Public IP 環境向け。判断: 1 VNet で Public IP 15 個未満 → DDoS IP Protection、15 個以上 → DDoS Network Protection (199 USD × 15 IP = 2,985 USD > 2,944 USD で逆転)。DDoS Network Protection の追加メリット: Microsoft DDoS Rapid Response Team サポート (24/7 専門エンジニア対応)・Cost Protection (攻撃時の自動スケール料金保証)。大企業・本番 Web 公開システムは DDoS Network Protection が標準選択です。
Application Gateway / Front Door WAF との組み合わせは?
DDoS Protection は L3/L4 攻撃対応、L7 (Application Layer) 攻撃には WAF (Web Application Firewall) が必要。標準アーキテクチャ: 1) Front Door Premium (Edge で Anycast + WAF Premium、Microsoft Edge ネットワーク 300+ ロケーションで攻撃吸収)、2) Application Gateway WAF v2 (リージョン内 L7 制御、Front Door のバックエンド)、3) DDoS Network Protection (VNet 全体の L3/L4 保護)、4) Azure Firewall (FQDN フィルタリング・Outbound 統制)。Front Door Premium は実質的に Edge で大規模 DDoS を吸収するため、Volumetric Attack は Azure VNet に到達する前に Drop。本番 Web 公開システムでは『Front Door Premium + Application Gateway WAF v2 + DDoS Network Protection』の 3 層構成が現代の標準パターンで、L3-L7 攻撃すべてに対応します。
DDoS Attack Analytics と Metrics は?
DDoS Protection は Azure Monitor で詳細メトリクスを提供。主要メトリクス: 1) Under DDoS Attack (現在攻撃中フラグ)、2) Packets In DDoS (Mitigation された Packet/秒)、3) Bytes In DDoS (Mitigation された帯域)、4) TCP/UDP/Other Packets (プロトコル別 Drop)、5) Inbound TCP/UDP/Other Bytes Dropped。攻撃終了後の DDoS Mitigation Reports: 1) Attack Vector (どのプロトコル・攻撃手法)、2) Top Source Country (攻撃元国)、3) Top Source ASN (攻撃元 ISP)、4) Top Destination IP (攻撃対象)、5) Total Packets/Bytes Dropped。Microsoft Sentinel への送信で KQL 分析・Logic App Playbook 自動応答 (例: 攻撃中に Slack 通知 + CISO エスカレーション + ステークホルダーメール)。本番運用では月次 DDoS Reports レビューが標準パターンです。
コスト最適化の戦略は?
DDoS Protection のコスト要素: 1) DDoS Network Protection 月額固定 2,944 USD、2) DDoS IP Protection 199 USD / Public IP、3) Mitigation データ転送 (攻撃トラフィック量、通常時はゼロ)、4) Microsoft DRR サポート (DDoS Network Protection に含む)。コスト削減施策: 1) Public IP 数 < 15 個なら DDoS IP Protection 選択、2) 不要 Public IP の削除 (1 IP につき 199 USD/月)、3) Front Door Premium 活用で Edge で攻撃吸収 (Azure VNet に到達せずコスト発生せず)、4) Cost Protection 活用で攻撃時の自動スケール料金保証請求 (DDoS Network Protection のみ)、5) 1 VNet に Public IP 集約 (複数 VNet 分散より 1 つの DDoS Network Protection で済む)。本番 Web 公開システムのコスト最適化で重要、特に Microsoft DRR サポート価値が大きいため、エンタープライズでは DDoS Network Protection 採用が経済合理性も高い構成です。
関連認定試験は?
AZ-700 (Network Engineer Associate) で DDoS Protection が深く問われる本領域の主要トピック。AZ-305 (Solutions Architect Expert) でアーキテクト視点での DDoS 対策設計、SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略のネットワーク防御、SC-500 (旧 AZ-500、2026-09 GA) で Azure セキュリティ実装、SC-200 (Security Operations Analyst) で SOC 視点での DDoS イベント運用。Azure ネットワークエンジニア・セキュリティアーキテクトにとって DDoS Protection の理解は必須スキル、本番 Web 公開システムでは事故防止の中核機能です。
関連記事・技術深掘り
Azure Application Gateway vs Front Door 完全比較|L7 ロードバランサーの選定ガイド【2026 年版】
Azure の L7 ロードバランサー Application Gateway と Front Door を完全比較。リージョン vs グローバル・WAF 機能・SKU 選定 (Standard / Premium)・コスト・適用シーンを表形式で整理。両方組み合わせる多層構成、Traffic Manager / Azure CDN との関係、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
AZ-700 完全ガイド|Microsoft Azure Network Engineer Associate 出題範囲・学習リソース・合格戦略
Microsoft Certified: Azure Network Engineer Associate (AZ-700) の完全ガイド。5 ドメインの出題範囲、VNet / VPN Gateway / ExpressRoute / Azure Firewall / Application Gateway / Front Door / Private Link を網羅。必須実機演習、3-4 ヶ月の合格ロードマップ、AZ-305 や SC-500 へのキャリアパスを日本語で網羅。
Azure Key Vault 完全ガイド|Secret/Key/Certificate 管理・Managed Identity 統合・セキュリティベストプラクティス【2026 年版】
Azure Key Vault の完全ガイド。Standard vs Premium vs Managed HSM ティア選定、Secret / Key / Certificate の使い分け、RBAC ベースアクセス制御、Managed Identity 統合 (シークレットレスアプリ)、Soft Delete / Purge Protection、Private Endpoint、Microsoft Defender for Key Vault、関連認定試験 (AZ-204 / SC-300 / SC-100) を日本語で網羅。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
本記事の技術情報は Azure DDoS Protection Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...