Cloud Armor くらうどあーまー
簡単に言うとこんな感じ!
Google Cloudが提供する「Webサービスの守り盾」だよ!大量の不正アクセスや攻撃をサービスに届く前にはじき返してくれる仕組みで、「何億件もの悪意あるリクエストをGoogleの巨大なネットワークで食い止める」ってイメージだね!
Cloud Armorとは
Cloud Armorは、Google Cloudが提供するエッジセキュリティサービスで、主にDDoS攻撃(大量の偽アクセスでサービスをダウンさせる攻撃)とWebアプリケーション攻撃から自社のサービスを守るためのプラットフォームです。Googleの世界規模のインフラを盾として活用できる点が最大の強みです。
Cloud ArmorはGoogle Cloud Load Balancing(負荷分散サービス) と統合して動作します。つまり、外部からのトラフィック(アクセス)がアプリケーションに届く前の「入口」で、あらかじめ設定したセキュリティポリシーに照らし合わせてリクエストを許可・拒否します。これにより、悪意あるトラフィックをGoogleのエッジ(インターネットの境界)で食い止め、実際のサーバーには正常なリクエストだけを届けることができます。
実務的には「Webサービスを外部公開するときのセキュリティ基盤」として使われます。EC サイト、業務システムのAPIゲートウェイ、モバイルアプリのバックエンドなど、インターネット経由でアクセスされるあらゆるシステムの守りを固める役割を担います。
Cloud Armorの主な機能と仕組み
| 機能 | 説明 | 実務上の使い所 |
|---|---|---|
| DDoS対策(自動) | Googleインフラ全体でL3/L4の大規模DDoSを自動吸収 | 大量アクセス攻撃を受けても追加設定なしで守られる |
| WAF(Webアプリケーションファイアウォール) | SQLインジェクション・XSSなどWebの典型的な攻撃をブロック | OWASPトップ10対策の事前定義ルールを適用できる |
| セキュリティポリシー | IPアドレス・地域・リクエスト条件でアクセス可否を設定 | 特定の国や不正IPからのアクセスを一括遮断 |
| レート制限 | 同一IPからの過剰なリクエストを制限 | スクレイピングや総当たり攻撃の抑止 |
| Adaptive Protection | AI/MLで異常なトラフィックを検知・アラート | 攻撃の早期発見と自動対応提案 |
| Bot管理 | reCAPTCHA連携でボットを識別・制御 | 不正な自動アクセスの選別 |
WAF(Web Application Firewall)とは?
WAF(ワフ) とは、Webアプリケーションへの攻撃を検知・ブロックする専用のファイアウォールです。通常のファイアウォールがネットワーク層(入口の門番)なのに対し、WAFはWebの通信内容(HTTPリクエストの中身)を検査するイメージです。「門の中の荷物検査」と覚えるとわかりやすいですね。
セキュリティポリシーの優先順位
優先度低 ←──────────────────────── 優先度高
[デフォルトルール] [カスタムルール] [プリコンフィグ WAFルール]
全許可 or 全拒否 IP/地域ベース OWASP対策の定義済みルール
↑ ↑ ↑
最後の砦 手動で柔軟に設定 すぐ使える定番ブロック歴史と背景
- 2017年 — Google Cloudがβ版としてCloud Armorを発表。当初はDDoS対策とIPフィルタリングが中心
- 2019年 — WAF機能(事前定義ルール)を追加。OWASPトップ10への対応が大幅強化
- 2020年 — Adaptive Protection(AI/ML活用の異常検知)機能をリリース
- 2021年 — レート制限機能の追加。スクレイピングや総当たり攻撃への対応が強化
- 2022年 — reCAPTCHA Enterpriseと統合したBot管理機能をGA(一般提供)開始
- 2023年 — Cloud Armor Enterprise(有料上位プラン)を提供開始。DDoS対応SLAや高度なBot管理などを統合提供
Googleは自社のインフラを長年にわたって大規模なDDoS攻撃から守ってきた実績があります(2022年に記録的な毎秒4600万リクエストのDDoSを緩和した事例も公表)。Cloud ArmorはそのGoogleのノウハウを顧客向けに提供するサービスとして発展してきました。
Cloud Armor の構成と他サービスとの関係
Cloud ArmorはGoogle Cloudのネットワーク上でどのように機能するか、全体の流れを見てみましょう。
Cloud Armor vs 競合サービスの比較
| 比較項目 | Cloud Armor | AWS Shield + WAF | Azure DDoS + WAF |
|---|---|---|---|
| クラウド基盤 | Google Cloud | AWS | Azure |
| DDoS自動防御 | ✅ 無料で自動適用 | ✅(StandardはL3/L4無料) | ✅(Basicは無料) |
| WAF機能 | ✅ 統合済み | ✅(別途AWS WAF) | ✅(別途Azure WAF) |
| AI異常検知 | ✅ Adaptive Protection | ✅ Shield Advanced | ✅ DDoS Network Protection |
| Bot管理 | ✅ reCAPTCHA連携 | ✅ Bot Control | ✅ Bot Manager |
| 課金モデル | ポリシー数+リクエスト数 | WAFルール数+リクエスト数 | WAFルール数+データ量 |
選び方の基本原則: すでに使っているクラウドのサービスと組み合わせるのが最も効率的です。Google Cloudを使っているならCloud Armor、AWSならShield+WAF、AzureならAzure DDoS+WAFがそれぞれ自然な選択肢になります。
関連する規格・RFC
| 規格・ドキュメント | 内容 |
|---|---|
| OWASP Top 10 | Webアプリの重大リスクトップ10。Cloud ArmorのWAFプリセットルールの基準 |
| RFC 7413 | TCP Fast Openに関する仕様。DDoS文脈での接続最適化に関連 |
| RFC 9110 | HTTP Semantics。WAFがHTTPリクエストを検査する際の基準仕様 |
| PCI DSS | クレジットカード業界のセキュリティ基準。Cloud ArmorはPCI DSS準拠支援に活用 |