Google Cloud

Google Cloud Armor とは？ DDoS 対策と WAF 機能を徹底解説

更新日：2026年3月26日

クラウドで公開する Web サービスへの攻撃は、年々その手口が多様化・巧妙化しています。 DDoS 攻撃による大量のトラフィックでサービスを停止させる手法から、SQL インジェクションやクロスサイトスクリプティングといったアプリケーション層への攻撃まで、脅威の幅は広がる一方です。

しかしながら、「どのセキュリティ対策から手をつければよいかわからない」「専任のセキュリティエンジニアがいなくても適切な防御を維持したい」といった課題を抱えている担当者も多いのが実状です。

本記事では、Google Cloud Armor について、基本的な仕組みから主な機能、可用性を高める構成、料金体系まで解説します。 Google Cloud 環境の保護を検討する際の判断材料としてお役立てください。

Google Cloud Armor とは

Google Cloud Armor は、Google Cloud が提供するマネージド型のネットワークセキュリティサービスです。

Google Cloud Armor の概要と位置づけ

Google Cloud Armor は、 DDoS（分散型サービス拒否）攻撃や、 SQL インジェクション・クロスサイトスクリプティング（XSS）などの Web アプリケーション層への攻撃からシステムを保護するサービスです。

最大の特徴は、 Google が Google 検索・Gmail・YouTube を長年守ってきたセキュリティ技術を基盤としている点です。 Google のグローバルネットワークインフラを活用するため、大規模な攻撃に対しても高い耐性を持った防御を実現しています。

Google Cloud Armor の役割は、大きく2つあります。

DDoS対策：ネットワーク層（L3/L4）からアプリケーション層（L7）まで幅広い DDoS 攻撃に対応し、不正トラフィックをバックエンドサーバー到達前に遮断します。
WAF（Web Application Firewall）機能： SQL インジェクションやXSSなど、脆弱性を突く攻撃をルールベースで検知します。OWASP Core Rule Set（CRS）への対応が組み込まれており、手動でシグネチャを定義する手間を削減できます。

参照：Google Cloud Armor サービスの概要

DDoS攻撃・Web アプリケーション攻撃の保護の必要性

クラウド上で公開しているWebサービスは利便性と表裏一体のリスクを抱えています。

DDoS攻撃：多数の端末から大量のリクエストを一斉に送り込み、サービスを応答不能にします。攻撃規模が Tbps（テラビット毎秒）単位に達することもあり、自前インフラでの防御は困難です。
Webアプリケーション攻撃： SQL インジェクションによるデータ窃取や、リモートコード実行（RCE）によるサーバー乗っ取りなど、深刻なインシデントに直結する攻撃です。

Google Cloud Armor は、こうした脅威に対して専門知識なしに体系的な防御を提供します。ロードバランサと組み合わせるだけで、強力なセキュリティ環境を整えられます。

Google Cloud Armor の主な機能

DDoS対策・WAF・AIを活用した高度な保護機能など、複数の機能が用意されています。

DDoS対策機能

Google Cloud Armor の DDoS 対策は、インフラ全般を網羅しています。

L3/L4 DDoS 対策：外部ロードバランサを利用するすべてのユーザーに自動提供されます。 UDP フラッドや SYN フラッドといった攻撃を検知し、正常なトラフィックだけを転送します。この保護は常時有効で追加料金はかかりません。
L7 DDoS 対策： HTTP/HTTPS 層での攻撃に対応します。正常なリクエストに見せかけた大量アクセスを行うスローリード攻撃なども遮断可能です。

WAF機能と事前構成ルール

WAF 機能の中核となるのが事前構成 WAF ルールです。OWASP Core Rule Set（CRS）3.3（3.0 も互換サポート）をベースに、SQLi、XSS、LFI/RFI、RCE などの代表的な攻撃シグネチャが組み込まれています。

各ルールには感度レベルが設定されており、誤検知が多い場合は特定のシグネチャを無効化するチューニングも可能です。

参照：Google Cloud Armor の事前構成 WAF ルールの概要

適応型保護（Adaptive Protection）と Google Threat Intelligence

適応型保護（Adaptive Protection）：機械学習を活用して L7 DDoS 攻撃を自動検知する機能です。通常と異なるトラフィックパターンを検知するとアラートを生成し、対応するための WAF ルール候補を自動提案します。
Google Threat Intelligence： Google が収集した脅威インテリジェンスデータを活用し、 Tor 出口ノードや既知の悪意ある IP からのアクセスを動的に制御します。

Google Cloud Armor の仕組みとアーキテクチャ

エッジでの保護と可用性の確保

大きな強みは、 Google のグローバルネットワークのエッジで処理が行われる点にあります。リクエストは地理的に最も近いエッジ PoP（Point of Presence）に到達した時点でポリシー評価され、不正なものはその場で遮断されます。

また、真に止まらないシステムを構築するには、 Google Cloud Armor による入り口の防御だけでなく、バックエンド側の冗長化も重要です。マルチゾーン構成を採用し、ロードバランサの背後にバックエンドを分散配置することで、一部のゾーン障害が発生してもサービスを継続できる高い耐障害性を確保します。

対応ロードバランサ

グローバル外部アプリケーションロードバランサをはじめ、TCP/UDP ベースのネットワークロードバランサにも適用可能です。オンプレミスや他社クラウドをバックエンドにするハイブリッド構成でも、Google Cloud のロードバランサを経由させることで Cloud Armor の保護を適用できます。

Google Cloud Armor の導入・設定方法

cloudpackでは、セキュリティレベルと可用性を確実に高めるために以下の3フェーズ導入アプローチを推奨しています。

Phase 1：小規模テスト（PoC）と基本設定

まずは限定的なバックエンドサービスでセキュリティポリシーを作成します。

ポリシー作成： gcloud compute security-policies create コマンド等で枠組みを作成します。
基本ルールの追加：特定の信頼できる IP の許可や、明らかな悪意ある IP 帯域の拒否を設定します。
WAF ルールの適用（プレビューモード）： --preview フラグを使用し、実際のブロックは行わずにログだけを収集します。

Phase 2：効果検証とルール調整

収集したログ（Cloud Logging）を分析し、正常な通信が誤って検知されていないかを確認します。

シグネチャの除外：特定の ID が誤検知を起こす場合、opt_out_rule_ids を使ってそのシグネチャのみを無効化します。
感度調整：保護レベルと利便性のバランスを最適化します。

Phase 3：本格展開と運用監視

検証が完了したらプレビューモードを解除し、全環境に適用します。

モニタリングとアラート： Cloud Logging / Cloud Monitoring と連携し、攻撃検知時のアラート通知やダッシュボードを整備します。インシデント発生時の対応フロー（エスカレーション先・ルール緊急追加手順等）を事前に策定しておくことが、安定運用の鍵となります。
レート制限の活用： API エンドポイントへの過剰アクセスを抑制します。

Google Cloud Armor の料金体系

※料金は米国東部（us-east1）リージョンの価格例です。東京リージョンなど、他のリージョンでは料金が異なります。また、一定以上の利用規模では、従量課金の Standard よりもサブスクリプション型の Enterprise の方がトータルコストを抑えられる場合があります。最新料金は公式ページをご確認ください。

項目	Standard エディション（従量課金）	Enterprise エディション（サブスクリプション）
主な用途	スモールスタート、開発環境	本格的な商用環境、大規模サービス
ポリシー単価	$5 / 月	月額固定 $3,000〜（100リソースまで含む）
ルール単価	$1 / 月	込み（追加料金なし）
リクエスト単価	$0.75 / 100万回（グローバル）	込み（一定量まで）
高度な機能	基本機能のみ	適応型保護、脅威インテリジェンス、DDoSレスポンスサポート