セキュリティ

DDoS 対策 - AWS Shield による多層防御の設計と運用

AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront・Route 53・ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。

約 3 分で読めます

DDoS 攻撃の脅威と AWS の多層防御

DDoS (Distributed Denial of Service) 攻撃は、大量のトラフィックを送りつけてサービスを利用不能にする攻撃手法です。攻撃は L3/L4 (SYN フラッド、UDP リフレクション、DNS アンプリフィケーション) と L7 (HTTP フラッド、Slowloris) に大別されます。AWS Shield は DDoS 攻撃からの防御に特化したマネージドサービスで、Standard と Advanced の 2 つのティアを提供します。Shield Standard は全 AWS アカウントに無料で自動適用され、L3/L4 の一般的な DDoS 攻撃を自動検知・緩和します。AWS のグローバルネットワークは数 Tbps の帯域を持ち、大規模なボリューメトリック攻撃もエッジで吸収します。Shield Advanced は月額 3,000 USD (1 年コミットメント) の有料サービスで、L7 攻撃への高度な防御、リアルタイムの攻撃可視化、24/7 の Shield Response Team (SRT) によるインシデント対応支援を提供します。Azure DDoS Protection Standard は月額約 2,944 USD に加えて 100 リソースを超えると従量課金が発生しますが、Shield Advanced は定額制でリソース数に依存しません。

この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

Shield Standard の自動防御

Shield Standard は追加設定なしで全 AWS リソースに適用されます。CloudFront、Route 53、ALB、NLB、Elastic IP (EC2) に対する L3/L4 攻撃を常時モニタリングし、異常なトラフィックパターンを検知すると自動的に緩和措置を実行します。CloudFront と Route 53 は AWS のグローバルエッジネットワーク (400 以上の PoP) 上で動作するため、攻撃トラフィックがオリジンサーバーに到達する前にエッジで処理されます。これにより、オリジンのインフラに負荷をかけずに大規模な攻撃を吸収できます。Shield Standard の防御は完全に透過的で、正常なトラフィックへの影響はありません。SYN フラッド攻撃に対しては SYN プロキシ、UDP リフレクション攻撃に対してはトラフィックスクラビングが自動的に適用されます。Shield Standard だけでも、インターネットで観測される DDoS 攻撃の大部分を防御できます。

Shield Advanced の高度な防御機能

Shield Advanced は Shield Standard の防御に加え、以下の機能を提供します。L7 (アプリケーション層) の DDoS 検知と緩和では、HTTP フラッドや API への大量リクエストなど、正常なリクエストに偽装した攻撃を検知します。WAF との統合により、攻撃パターンに応じたレートベースルールやカスタムルールを自動的に適用できます。SRT (Shield Response Team) は AWS のセキュリティエキスパートチームで、攻撃発生時に 24/7 で対応を支援します。SRT はユーザーの WAF ルールを直接操作して攻撃を緩和する権限を持ち、緊急時の対応速度を大幅に向上させます。攻撃の可視化では、CloudWatch メトリクスとダッシュボードでリアルタイムの攻撃状況 (攻撃ベクトル、トラフィック量、緩和状況) を確認できます。コスト保護は Shield Advanced の重要な機能で、DDoS 攻撃に起因する AWS リソースのスケーリングコスト (EC2 Auto Scaling、CloudFront データ転送、Route 53 クエリ、ALB) の払い戻しを受けられます。攻撃によるコスト急増のリスクを軽減します。

WAF との組み合わせとベストプラクティス

Shield Advanced と WAF を組み合わせることで、L3 〜 L7 の全レイヤーをカバーする多層防御を実現します。Shield Advanced のサブスクリプションには、保護対象リソースに関連付ける WAF の利用料金が含まれます (追加の WAF 料金が不要)。レートベースルールで特定の IP からのリクエスト数を制限し、ジオマッチルールで特定の国からのアクセスをブロックできます。Shield Advanced の自動 L7 緩和機能を有効にすると、攻撃検知時に WAF ルールが自動的に作成・適用されます。ベストプラクティスとして、CloudFront を全トラフィックの入口として配置し、オリジンへの直接アクセスをセキュリティグループで遮断することを推奨します。Route 53 のヘルスチェックと Shield Advanced を組み合わせれば、攻撃検知の精度が向上します。Shield Advanced は Organizations 統合により、管理アカウントで 1 つのサブスクリプションを契約すれば組織内の全アカウントに適用できます。

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

まとめ - Shield の活用指針

AWS Shield は DDoS 攻撃からの防御を自動化するサービスです。Shield Standard は無料で全アカウントに適用され、L3/L4 攻撃の大部分を自動緩和します。ミッションクリティカルなワークロードには Shield Advanced を検討してください。月額 3,000 USD の投資で、L7 防御、SRT サポート、コスト保護、攻撃の可視化が得られます。CloudFront をエッジ防御の最前線に配置し、WAF と Shield Advanced を組み合わせた多層防御が、AWS における DDoS 対策のベストプラクティスです。

AWS の優位点

  • Shield Standard は全 AWS アカウントに無料で自動適用され、L3/L4 (ネットワーク層/トランスポート層) の DDoS 攻撃を自動検知・緩和
  • Shield Advanced は月額 3,000 USD で L7 (アプリケーション層) の高度な DDoS 防御、24/7 の Shield Response Team (SRT) サポート、コスト保護を提供
  • CloudFront と Route 53 は AWS のグローバルエッジネットワーク上で動作し、攻撃トラフィックをオリジンに到達させずにエッジで吸収
  • Shield Advanced のコスト保護により、DDoS 攻撃に起因するスケーリングコスト (EC2、ALB、CloudFront、Route 53) の払い戻しを受けられる
  • WAF との統合でレートベースルールやジオマッチルールを組み合わせ、L7 攻撃に対するきめ細かな防御が可能
  • Azure DDoS Protection Standard が月額約 2,944 USD + 従量課金であるのに対し、Shield Advanced は月額 3,000 USD の定額制でリソース数に依存しない
  • Shield Advanced は AWS Organizations 統合により、組織内の全アカウントを 1 つのサブスクリプションでカバー可能

関連するサービス

AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス Amazon CloudFront 世界中のエッジロケーションからコンテンツを高速配信する CDN サービス

関連する比較記事

Web アプリケーションファイアウォール - AWS と Azure の比較 AWS と Azure の WAF サービスを比較し、AWS WAF のルールカスタマイズ性と CloudFront 統合を中心とした Web アプリケーション保護の優位性を解説します。 WAF 高度なルール設定 - AWS WAF vs Azure WAF AWS WAF と Azure WAF を比較し、マネージドルールグループ、レートベースルール、Bot Control、カスタムレスポンスなど AWS WAF の高度なルール設定の優位性を解説します。 コンテンツ配信ネットワーク - AWS CloudFront と Azure CDN の比較 AWS CloudFront と Azure CDN を比較し、グローバルエッジネットワークを活用した高速コンテンツ配信サービスとしての CloudFront の優位性を解説します。

同じテーマの記事

API セキュリティとスロットリング - AWS と Azure の比較 AWS と Azure の API セキュリティ機能を比較し、API Gateway・WAF・Cognito を組み合わせた AWS の多層防御アーキテクチャの優位性を解説します。 監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集する AWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。 証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用 AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront・ALB・API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。 コンプライアンス自動化 - AWS と Azure の比較 AWS と Azure のコンプライアンス自動化を比較し、Config、GuardDuty、CloudTrail を活用した AWS の継続的コンプライアンス監視と自動修復の優位性を解説します。 機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護する AWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。 データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御 Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。 Active Directory 連携 - AWS Directory Service でオンプレミス ID 基盤をクラウドに拡張する AWS Directory Service を使った Active Directory のクラウド統合を解説。AWS Managed Microsoft AD、AD Connector、Simple AD の使い分けと、WorkSpaces・RDS・FSx との連携を紹介します。 暗号化と鍵管理 - AWS と Azure の比較 AWS と Azure の暗号化・鍵管理サービスを比較し、KMS と Secrets Manager を中心とした AWS の包括的なデータ保護基盤の優位性を解説します。 ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理 AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。 ID とアクセス管理の設計 - IAM によるゼロトラストセキュリティの実現 AWS IAM を活用したアクセス管理の設計手法を解説し、最小権限の原則、ポリシー設計、Cognito との連携によるゼロトラストセキュリティの実現方法を紹介します。 ID 管理と認証 - AWS と Azure の比較 AWS と Azure の ID 管理・認証サービスを比較し、IAM のきめ細かいアクセス制御と Cognito のアプリケーション認証における AWS の優位性を解説します。 ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御 AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。 シークレット管理 - AWS Secrets Manager と Azure Key Vault の比較 AWS Secrets Manager と Azure Key Vault を比較し、Secrets Manager の自動ローテーション機能と KMS 連携による暗号化管理の優位性を解説します。 セキュリティとコンプライアンス - AWS と Azure の比較 AWS と Azure のセキュリティ機能とコンプライアンス対応を比較し、責任共有モデル、IAM の柔軟性、コンプライアンス認証における AWS の優位性を解説します。 セキュリティ調査と脅威分析 - Amazon Detective で実現するインシデント対応の効率化 Amazon Detective を活用したセキュリティインシデントの調査と脅威分析の手法を解説します。GuardDuty との連携による検出から調査までのワークフローと、グラフベースの分析による根本原因の特定方法を紹介します。 セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤 AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。 セキュリティ監査と脅威検知 - AWS GuardDuty と Azure Sentinel の比較 AWS GuardDuty と Azure Sentinel を比較し、GuardDuty の機械学習ベースの脅威検知と CloudTrail 連携による包括的なセキュリティ監査の優位性を解説します。 SSO とアイデンティティ管理 - AWS IAM Identity Center による一元認証 AWS IAM Identity Center (旧 AWS SSO) を使ったシングルサインオンとマルチアカウントアクセス管理を解説。外部 IdP 連携、権限セット設計、Cognito との使い分けまで紹介します。 ユーザー認証の実装 - Cognito によるセキュアな認証基盤の構築 Amazon Cognito を活用したユーザー認証基盤の設計と実装を解説し、ユーザープール、ID プール、外部 ID プロバイダー連携による認証フローの構築方法を紹介します。 脆弱性評価と脅威検知 - Amazon Inspector と GuardDuty で実現する継続的セキュリティ監視 Amazon Inspector と Amazon GuardDuty を活用した脆弱性評価と脅威検知の設計・運用方法を解説します。Azure Defender やオンプレミスの脆弱性スキャナーと比較し、AWS のセキュリティサービスが持つ自動化、検知精度、運用効率の優位性を紹介します。 WAF 高度なルール設定 - AWS WAF vs Azure WAF AWS WAF と Azure WAF を比較し、マネージドルールグループ、レートベースルール、Bot Control、カスタムレスポンスなど AWS WAF の高度なルール設定の優位性を解説します。 Web アプリケーションファイアウォール - AWS と Azure の比較 AWS と Azure の WAF サービスを比較し、AWS WAF のルールカスタマイズ性と CloudFront 統合を中心とした Web アプリケーション保護の優位性を解説します。 ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現する AWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。 ゼロトラストセキュリティ - AWS と Azure の比較 AWS と Azure のゼロトラストセキュリティモデルを比較し、IAM・Cognito・WAF を中心とした AWS の多層的なアクセス制御アーキテクチャの優位性を解説します。