セキュリティ

AWS Shield で DDoS 攻撃から防御 - Standard と Advanced の使い分け

Standard の無料 L3/L4 防御と Advanced の L7 対応・SRT サポートの違いを整理する。コスト保護とプロアクティブエンゲージメントの活用を紹介します。

約 1 分で読めます

Shield の概要

Shield は DDoS 攻撃からアプリケーションを保護するマネージド防御サービスです。Shield Standard は全 AWS アカウントに無料で自動適用され、SYN フラッド、UDP リフレクション、DNS クエリフラッドなどの L3/L4 攻撃を自動緩和します。Shield Advanced は月額 3,000 USD で L7 攻撃への対応と追加機能を提供します。

Advanced の機能

Shield Advanced は CloudFront、ALB、Route 53Global Accelerator、Elastic IP を保護対象として登録し、L7 の HTTP フラッド攻撃を検出・緩和します。SRT (Shield Response Team) は 24/7 で DDoS 攻撃の分析と緩和を支援し、WAF ルールの作成を代行します。コスト保護は DDoS 攻撃によるトラフィック増加で発生した CloudFront、ALB、Route 53、EC2 のスケーリングコストを AWS が補填する機能で、攻撃による予期しないコスト増加を防止します。

Shield Advanced の運用

Shield Advanced のプロアクティブエンゲージメントを有効にすると、 DDoS 攻撃の検出時に SRT (Shield Response Team) が自動的に対応を開始します。 Route 53 ヘルスチェックを Shield Advanced の保護リソースに関連付けると、アプリケーションの健全性に基づいた検出精度が向上します。 Shield Advanced のコスト保護で、 DDoS 攻撃によるスケーリングコスト (EC2 Auto ScalingCloudFront のデータ転送) の増加分を AWS が補填します。攻撃の可視化ダッシュボードで、攻撃のタイプ、規模、期間、緩和状況をリアルタイムに確認できます。 Shield の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

Shield の料金

Shield Standard は全 AWS アカウントで無料で自動有効化されます。Shield Advanced は月額 3,000 ドルの固定料金に加え、保護リソースのデータ転送量で追加課金されます。1 年間のコミットメントが必要です。Organizations で Shield Advanced を有効化すると、月額 3,000 ドルは組織全体で 1 回のみの課金で、メンバーアカウントの追加料金は保護リソースのデータ転送量のみです。Shield Advanced の導入判断は、DDoS 攻撃のリスクとコスト保護の価値を比較して行います。

まとめ

Shield は L3/L4 の DDoS 攻撃を Standard で無料自動緩和し、Advanced で L7 攻撃への対応と SRT サポートを提供するサービスです。Advanced のプロアクティブエンゲージメントで攻撃検出時に SRT が自動対応を開始し、コスト保護で DDoS 攻撃によるスケーリングコストの増加分を補填します。Organizations で月額 3,000 ドルを組織全体で共有できます。

関連するサービス

AWS ShieldDDoS 攻撃からアプリケーションを保護するマネージドサービスAWS WAFWeb アプリケーションを悪意のあるアクセスから保護するファイアウォールサービスAmazon CloudFront世界中のエッジロケーションからコンテンツを高速配信する CDN サービス

関連する記事

AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装Bot Control でスクレイパーや自動化ツールを検出し、ATP でクレデンシャルスタッフィングを防止する。チャレンジと CAPTCHA のユーザー体験設計も紹介します。AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。DDoS 対策 - AWS Shield による多層防御の設計と運用AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront ・ Route 53 ・ ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

DDoS 対策 - AWS Shield による多層防御の設計と運用AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront ・ Route 53 ・ ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。AWS ShieldCloudFront、ALB、Route 53 などの AWS リソースを L3/L4 および L7 の DDoS 攻撃から保護するマネージド防御サービスDDoS 攻撃からアプリケーションを保護するための AWS マネージドサービスはどれですか?