AWS Shield のアイコン

AWS Shield

DDoS 攻撃からアプリケーションを保護するマネージドサービス

約 1 分で読めます

何ができるか

AWS Shield は、DDoS (分散型サービス拒否) 攻撃からアプリケーションを保護するマネージドサービスです。Shield Standard は全 AWS アカウントに無料で自動適用され、一般的な DDoS 攻撃を防御します。Shield Advanced は高度な攻撃検出、リアルタイム通知、DDoS レスポンスチーム (DRT) のサポートを提供します。

どのような場面で使うか

Web サイトや API の DDoS 保護、CloudFront や ALB の前段での攻撃緩和、ゲームサーバーの可用性確保、金融サービスのインフラ保護などに利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

ビルの警備システムに例えられます。Standard は基本的な防犯カメラと施錠 (自動防御) で、Advanced は 24 時間警備員 (DRT) が常駐し、高度な侵入検知システムと保険 (コスト保護) が付いたプランです。

Shield とは

AWS Shield は DDoS 攻撃に対する防御サービスです。Shield Standard は全 AWS アカウントに自動的に適用され、追加料金なしでネットワーク層 (L3) とトランスポート層 (L4) の一般的な DDoS 攻撃を防御します。より高度な保護が必要な場合は Shield Advanced を有効化します。

Shield Advanced の機能

Shield Advanced はアプリケーション層 (L7) の攻撃検出、リアルタイムの攻撃メトリクス、AWS DDoS レスポンスチーム (DRT) への 24 時間アクセスを提供します。DDoS 攻撃によるスケーリングで発生した追加コスト (EC2、ELB、CloudFront、Route 53) のクレジットも受けられます。WAF の料金も Shield Advanced に含まれます。

はじめかた

Shield Standard は自動適用のため設定不要です。Shield Advanced は Shield コンソールで有効化し、保護対象のリソース (CloudFront、ALB、Elastic IP など) を指定します。月額 $3,000 + データ転送量の料金が発生し、1 年間のサブスクリプションが必要です。

注意点

  • Shield Standard は全アカウントに無料で自動適用されるため、追加の設定は不要
  • Shield Advanced は月額 $3,000 + データ転送量の料金で、1 年間のコミットメントが必要。小規模サイトにはコスト面で過剰な場合がある

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

IAM Access Analyzer のアイコン IAM Access Analyzer 外部からアクセス可能なリソースと未使用のアクセス権限を検出するサービス AWS Certificate Manager のアイコン AWS Certificate Manager SSL/TLS 証明書のプロビジョニング、管理、デプロイを自動化するサービス AWS Artifact のアイコン AWS Artifact AWS のコンプライアンスレポートと契約書をオンデマンドで取得するサービス AWS CloudHSM のアイコン AWS CloudHSM 専用のハードウェアセキュリティモジュールで暗号鍵を管理するサービス Amazon Cognito のアイコン Amazon Cognito Web・モバイルアプリケーションの認証・認可とユーザー管理を提供するサービス Amazon Detective のアイコン Amazon Detective セキュリティの検出結果を自動分析し、根本原因を調査するサービス AWS Directory Service のアイコン AWS Directory Service AWS でマネージド Active Directory を提供するサービス AWS Firewall Manager のアイコン AWS Firewall Manager AWS Organizations 全体のファイアウォールルールを一元管理するサービス Amazon GuardDuty のアイコン Amazon GuardDuty 機械学習を活用した脅威検出サービス AWS IAM のアイコン AWS IAM AWS リソースへのアクセスを安全に管理するための認証・認可サービス AWS IAM Identity Center のアイコン AWS IAM Identity Center 複数の AWS アカウントと SaaS アプリケーションへのシングルサインオンを提供するサービス Amazon Inspector のアイコン Amazon Inspector EC2 インスタンス、コンテナイメージ、Lambda 関数の脆弱性を自動スキャンするサービス AWS KMS のアイコン AWS KMS データの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス Amazon Macie のアイコン Amazon Macie S3 バケット内の機密データを機械学習で自動検出・保護するサービス AWS Network Firewall のアイコン AWS Network Firewall VPC のネットワークトラフィックをきめ細かく制御するマネージドファイアウォールサービス AWS Payment Cryptography のアイコン AWS Payment Cryptography 決済処理に必要な暗号鍵の管理と暗号操作を提供するマネージドサービス AWS Private Certificate Authority のアイコン AWS Private Certificate Authority プライベート証明書の発行・管理を行うマネージド認証局サービス AWS Resource Access Manager のアイコン AWS Resource Access Manager AWS リソースを組織内の他のアカウントと安全に共有するサービス AWS Secrets Manager のアイコン AWS Secrets Manager データベースパスワードや API キーを安全に管理・自動ローテーションするサービス AWS Security Hub のアイコン AWS Security Hub AWS 環境のセキュリティ状態を一元管理し、ベストプラクティスへの準拠を自動チェックするサービス Amazon Security Lake のアイコン Amazon Security Lake セキュリティデータを OCSF 形式で一元集約するデータレイクサービス AWS Signer のアイコン AWS Signer コードの署名と検証を行い、信頼されたコードのみがデプロイされることを保証するサービス Amazon Verified Permissions のアイコン Amazon Verified Permissions Cedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス AWS WAF のアイコン AWS WAF Web アプリケーションを悪意のあるアクセスから保護するファイアウォールサービス