COLUMN

AWS Shieldとは?AWS WAFとの違いやAdvancedの使い方を解説

【クラウド初心者でもわかる!】AWS、Azure移行のためのセキュリティ対策を徹底解説!資料ダウンロードはこちら!

AWS Shieldとは、常時モニタリングや通知・DDoS攻撃の保護をしてくれるマネージド型サービスです。

DDos攻撃の備えをするためにAWS Shieldの導入を検討しているけれど、無料のAWS Shield Standardと有料のAWS Shield Advancedがどのように違うのか分からない方もいるでしょう。

そこで本記事では、AWS Shieldの概要やプランごとの特徴・使い方を解説します。AWS WAFなど、AWS Shield以外のサービスについても解説していますので、AWSを利用中でDDos攻撃の対策を検討している方は参考にしてください。

1.AWS Shieldで防げるDDos攻撃とは

DDos攻撃とは、サーバーなどのWebサービスが利用するリソースに高い負荷をかけたり、ソフトウェアの脆弱性を利用してサービスに例外処理をさせたりするなどしてサービスを提供できなくする攻撃です。

そもそもDDoSは「Distributed Denial of Service attack」の略で、分散型サービス拒否攻撃という意味です。分散型というだけあり、複数のパソコンで1台のサーバーを狙う手法で大量の不正パケットを送り込んできます。

DDos攻撃を受けると標的となったサーバーは、サーバーダウンに追い込まれネットサービスの遮断により企業に大きな損失を与えます。複数台での攻撃のため、特定のIPアドレスからのリクエストを遮断するといった単純な対処では防御ができないのです。

さらに最近ではDDoS攻撃の停止と引き換えに金銭を要求する「ランサムDDoS」という攻撃形態も登場しています。ランサムDDoSは、攻撃者が利益を得る手段として使われることが問題になっています。

従来のDDoS攻撃は、攻撃者の腕試しやいたずら目的で行われることがほとんどでした。しかしランサムDDoSの登場に加えて、オンラインで流通できる暗号資産の登場で攻撃者が容易に資金を稼げるようになってしまったのです。そのため以前からあるDDos攻撃は実利を得たい者による攻撃が増え、年々増加傾向にあります。

【クラウド初心者でもわかる!】AWS、Azure移行のためのセキュリティ対策を徹底解説!資料ダウンロードはこちら!

2.AWS Shieldとは

AWS ShieldとはDDoS攻撃から保護するマネージド型サービスで、常時モニタリングや通知・攻撃の保護をしてくれるといった特徴があります。

万が一DDoS攻撃を受けたとしても、アプリケーションがダウンしたり応答が遅くなったりする被害を最小限に抑えるための備えとして役に立ちます。

AWS ShieldのプランはAWS Shield StandardとAWS Shield Advancedの2種類があり、AWS Shield Standardは無料で使用可能です。プランによって利用できる内容が異なりますが、より手厚いサポートを受けたいのであればAWS Shield Advancedがよいでしょう。

この章では、AWS Shieldのプラン概要やAWS WAFとの違い、料金について紹介していきます。AWS Shieldの理解を深めるためにも、参考にしてください。

2-1.AWS ShieldとAWS WAFの違い

AWSのサービスでは、AWS Shieldに似たサービスとしてAWS WAFがよく挙げられます。

具体的な違いは、次のとおりです。

AWS Shield AWS WAF
防御対象レイヤー
  • レイヤー3
  • レイヤー4
  • レイヤー7(AWS Shield Advancedのみ)
  • レイヤー7
対象プロトコル
  • IP
  • ARPやRARP・ICMP
  • TCPやUDP
  • HTTPやHTTPS
  • ETP
  • DNSなど
  • HTTPやHTTPS
  • ETP
  • DNSなど
対象攻撃
  • DDos攻撃
  • DDos攻撃
  • SQLインジェクション
  • クロスサイトスクリプティング
  • など一般的なサイバー攻撃
サービスの目的 DDos攻撃からの保護 脆弱性を狙った攻撃を保護

上表のとおりどちらもDDos攻撃から保護してくれますが、守備範囲が異なります。

AWS Shieldだけでは他の脆弱性を狙った攻撃を保護できません。またAWS WAFだけ導入してもレイヤー3やレイヤー4の攻撃に対しては防御できないのです。

そのためAWS ShieldとAWS WAFどちらも入れておくことで、よりDDos攻撃からサービスを守ることができます。

2-2.AWS Shield Standardとは

AWS Shield Standardは、追加料金なしでDDoS攻撃への保護を受けられるサービスです。

主なサービスは以下のとおりです。

  • レイヤー3とレイヤー4のDDoS攻撃の防御
  • トラフィックをリアルタイムでモニタリングし悪意のあるものを検知
  • 攻撃を自動で緩和

AWS Shield StandardはWebサイトやWebアプリケーションを標的とした、ネットワークレイヤー(レイヤー3)や転送レイヤー(レイヤー4)に対するDDoS攻撃を防御します。AWSにある全サービスに対応していますが、特にAmazon CloudFrontとAmazon Route 53が実行するアプリケーションへの攻撃に効果的です。

そのほか、リアルタイムにAWSへのトラフィックを検査して悪意のあるものを検知してくれたり、自動化された緩和技術がAWS Shield Standardに組み込まれているので、自動的にDDoS攻撃を緩和してくれたりします。

そのためAWS Shield Standardを利用していれば攻撃されても、レイテンシーの影響もなくサービスを利用できるのです。

一方AWS Shield Standard単体では、レイヤー7のDDoS攻撃を防御してくれません。レイヤー7のDDoS攻撃に対処するには、前章で紹介したAWS WAFをあわせて利用するとよいでしょう。

2-3.AWS Shield Advancedとは

AWS Shield Standard以上に高度な備えがほしい場合は、AWS Shield Advancedを検討しましょう。

AWS Shield Advancedの、主なサービスは以下のとおりです。

  • より高度で大規模なDDoS攻撃を自動緩和
  • 一部のユーザーはレイヤー7の監視サポートをつけられる
  • 攻撃が検知されたら数分で通知される
  • 攻撃履歴の保管
  • コスト保証

AWS Shield Standardに比べAWS Shield Advancedは、より高度な緩和対策機能とルーティング機能を搭載しており、大規模で高度なDDoS攻撃であっても自動緩和ができます。

具体的には、以下のサービスで実行するアプリケーションへの攻撃を自動緩和します。

  • Amazon Elastic Compute Cloud(EC2)
  • Elastic Load Balancing(ELB)
  • Amazon CloudFront
  • AWS Global Accelerator
  • Amazon Route 53

上記サービスに加え、Amazon CloudFront、Amazon Route 53をエンドポイントとしていれば、そこから接続したバックエンド側のリソースがAWSの外にあったとしても、AWS Shield Advancedによる保護を受けることができます。

また、AWS Shield Standardと大きく違う点は、一部のユーザーはサポートが受けられる点です。ビジネスサポートまたはエンタープライズサポートに加入していれば、24時間365日レイヤー7を監視・攻撃緩和のサポートが受けられます。

そのほか攻撃が検知されたら数分で通知をしてくれるだけでなく、13カ月間の攻撃履歴を保管する機能もあります。

さらに万が一、DDoS攻撃の原因によってコンピューティングリソースを消費したとしても、AWS Shield Advancedであれば保証してくれます。リソース消費分に対して、AWS Shieldサービスクレジットが提供されるため、企業負担も軽減されるといったメリットもあるのです。

2-4.AWS Shieldの利用料金

AWS Shield Standardの利用に追加の費用はかかりません。

AWS Shield Advancedは、定額のサブスクリプション費用に加え、従量制のデータ転送使用料金がかかります。

AWS Shield Advancedは2023年9月現在、1年ごとの契約で3,000USDです。詳しくは公式サイトの料金表をご覧ください。

【クラウド初心者でもわかる!】AWS、Azure移行のためのセキュリティ対策を徹底解説!資料ダウンロードはこちら!

3.AWS Shield Advancedの使い方

本章ではAWS Shield Advancedの使い方を解説します。AWS Shield Standardにおいては、全てのAWSサービスで自動的に利用可能なため、設定等は不要です。

AWS Shield Advancedの導入を検討している方は、ぜひ参考にしてください。

3-1.AWS Shield Advancedをサブスクリプション契約

始めにAWS Shield Advancedをサブスクリプション契約しましょう。

「AWS Management Console」にサインインし「WAF&Shield」を選びます。左側AWS Shieldの直下にある「Getting started」を選択し、ページを切り替えます。

「Subscribe to Shield Advanced」をクリックすると、契約条件が記載されたページが開くので、確認しましょう。確認ができたらチェックボックスにひとつずつチェックを入れ「Subscribe to Shield Advanced」をクリックします。

これで、サブスクリプション契約が完了です。そのまま保護リソースの追加ができる画面へ移動ができるため「Protected resources」を選択し、そのまま設定に進みましょう。

3-2.保護するリソースを追加

「Choose resources to protect with Shield Advanced」のページが開かれると、リージョンやリソースタイプの選択ができる画面が表示されます。このページがでたら、保護したいリージョンとリソースタイプを選んで「Load resources」をクリックしてください。

候補が一覧で表示されたら、保護したいリソースを選択し「Protect with Shield Advanced」を押下すれば、保護するリソースの追加は完了です。

3-3.アプリケーションレイヤー(レイヤー 7)DDoS保護をAWS WAFで設定

続いて、レイヤー7のDDoS攻撃の保護設定をしていきます。

以下の設定は複数のリージョンを設定した場合、一つずつ設定が必要なので注意してください。

「Configure layer 7 DDoS protections」のページを開くと、Web ACLに関連付けられていないリソースが表示されます。関連付けするリソースを選択しましょう。

レートベースのルールがされていないリソースに関しては、ルールを追加して「Add rate limit rule」をクリックします。

「Add rate limit rule」の画面が表示されたら、レートの制限とルールアクションの設定をして進みます。

進むと「Automatic application layer DDoS mitigation」の画面に移動します。この画面では、DDoS自動緩和の設定ができるので、設定をしていきましょう。「Enable」を選択するだけで、有効になるので忘れずに行ってください。

NEXTをクリックすると、次のヘルスベースの検出設定画面に移ります。

3-4.ヘルスベースの検出を設定

「Associated Health Check」の画面が開いたら、ヘルスベースの検出設定ができます。ヘルスベースの検出設定は、事前にRoute 53コンソールにてヘルスチェックの設定が必要です。もしRoute 53での設定が済んでいない場合は、先にやっておきましょう。

ヘルスチェックのIDを入力したら、NEXTで次の設定に進みます。

3-5.アラームと通知を設定

アラームと通知の設定をするためには、通知の対象であるSNSトピックを選択します。

SNSトピックはカスタマイズも可能なため、必要なユーザーのみに通知をすることも可能です。適宜設定をするようにしてください。

SNSトピックの選択が完了したら、アラームと通知の設定は完了です。そのままNEXTで進みましょう。

3-6.保護設定を確認して終了

「Review and configure DDoS mitigation and visibility」のページに移動すると、保護設定で選択したものが一覧で表示されます。

確認し問題なければ「Finish configuration」をクリックします。これでAWS Shield Advancedの設定は完了です。

また解説した設定方法は、2023年9月現在のものです。随時変更される可能性もあるため、詳細は下記公式ページを参照してください。

AWS Shield Advancedの開始方法

【クラウド初心者でもわかる!】AWS、Azure移行のためのセキュリティ対策を徹底解説!資料ダウンロードはこちら!

4.脅威の検知ならAmazon GuardDutyもある

AWS Shieldの他にも、AWSにはさまざまな情報セキュリティ対策のサービスがあります。脅威の検知という点では、DDoS攻撃以外のものにも対応した「Amazon GuardDuty」があります。Amazon GuardDutyは、AWS環境内の予期しない振る舞いや悪意のある振る舞いを識別できるサービスです。

さまざまなログに加え、悪因のあるIPアドレスやドメインのリストなど、脅威に関する知見のデータを、機械学習を通じてモニタリングします。たとえば、EC2インスタンスがマルウェアなどのマイニングに不当に利用されている場合に検出できます。AWSアカウントの動作も監視しており、これまで使用されていなかったリージョンへのインスタンス展開や、パスワードポリシーの強度を下げた変更など、異常と思われる命令や兆候を探ります。

Amazon GuardDutyは、あくまでも検知をしてくれるサービスです。そのため他のAWSサービスと連携をして、自社で対処するようにしましょう。

またリージョンごとに設定が必要なため、複数のリージョンを使用しているユーザーはリージョンごとに設定が必要です。有効化するだけで設定が可能ですので、幅広い脅威を検知するためにも導入を検討してみてもよいでしょう。

【クラウド初心者でもわかる!】AWS、Azure移行のためのセキュリティ対策を徹底解説!資料ダウンロードはこちら!

5.DDos攻撃への対策はぜひNTT東日本にご相談ください

DDoS攻撃への対策がしっかりできているかお悩みの方は、ぜひNTT東日本にご相談ください。

NTT東日本のセキュリティチェックでは、現状のAWSの利用状況を確認しクラウド環境のチェックができます。AWS資格保有者を100名以上専任担当として配置しており、チェックした内容をより分かりやすく説明・改善策をご提示いたします。

NTT東日本のセキュリティチェックを利用すれば、DDoS攻撃への対策方法はもちろん、脆弱性のチェックや設定チェックが可能です。

AWSへのDDoS攻撃を対策したい方は、ぜひNTT東日本のセキュリティチェックをご活用ください。

NTT東日本のセキュリティチェック

6.DDoS攻撃など、脅威に対するAWSの備えに関するまとめ

DDos攻撃からAWSサービスを守るためには、AWS Shieldなどのサービスを組み合わせて備える必要があります。

AWS Shield Standardは、費用がかからず自動で設定されていますがAWS Shield Standardだけではレイヤー7の保護ができずDDos攻撃の対策としては十分ではありません。もしもAWS Shield Standardを利用するのであれば、AWS WAFを併用しレイヤー7の保護に備えましょう。

より高度で大規模なDDoS攻撃に対する備えを検討しているのであれば、AWS Shield Advancedを導入するのがおすすめです。AWS Shield Advancedでは、脅威を検知したらすぐに通知してくれる機能やDDoS攻撃によるコスト保証、さらには24時間365日サポートもしてくれます。

DDoS攻撃の備えをすることで、サーバーダウンを食い止め企業の損失を抑えられます。自社の備えが十分なのか不安な方は、ぜひNTT東日本のセキュリティチェックをご活用ください。

NTT東日本のセキュリティチェック

セキュリティクラウドチェック for AWS
資料ダウンロードフォーム

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を

1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。