COLUMN

2023.10.18 ｜ Writer：NTT東日本　アベ

AWS Shieldとは？AWS WAFとの違いやAdvancedの使い方を解説

AWS Shieldとは、常時モニタリングや通知・DDoS攻撃の保護をしてくれるマネージド型サービスです。

DDos攻撃の備えをするためにAWS Shieldの導入を検討しているけれど、無料のAWS Shield Standardと有料のAWS Shield Advancedがどのように違うのか分からない方もいるでしょう。

そこで本記事では、AWS Shieldの概要やプランごとの特徴・使い方を解説します。AWS WAFなど、AWS Shield以外のサービスについても解説していますので、AWSを利用中でDDos攻撃の対策を検討している方は参考にしてください。

AWS環境のセキュリティ対策にお悩みの方、AWSへの移行を検討しているがセキュリティ面が不安な方はお気軽にお問い合わせください。

1.AWS Shieldで防げるDDos攻撃とは
2.AWS Shieldとは: 2-1.AWS ShieldとAWS WAFの違い; 2-2.AWS Shield Standardとは; 2-3.AWS Shield Advancedとは; 2-4.AWS Shieldの利用料金
3.AWS Shield Advancedの使い方: 3-1.AWS Shield Advancedをサブスクリプション契約; 3-2.保護するリソースを追加
3-3.アプリケーションレイヤー（レイヤー 7）DDoS保護をAWS WAFで設定: 3-4.ヘルスベースの検出を設定; 3-5.アラームと通知を設定; 3-6.保護設定を確認して終了
4.脅威の検知ならAmazon GuardDutyもある
5.DDos攻撃への対策はぜひNTT東日本にご相談ください
6.DDoS攻撃など、脅威に対するAWSの備えに関するまとめ

1.AWS Shieldで防げるDDos攻撃とは

DDos攻撃とは、サーバーなどのWebサービスが利用するリソースに高い負荷をかけたり、ソフトウェアの脆弱性を利用してサービスに例外処理をさせたりするなどしてサービスを提供できなくする攻撃です。

そもそもDDoSは「Distributed Denial of Service attack」の略で、分散型サービス拒否攻撃という意味です。分散型というだけあり、複数のパソコンで1台のサーバーを狙う手法で大量の不正パケットを送り込んできます。

DDos攻撃を受けると標的となったサーバーは、サーバーダウンに追い込まれネットサービスの遮断により企業に大きな損失を与えます。複数台での攻撃のため、特定のIPアドレスからのリクエストを遮断するといった単純な対処では防御ができないのです。

さらに最近ではDDoS攻撃の停止と引き換えに金銭を要求する「ランサムDDoS」という攻撃形態も登場しています。ランサムDDoSは、攻撃者が利益を得る手段として使われることが問題になっています。

従来のDDoS攻撃は、攻撃者の腕試しやいたずら目的で行われることがほとんどでした。しかしランサムDDoSの登場に加えて、オンラインで流通できる暗号資産の登場で攻撃者が容易に資金を稼げるようになってしまったのです。そのため以前からあるDDos攻撃は実利を得たい者による攻撃が増え、年々増加傾向にあります。

AWS環境のセキュリティ対策にお悩みの方、AWSへの移行を検討しているがセキュリティ面が不安な方はお気軽にお問い合わせください。

2.AWS Shieldとは

AWS ShieldとはDDoS攻撃から保護するマネージド型サービスで、常時モニタリングや通知・攻撃の保護をしてくれるといった特徴があります。

万が一DDoS攻撃を受けたとしても、アプリケーションがダウンしたり応答が遅くなったりする被害を最小限に抑えるための備えとして役に立ちます。

AWS ShieldのプランはAWS Shield StandardとAWS Shield Advancedの2種類があり、AWS Shield Standardは無料で使用可能です。プランによって利用できる内容が異なりますが、より手厚いサポートを受けたいのであればAWS Shield Advancedがよいでしょう。

この章では、AWS Shieldのプラン概要やAWS WAFとの違い、料金について紹介していきます。AWS Shieldの理解を深めるためにも、参考にしてください。

2-1.AWS ShieldとAWS WAFの違い

AWSのサービスでは、AWS Shieldに似たサービスとしてAWS WAFがよく挙げられます。

具体的な違いは、次のとおりです。

	AWS Shield	AWS WAF
防御対象レイヤー	レイヤー3 レイヤー4 レイヤー7(AWS Shield Advancedのみ)	レイヤー7
対象プロトコル	IP ARPやRARP・ICMP TCPやUDP HTTPやHTTPS ETP DNSなど	HTTPやHTTPS ETP DNSなど
対象攻撃	DDos攻撃	DDos攻撃 SQLインジェクションクロスサイトスクリプティングなど一般的なサイバー攻撃
サービスの目的	DDos攻撃からの保護	脆弱性を狙った攻撃を保護

上表のとおりどちらもDDos攻撃から保護してくれますが、守備範囲が異なります。

AWS Shieldだけでは他の脆弱性を狙った攻撃を保護できません。またAWS WAFだけ導入してもレイヤー3やレイヤー4の攻撃に対しては防御できないのです。

そのためAWS ShieldとAWS WAFどちらも入れておくことで、よりDDos攻撃からサービスを守ることができます。

2-2.AWS Shield Standardとは

AWS Shield Standardは、追加料金なしでDDoS攻撃への保護を受けられるサービスです。

主なサービスは以下のとおりです。

レイヤー3とレイヤー4のDDoS攻撃の防御
トラフィックをリアルタイムでモニタリングし悪意のあるものを検知
攻撃を自動で緩和

AWS Shield StandardはWebサイトやWebアプリケーションを標的とした、ネットワークレイヤー（レイヤー３）や転送レイヤー（レイヤー４）に対するDDoS攻撃を防御します。AWSにある全サービスに対応していますが、特にAmazon CloudFrontとAmazon Route 53が実行するアプリケーションへの攻撃に効果的です。

そのほか、リアルタイムにAWSへのトラフィックを検査して悪意のあるものを検知してくれたり、自動化された緩和技術がAWS Shield Standardに組み込まれているので、自動的にDDoS攻撃を緩和してくれたりします。

そのためAWS Shield Standardを利用していれば攻撃されても、レイテンシーの影響もなくサービスを利用できるのです。

一方AWS Shield Standard単体では、レイヤー7のDDoS攻撃を防御してくれません。レイヤー7のDDoS攻撃に対処するには、前章で紹介したAWS WAFをあわせて利用するとよいでしょう。

2-3.AWS Shield Advancedとは

AWS Shield Standard以上に高度な備えがほしい場合は、AWS Shield Advancedを検討しましょう。

AWS Shield Advancedの、主なサービスは以下のとおりです。

より高度で大規模なDDoS攻撃を自動緩和
一部のユーザーはレイヤー7の監視サポートをつけられる
攻撃が検知されたら数分で通知される
攻撃履歴の保管
コスト保証

AWS Shield Standardに比べAWS Shield Advancedは、より高度な緩和対策機能とルーティング機能を搭載しており、大規模で高度なDDoS攻撃であっても自動緩和ができます。

具体的には、以下のサービスで実行するアプリケーションへの攻撃を自動緩和します。

Amazon Elastic Compute Cloud（EC2）
Elastic Load Balancing（ELB）
Amazon CloudFront
AWS Global Accelerator
Amazon Route 53

上記サービスに加え、Amazon CloudFront、Amazon Route 53をエンドポイントとしていれば、そこから接続したバックエンド側のリソースがAWSの外にあったとしても、AWS Shield Advancedによる保護を受けることができます。

また、AWS Shield Standardと大きく違う点は、一部のユーザーはサポートが受けられる点です。ビジネスサポートまたはエンタープライズサポートに加入していれば、24時間365日レイヤー7を監視・攻撃緩和のサポートが受けられます。

そのほか攻撃が検知されたら数分で通知をしてくれるだけでなく、13カ月間の攻撃履歴を保管する機能もあります。

さらに万が一、DDoS攻撃の原因によってコンピューティングリソースを消費したとしても、AWS Shield Advancedであれば保証してくれます。リソース消費分に対して、AWS Shieldサービスクレジットが提供されるため、企業負担も軽減されるといったメリットもあるのです。

2-4.AWS Shieldの利用料金

AWS Shield Standardの利用に追加の費用はかかりません。

AWS Shield Advancedは、定額のサブスクリプション費用に加え、従量制のデータ転送使用料金がかかります。

AWS Shield Advancedは2023年9月現在、1年ごとの契約で3,000USDです。詳しくは公式サイトの料金表をご覧ください。

AWS環境のセキュリティ対策にお悩みの方、AWSへの移行を検討しているがセキュリティ面が不安な方はお気軽にお問い合わせください。

3.AWS Shield Advancedの使い方

本章ではAWS Shield Advancedの使い方を解説します。AWS Shield Standardにおいては、全てのAWSサービスで自動的に利用可能なため、設定等は不要です。

AWS Shield Advancedの導入を検討している方は、ぜひ参考にしてください。

3-1.AWS Shield Advancedをサブスクリプション契約

始めにAWS Shield Advancedをサブスクリプション契約しましょう。

「AWS Management Console」にサインインし「WAF&Shield」を選びます。左側AWS Shieldの直下にある「Getting started」を選択し、ページを切り替えます。

「Subscribe to Shield Advanced」をクリックすると、契約条件が記載されたページが開くので、確認しましょう。確認ができたらチェックボックスにひとつずつチェックを入れ「Subscribe to Shield Advanced」をクリックします。

これで、サブスクリプション契約が完了です。そのまま保護リソースの追加ができる画面へ移動ができるため「Protected resources」を選択し、そのまま設定に進みましょう。

3-2.保護するリソースを追加

「Choose resources to protect with Shield Advanced」のページが開かれると、リージョンやリソースタイプの選択ができる画面が表示されます。このページがでたら、保護したいリージョンとリソースタイプを選んで「Load resources」をクリックしてください。

候補が一覧で表示されたら、保護したいリソースを選択し「Protect with Shield Advanced」を押下すれば、保護するリソースの追加は完了です。

3-3.アプリケーションレイヤー（レイヤー 7）DDoS保護をAWS WAFで設定

続いて、レイヤー7のDDoS攻撃の保護設定をしていきます。

以下の設定は複数のリージョンを設定した場合、一つずつ設定が必要なので注意してください。

「Configure layer 7 DDoS protections」のページを開くと、Web ACLに関連付けられていないリソースが表示されます。関連付けするリソースを選択しましょう。

レートベースのルールがされていないリソースに関しては、ルールを追加して「Add rate limit rule」をクリックします。

「Add rate limit rule」の画面が表示されたら、レートの制限とルールアクションの設定をして進みます。

進むと「Automatic application layer DDoS mitigation」の画面に移動します。この画面では、DDoS自動緩和の設定ができるので、設定をしていきましょう。「Enable」を選択するだけで、有効になるので忘れずに行ってください。

NEXTをクリックすると、次のヘルスベースの検出設定画面に移ります。

3-4.ヘルスベースの検出を設定

「Associated Health Check」の画面が開いたら、ヘルスベースの検出設定ができます。ヘルスベースの検出設定は、事前にRoute 53コンソールにてヘルスチェックの設定が必要です。もしRoute 53での設定が済んでいない場合は、先にやっておきましょう。

ヘルスチェックのIDを入力したら、NEXTで次の設定に進みます。

3-5.アラームと通知を設定

アラームと通知の設定をするためには、通知の対象であるSNSトピックを選択します。

SNSトピックはカスタマイズも可能なため、必要なユーザーのみに通知をすることも可能です。適宜設定をするようにしてください。

SNSトピックの選択が完了したら、アラームと通知の設定は完了です。そのままNEXTで進みましょう。

3-6.保護設定を確認して終了

「Review and configure DDoS mitigation and visibility」のページに移動すると、保護設定で選択したものが一覧で表示されます。

確認し問題なければ「Finish configuration」をクリックします。これでAWS Shield Advancedの設定は完了です。

また解説した設定方法は、2023年9月現在のものです。随時変更される可能性もあるため、詳細は下記公式ページを参照してください。

AWS Shield Advancedの開始方法

4.脅威の検知ならAmazon GuardDutyもある

AWS Shieldの他にも、AWSにはさまざまな情報セキュリティ対策のサービスがあります。脅威の検知という点では、DDoS攻撃以外のものにも対応した「Amazon GuardDuty」があります。Amazon GuardDutyは、AWS環境内の予期しない振る舞いや悪意のある振る舞いを識別できるサービスです。

さまざまなログに加え、悪因のあるIPアドレスやドメインのリストなど、脅威に関する知見のデータを、機械学習を通じてモニタリングします。たとえば、EC2インスタンスがマルウェアなどのマイニングに不当に利用されている場合に検出できます。AWSアカウントの動作も監視しており、これまで使用されていなかったリージョンへのインスタンス展開や、パスワードポリシーの強度を下げた変更など、異常と思われる命令や兆候を探ります。

Amazon GuardDutyは、あくまでも検知をしてくれるサービスです。そのため他のAWSサービスと連携をして、自社で対処するようにしましょう。

またリージョンごとに設定が必要なため、複数のリージョンを使用しているユーザーはリージョンごとに設定が必要です。有効化するだけで設定が可能ですので、幅広い脅威を検知するためにも導入を検討してみてもよいでしょう。

AWS環境のセキュリティ対策にお悩みの方、AWSへの移行を検討しているがセキュリティ面が不安な方はお気軽にお問い合わせください。

5.DDos攻撃への対策はぜひNTT東日本にご相談ください

DDoS攻撃への対策がしっかりできているかお悩みの方は、ぜひNTT東日本にご相談ください。

NTT東日本のセキュリティチェックでは、現状のAWSの利用状況を確認しクラウド環境のチェックができます。AWS資格保有者を100名以上専任担当として配置しており、チェックした内容をより分かりやすく説明・改善策をご提示いたします。

NTT東日本のセキュリティチェックを利用すれば、DDoS攻撃への対策方法はもちろん、脆弱性のチェックや設定チェックが可能です。

AWSへのDDoS攻撃を対策したい方は、ぜひNTT東日本のセキュリティチェックをご活用ください。

NTT東日本のセキュリティチェック

6.DDoS攻撃など、脅威に対するAWSの備えに関するまとめ

DDos攻撃からAWSサービスを守るためには、AWS Shieldなどのサービスを組み合わせて備える必要があります。

AWS Shield Standardは、費用がかからず自動で設定されていますがAWS Shield Standardだけではレイヤー7の保護ができずDDos攻撃の対策としては十分ではありません。もしもAWS Shield Standardを利用するのであれば、AWS WAFを併用しレイヤー7の保護に備えましょう。

より高度で大規模なDDoS攻撃に対する備えを検討しているのであれば、AWS Shield Advancedを導入するのがおすすめです。AWS Shield Advancedでは、脅威を検知したらすぐに通知してくれる機能やDDoS攻撃によるコスト保証、さらには24時間365日サポートもしてくれます。

DDoS攻撃の備えをすることで、サーバーダウンを食い止め企業の損失を抑えられます。自社の備えが十分なのか不安な方は、ぜひNTT東日本のセキュリティチェックをご活用ください。

NTT東日本のセキュリティチェック

セキュリティクラウドチェック for AWS
資料ダウンロードフォーム