AWS Shield えーだぶりゅーえす しーるど
DDoS攻撃AWSマネージドセキュリティCloudFrontWAF可用性保護
Shieldって何?
簡単に言うとこんな感じ!
AWSのサービスをDDoS攻撃(大量のリクエストを送りつけてサービスをダウンさせる攻撃)から守る「盾」だよ!無料の基本版と、手厚いサポート付きの有料版があって、Webサービスの「落とされない」を自動で守ってくれるんだ!
AWS Shieldとは
AWS Shieldは、Amazon Web Services(AWS)が提供するマネージド型のDDoS(Distributed Denial of Service)攻撃防御サービスです。DDoS攻撃とは、大量のリクエストや通信を標的のサーバーに送りつけてシステムをダウンさせる攻撃手法で、ECサイトや業務システムのような「常に使えることが重要」なサービスにとって深刻な脅威です。
AWS Shieldは、こうした攻撃を自動的に検知・緩和(ミティゲーション)し、AWSで稼働するアプリケーションの可用性(稼働し続ける能力)を守ります。特別な設定不要で有効になる基本機能と、専門家による手厚い対応が受けられる上位版の2段構えになっており、規模や用途に応じて選択できます。
実務上は「Webサービスを突然落とされるリスクをAWSに丸投げできる保険」として機能します。自前でDDoS対策チームや専用機器を用意する必要がなく、クラウドのインフラレベルで自動防御してくれる点が最大の強みです。
ShieldのプランとできることAWS Shieldの比較
| 項目 | Shield Standard | Shield Advanced |
|---|---|---|
| 料金 | 無料(AWSアカウントに自動適用) | 月額約$3,000〜(年間契約) |
| 主な防御対象 | L3/L4(ネットワーク・トランスポート層)攻撃 | L3/L4 + L7(アプリケーション層)攻撃 |
| 攻撃検知 | 自動(基本的なもの) | 高度な検知・リアルタイム可視化 |
| DDoSレスポンスチーム(DRT) | なし | 24時間365日サポートあり |
| コスト保護 | なし | 攻撃によるAWS利用料の増加分を補填 |
| WAF連携 | なし | AWS WAFと統合してL7防御 |
| 対象リソース | CloudFront・Route 53など自動適用 | EC2・ELB・CloudFront・Route 53・Global Acceleratorなど |
| ダッシュボード | なし | 攻撃履歴・通知・レポートあり |
覚え方:「スタンダードは自動の盾、アドバンストは騎士団付き盾」
ShieldのStandardは「気づいたら守られている」自動防御。Advancedは「専任の警護チーム(DRT)が24時間監視しながら守ってくれる」VIPプランとイメージすると覚えやすいです。
DDoS攻撃の種類と対応レイヤー
| 攻撃の種類 | レイヤー | 例 | Shield対応 |
|---|---|---|---|
| SYN/UDPフラッド | L3/L4 | 大量パケット送信でネットワーク圧迫 | Standard・Advanced両方 |
| HTTPフラッド | L7 | 大量HTTPリクエストでサーバー過負荷 | Advanced(WAF連携) |
| DNSクエリフラッド | L3/L4 | Route 53への大量問い合わせ | Standard・Advanced両方 |
| Slowloris攻撃 | L7 | 接続を長時間占有してサーバーを枯渇 | Advanced(WAF連携) |
歴史と背景
- 2016年11月:AWS Shieldが発表・提供開始。StandardとAdvancedの2層構成でリリース
- 背景:2016年にMiraiボットネットによる史上最大規模のDDoS攻撃が発生し、DynのDNSサービスがダウン。TwitterやNetflixなど多数のサービスに影響が出たことで、クラウド上でのDDoS対策ニーズが急増
- 2017年〜:Shield AdvancedにDRTサポートとコスト保護機能が追加され、エンタープライズ向けに強化
- 2020年〜:AWS WAFとの統合強化、Global Acceleratorへの対応追加
- 2023年〜:Shieldダッシュボードにおけるリアルタイム可視化・自動アプリケーション層ミティゲーション機能が強化され、より自律的な防御が可能に
- 現在:AWSを使うすべてのユーザーにStandardが自動適用。金融・メディア・ECなど可用性が事業継続に直結する業界でAdvancedの採用が進む
関連サービスとの連携・比較
AWS Shieldは単独で動くのではなく、複数のAWSサービスと連携して多層防御を構成します。
他のDDoS対策サービスとの比較
| サービス | 提供元 | 特徴 | AWSとの親和性 |
|---|---|---|---|
| AWS Shield | AWS | AWSネイティブ・Standard無料 | ◎ 完全統合 |
| Cloudflare Magic Transit | Cloudflare | マルチクラウド対応・高性能 | △ 別途設定必要 |
| Azure DDoS Protection | Microsoft | Azure専用 | △ AWS環境では使えない |
| Akamai Prolexic | Akamai | エンタープライズ向け・実績豊富 | △ 別途契約・設定必要 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4987 | TCPのSYNフラッド攻撃の手法と対策について記述 |
| RFC 3882 | DDoS攻撃に対するネットワークレベルのフィルタリング手法 |
| RFC 5635 | BGPベースのリモートトリガードブラックホールフィルタリング(DDoS緩和技術) |
関連用語
- AWS WAF — L7(アプリケーション層)のトラフィックをルールでフィルタリングするWebアプリケーションファイアウォール
- DDoS攻撃 — 複数の端末から標的に大量リクエストを送りサービスをダウンさせる攻撃手法
- Amazon CloudFront — AWSのCDNサービス。ShieldのエッジでのDDoS吸収に活用される
- Amazon Route 53 — AWSのDNSサービス。Shield Standardが自動適用されDNSフラッド攻撃を防御
- Elastic Load Balancing(ELB) — トラフィックを分散するロードバランサー。Shield Advancedの保護対象
- ファイアウォール — ネットワークの出入口でトラフィックを制御するセキュリティの基本機構
- 可用性(Availability) — システムが継続して稼働できる度合い。DDoS対策の主目的
- ゼロトラスト — 「何も信頼しない」前提のセキュリティ設計思想。Shieldも多層防御の一部として機能する