T1-Q14: コスト効率のDDoS耐性はShield Advanced直行ではなくCloudFront + ELB + Auto Scalingから
DDoS対策問題でShield Advancedを選んだ誤答を、コスト効率とアーキテクチャ耐性の観点で切り直す。
AWS SCS-C03 DDoS CloudFront ELB
対象誤答: T1 Q14 DDOS COST CLOUDFRONT ELB
あなたの選択と正答
| 観点 | 内容 |
|---|---|
| あなたの選択 | AWS Shield Advanced に加入し、SRT が DDoS イベント時にリソースを管理できるようにする。 |
| 正答 | EC2をAuto Scalingグループに配置しELBの背後に置く。CloudFrontを使い、S3をオリジンとして静的コンテンツを配信する。 |
| 誤答の引力 | DDoSという単語だけで有料のShield Advancedに飛んでいる。問題の制約は『最もコスト効率よく』。 |
| 判断軸 | まずマネージドな吸収面を増やす。静的はCloudFront + S3、動的はELB + Auto Scaling。Shield Advancedは高度な保護やSRT/コスト保護が明記された時に上げる。 |
この問題の芯
T1-Q14 は、EC2 上のWebアプリと S3 静的コンテンツを、DDoS に耐える構成へ「最もコスト効率よく」する問題。あなたは Shield Advanced を選んだ。正答は ELB + Auto Scaling + CloudFront + S3。
DDoS問題は「対策の強さ」だけでなく「制約」を読む
Shield Advanced は強い。ただし有料サービスで、SRTサポートや高度な検出、保護対象の管理が必要な時に選ぶ。問題が「最もコスト効率よく」と言っている場合、まず標準のAWSマネージド基盤で吸収できる構成を作る。
| 対象 | コスト効率の良い初手 |
|---|---|
| 静的コンテンツ | S3をオリジンにCloudFront配信 |
| EC2 Webアプリ | ELB背後に置き、Auto Scalingで水平分散 |
| L7攻撃のルール制御 | AWS WAF |
| 高度なDDoS運用/サポート | Shield Advanced |
なぜCloudFront + ELBが効くか
CloudFront はエッジで静的コンテンツを配信し、オリジンへの到達量を減らす。ELB は単一EC2へトラフィックが集中するリスクを減らし、Auto Scaling と組み合わせて処理能力を伸ばせる。
問題が「堅牢」だけなら Shield Advanced も候補になる。しかし「最もコスト効率の良い方法」という制約があるため、アーキテクチャの基本耐性を先に選ぶ。
次回の秒殺ルール
DDoS + cost-effective = CloudFront / Route 53 / ELB / Auto Scaling / WAF を先に見る。
Shield Advanced は「SRT」「DDoS cost protection」「高度な検出」「すでに攻撃を受けて高度運用が必要」などが明記された時に選ぶ。
仕上げの一問一答
- この問題の主語は何か: CloudFront
- 先に除外する選択肢: 問題文の主語と違うサービス責務に寄っているもの。
- 最後に確認する語: 「最もコスト効率」「組織全体」「未指定を拒否」「監査」「自動有効化」などの制約語。