security
A
信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
AWS Shield Standard vs Advanced — DDoS保護の差異とコスト正当化
AWS Shield StandardとAdvancedのL3/L4/L7保護の範囲、SRTサポート、コスト保護、WAFとの連携、CloudFront/Route53/ALBへの適用、Shield Advancedが必要なケースを解説。
一言結論
Shield AdvancedはL7自動軽減・SRTサポート・DDoS起因のコスト払い戻しの3点でStandardと本質的に異なり、月3,000ドルの投資が正当化されるのは大規模DDoSリスクがあり攻撃時のAWSコスト増加が問題になる金融・ゲーム・Eコマースなどの業種だ。
Shield StandardとAdvancedの比較
| 特徴 | Shield Standard | Shield Advanced |
|---|---|---|
| 料金 | 無料 | $3,000/月/組織 |
| L3/L4保護 | 自動(すべてのAWSリソース) | より包括的な保護 |
| L7保護 | なし | WAFと連携(自動WAFルール追加) |
| DDoS攻撃可視性 | なし | リアルタイムメトリクス・ダッシュボード |
| DRT(DDoS対応チーム)サポート | なし | 24/7 SRT(Shield Response Team)利用可能 |
| コスト保護 | なし | DDoS起因のAWSコスト上昇を払い戻し |
| 対象リソース | 全AWSリソース | EC2, ELB, CloudFront, Route53, Global Accelerator |
Shield Standardの保護内容
すべてのAWSリソースに自動適用(無料):
- ネットワーク/トランスポート層(L3/L4)の一般的なDDoS攻撃を軽減
- SYNフラッド、UDPフラッド、反射増幅攻撃
- AWSのバックボーンネットワークによる大規模なトラフィック吸収Shield Advancedが必要なケース
1. 大規模・高度なDDoS攻撃への対応
通常のShield Standardで軽減できない攻撃:
- 数十Gbps〜数百Gbpsの大規模帯域攻撃
- 状態枯渇攻撃(SYN flood等の高度な手法)
- L7(アプリケーション層)HTTP floods
Shield Advancedは攻撃を検出すると自動でSRT(Shield Response Team)に
通知し、より積極的な軽減措置を適用する2. L7保護とWAFの自動設定
Shield Advanced + WAF統合:
- DDoS攻撃が検出されると、WAFに自動的に軽減ルールが追加される
- 攻撃終了後にルールは自動削除される
- 手動介入なしで攻撃に対応できる3. DDoS攻撃中のコスト増加への対応
コスト保護(AWS Cost Protection):
DDoS攻撃によるEC2/ALB等の自動スケーリングコスト増加を
Shield Advancedが払い戻す
対象コスト:
EC2インスタンス(Auto Scalingでの増加分)
ALBのLCU(Load Balancer Capacity Units)
CloudFrontのデータ転送料金
Route53のクエリ料金4. SRT(Shield Response Team)サポート
24/7のDDoS専門チームへの直接アクセス:
- 攻撃発生時の即時対応支援
- カスタム軽減ルールの作成
- 攻撃後のインシデントレポート
- 事前のリスク評価・設計レビューShield Advancedの設定
# Shield Advancedの有効化(組織単位)
aws shield subscribe
# 保護リソースの登録
aws shield create-protection \
--name my-cloudfront-protection \
--resource-arn arn:aws:cloudfront::123456789012:distribution/xxx
# ALBの保護登録
aws shield create-protection \
--name my-alb-protection \
--resource-arn arn:aws:elasticloadbalancing:ap-northeast-1:123456789012:loadbalancer/app/my-alb/xxxCloudFrontとの組み合わせ
CloudFront + WAF + Shield Advancedの多層防御:
Layer 1: Shield Advanced(L3/L4 DDoS軽減)
Layer 2: CloudFront(グローバルエッジでのトラフィック吸収)
Layer 3: WAF(L7攻撃フィルタリング、レートリミット)
Layer 4: ALB/EC2(オリジンでの最終処理)
CloudFrontがあることで:
- オリジンへのトラフィックが世界中に分散
- 攻撃トラフィックを最近接エッジで吸収
- オリジンのIPアドレスが隠される(直接攻撃を防ぐ)Proactive Engagementの設定
# Proactive Engagement(SRTの自動介入を許可)
aws shield update-proactive-engagement \
--proactive-engagement-status ENABLED
# SRTとの連絡先設定
aws shield associate-proactive-engagement-details \
--emergency-contact-list '[
{
"EmailAddress": "security@example.com",
"PhoneNumber": "+81312345678",
"ContactNotes": "Security On-call"
}
]'Route 53との連携
Shield Advanced + Route 53:
Route 53のホストゾーンをShield Advancedで保護すると
DNSクエリフラッド攻撃に対して追加の保護が提供される
Route 53はShield Standard(無料)でも相当な保護があるが、
Shield Advancedで登録するとコスト保護が適用される試験頻出ポイント
| シナリオ | 回答 |
|---|---|
| L3/L4 DDoS防御(無料) | Shield Standard(自動適用) |
| DDoS中のEC2コスト増加を保護 | Shield Advanced |
| SRT(DDoS専門チーム)に相談 | Shield Advanced |
| WAFと連携したL7自動軽減 | Shield Advanced + WAF |
| $3,000/月の費用対効果は? | 大規模DDoS攻撃時のコスト保護で元が取れる場合あり |
まとめ
Shield Standardはすべてのリソースに無料で適用されるが、大規模・高度なDDoS攻撃への対応、SRTサポート、コスト保護が必要な場合はShield Advancedへの投資が正当化される。特に金融・ゲーム・Eコマースなどの高可用性要件があるシステムでは検討すべきだ。