【グローバルサービス】
Shield は、DDoS攻撃(分散型サービス不能攻撃)を軽減するマネージド型の防御サービスです。
常時オンでトラフィックを監視し、L3/L4/L7層の攻撃(SYN Flood、UDPリフレクション、HTTPフラッドなど)を自動的に検知・DDoS軽減 します。
標準で提供される Shield Standard は、すべてのAWSユーザーに自動的に付与されており、CloudFront、Route 53、Global Accelerator などのエッジサービスを保護します。上位版の Shield Advanced を利用すると、ALB(Application Load Balancer)、NLB(Network Load Balancer)、 EIP(Elastic IP) などのリソースも保護対象に追加できます。
高度な検知と軽減機能に加え、AWSの専門チームである DRT(DDoS Response Team) による24時間365日のサポートを受けることができます。
Cost Protection(コスト保護) 機能により、攻撃によって一時的にスケーリングコストが増加した場合でも、その費用が補償されます。
WAF(Web Application Firewall) との統合によって、アプリケーション層(L7)のリクエストパターン分析やレート制御を組み合わせた多層防御を構築できます。
運用面では、CloudWatch Metrics を利用してトラフィックの挙動や防御状況を可視化できるほか、Firewall Manager を活用することで、複数アカウント間にわたる Shield/WAF ポリシーを一元的に管理することが可能です。
重要用語
関連サービス
ユースケース
| DDoS攻撃からの自動防御 | CloudFrontやRoute 53、ALBなどに対するL3/L4レベルのDDoS攻撃から自動的に防御し、サービスの継続性を高める(Shield Standard)。 |
| 重要システムのDDoS対策強化 | 決済サイトや大規模サービスに対してShield Advancedを適用し、24/7のDDoS対策サポートやコスト保護機能を利用する。 |
| 運用監視との連携 | DDoS攻撃イベントをCloudWatchと連携し、アラームやダッシュボードで攻撃状況を可視化してインシデント対応に活用する。 |
ベストプラクティス
| Shield Advancedの導入検討 | ビジネスクリティカルなアプリではShield AdvancedでDDoS保護レベルを高める。 |
| 保護リソースの明示的登録 | ALB、CloudFront、Route 53など保護対象リソースをShieldに登録する。 |
| 攻撃レポートの監視 | 攻撃イベントの通知をSNSなどで受信し、インシデント対応に備える。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・グローバルエッジネットワーク ・インライン緩和システム ・検知エンジン ・脅威検知ロジックの多層防御 ・ログとメトリクス(CloudWatch Logs) |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | - |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 保護設定変更のAPI異常検知 |
ログ・監視
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| Shield Standard | 自動適用、無料 |
| Shield Advanced DRT対応数 | 無制限 |
| ソフトリミット | 制限値 |
|---|---|
| Shield Advanced 保護リソース数 | 1,000 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| Standard | Shield Standardは無料 |
| Advanced | Shield Advancedの月額料金とデータ転送 |