「Webサイトに大量の偽装アクセスが押し寄せ、サーバーがダウンしてしまった⋯⋯」
こうした、数にモノを言わせてサービスを麻痺させる「DDos攻撃」は、現代のWeb運営における最大の脅威の一つです。
前回紹介した「AWS WAF」が通信の中身を見る「荷物検査」なら、今回紹介するAWS Shieldは、押し寄せる暴徒から建物を守る「頑丈な外壁」のような存在です。
実は、AWSを使っているだけで私たちはすでに守られている⋯⋯?そんな驚きの仕組みを整理しましょう。
全ユーザー標準装備の「Shield Standard」
驚くべきことに、AWSを利用しているすべてのユーザーは、追加料金なしでAWS Shield Standardによって守られています。
- 自動防御
一般的なネットワーク層(レイヤー3)やトランスポート層(レイヤー4)のDDoS攻撃を、常時自動で検知・遮断してくれます。 - 設定不要
私たちが「有効化」のボタンを押す必要すらありません。いわば、AWSという街が標準で備えている「防犯カメラとパトロール」のようなものです。
プロ向けの鉄壁ガード「Shield Advanced」
「Standard」でも十分強力ですが、より重要度の高いビジネスシステムのために用意されているのが、AWS Shield Advancedです。
こちらは有料のサブスクリプションですが、その分サービスが手厚くなります。
- 24時間365日の専任チーム(SRT)
攻撃を受けている際、AWSのDDoS対策専門チームが直接サポートしてくれます。 - WAFの無料利用
Advancedを契約すると、AWS WAFの料金が基本パッケージに含まれます。 - コスト保護
DDoS攻撃によって急増したスケーリング費用(EC2やALBの追加料金など)を補填してくれる、保険のような機能があります。
【比較表】Standard vs Advanced
試験で問われる「差分」を一覧表にしました。
| 特徴 | Shield Standard | Shield Advanced |
| 料金 | 無料(デフォルト) | 月額$3,000 + データ転送料 |
| 対象レイヤー | レイヤー3,4 | レイヤー3,4,7(WAF連携) |
| 専任チームの支援 | なし | あり(AWS SRT) |
| コスト補填 | なし | あり(攻撃による費用増をカバー) |
試験で役立つ!キーワード判別法
セキュリティ対策の問題で、以下の言葉があればAWS Shieldを検討しましょう。
- 「DDoS攻撃からの保護」
- 「追加コスト無しで自動的に適用されている防御」→ Standard
- 「専門チームによるサポートやコスト保護が必要」→ Advanced
- 「CloudFrontやRoute 53の可用性を高めたい」
今回の学び:攻略の格言
「デフォルトで守るStandard、プロの安心Advanced。DDoS(物量攻撃)にはシールドを構えろ!」
あとがき:一歩ずつ、合格へ
最後まで読んでいただき、ありがとうございました!
「知らないうちに守られている」というのは、マネージドサービスであるAWSを使う大きなメリットの一つですね。WAFで「技」を防ぎ、Shieldで「力」を防ぐ。この二段構えを理解しておけば、SAA試験のセキュリティ問題はもう怖くありません。
インフラを守る知識は、そのままユーザーの安心に繋がります。一歩ずつ、信頼されるアーキテクトに近づいていきましょう。
それでは、次回の記事でお会いしましょう!
