DDoS攻撃を防ぐAWS Shieldとは?StandardとAdvancedの違いも解説
DDoS(Distributed Denial of Service)攻撃は、大量のトラフィックを標的のサーバーに送りつけることで負荷を高め、システムダウンやサービスを停止させる攻撃手法です。近年、ECサイトや金融、ゲームサービスなど企業のWebサービスがDDoS攻撃の標的となるケースが増えており、事業継続や信頼性を損なう影響を及ぼしています。AWSを利用している企業にとって、DDoS攻撃対策の基本となるのがAWS Shieldです。
本記事では、AWS Shieldの概要や2つのプランの違い、AWS WAFとの違い、DDoS攻撃の専門家「Shield Response Team(SRT)」の活用について解説します。AWS環境でのDDoS攻撃対策を強化したい方は、ぜひ参考にしてください。
この記事の目次
AWS Shieldとは?
AWS Shieldとは、AWSが提供するDDoS攻撃対策サービスです。AWS Shieldは、DDoS攻撃の兆候をリアルタイムで検知・ブロックすることで、AWS上で運用されるWebアプリケーションやシステムを保護する役割を持ちます。
AWS Shieldには「Standard」と「Advanced」の2つのプランがあり、保護できる範囲や利用できる機能が異なります。
AWS Shield StandardとAWS Shield Advancedの違い
AWS Shield StandardとAdvancedの違いは以下のとおりです。
| 項目 | AWS Shield Standard | AWS Shield Advanced |
| 概要 | AWSの全ユーザーに標準提供されている、DDoS攻撃が対策できるサービス(無料) | Standardより高度なDDoS攻撃対策ができるサービス(有料) |
| 保護範囲 | ・L3(ネットワーク層) ・L4(トランスポート層) | ・L3(ネットワーク層) ・L4(トランスポート層) ・L7(アプリケーション層) |
| 主な機能 | ・L3、L4に対するDDoS攻撃の自動検知・軽減 | ・アプリケーションの保護 ・攻撃の可視化 ・コスト保護 ・Shield Response Team(SRT)のサポート |
| おすすめの企業 | ・小~中規模の企業 ・初期コストを抑えたい企業 | ・大規模なWebサービスを運営する企業 ・金融・EC・ゲーム業界など、ダウンタイムが許されない企業 |
| 対象サービス | 全てのAWSのサービス | ・Amazon Route 53 ・Amazon CloudFront ・Elastic Load Balancing ・AWS Global Accelerator ・Elastic IP(Amazon Elastic Compute Cloud および Network Load Balancer) |
AWS Shield Advanced とAWS WAFの違い
AWS Shield AdvancedとAWS WAFはどちらもアプリケーション層をDDoS攻撃から保護する有料サービスであるため、導入の際に選定で悩むかもしれません。両者の違いについては以下の表の通りです。
| 項目 | AWS Shield Advanced | AWS WAF |
| 目的 | DDoS攻撃からの保護 | Webアプリへの不正アクセスからの保護 |
| 防御できる攻撃 | ・DDoS攻撃 | ・DDoS攻撃 ・SQLインジェクション ・クロスサイトスクリプティング など |
AWS WAFはWebアプリケーションの保護を目的としているため、DDos攻撃以外の防御も行います。
AWS WAFについて詳しくはこちらの記事をご確認ください。
ベアサポートブログ|AWS WAFとは?機能や料金、メリット、設定方法をわかりやすく解説 | ベアサポート
導入についてはAWS Shield AdvancedとAWS WAFの併用がおすすめです。DDoS攻撃を受けた際に、その攻撃に応じた防御ルールをまとめた「Shield Mitigation Rule Group」がAWS WAFのWeb ACLに自動で追加され、即座に防御が可能になるためです。これらのルールは攻撃の収束後に自動で削除されるため、不要なルールが残らず、WAFの設定を常に整理された状態に保てます。なお、この機能を利用するには、事前にWeb ACLとの関連付け設定が必要です。
Shield Response Team(SRT)の活用
Shield Response Team (SRT)は、AWS Shield Advancedを契約しているユーザーにDDoS攻撃への対応をサポートする、DDoS攻撃専門のセキュリティチームです。ユーザーはSRTと直接やりとりし、SRTは攻撃の発生時だけでなく、事前対策や設計支援も含めた包括的なセキュリティ支援を提供します。
主なサポート内容は以下の通りです。
- AWS WAFログの分析とルール作成:ログを分析して攻撃特性を特定し、ブロックルールを適用する。
- カスタムネットワーク緩和策の構築:不要なトラフィックをブロックし、レート制限を最適化する。
- ネットワークトラフィックエンジニアリング:DDoS攻撃の影響を最小限に抑えるため、帯域幅やルーティングを調整する。
- アーキテクチャ上の最適化の提案:AWSのベストプラクティスに基づき、設計変更を提案・支援する。
※コミュニケーションは英語対応のみ
SRTを活用することでDDoS攻撃の検知・対応を迅速化し、最適な防御策とアーキテクチャの改善を通じてサービスの安定運用を確保できます。
5.AWS Shieldの料金
AWS Shield StandardはAWS全ユーザーに標準で提供されているため、無料で利用可能です。
AWS Shield Advancedを利用する際は月額3000USDのサブスクリプションと、データ転送の料金がかかります。データ転送の料金は使用するサービスと利用料によって異なります。データ転送の料金は以下の表の通りです。(2025年4月現在)
| Amazon CloudFront | Elastic Load Balancing (ELB) | AWS Elastic IP (EC2 および Network Load Balancer) | AWS Global Accelerator | Amazon Route 53 | |
| 最初の100TB | 0.025 USD/GB | 0.05 USD/GB | 0.05 USD/GB | 0.025 USD/GB | 追加料金 なし |
| 次の400TB | 0.02 USD/GB | 0.04 USD/GB | 0.04 USD/GB | 0.02 USD/GB | 追加料金 なし |
| 次の500TB | 0.015 USD/GB | 0.03 USD/GB | 0.03 USD/GB | 0.015 USD/GB | 追加料金 なし |
| 次の4PB | 0.01 USD/GB | お問い合わせ | お問い合わせ | 0.01 USD/GB | 追加料金 なし |
| 5PB超 | お問い合わせ | お問い合わせ | お問い合わせ | お問い合わせ | 追加料金 なし |
なお、Shield Advancedで保護されたリソースに関連するAWS WAFの料金は免除されます。各詳細情報については以下のサイトをご確認ください。
AWS「AWS Shield 料金」https://aws.amazon.com/jp/shield/pricing/(2025/4/10確認)
まとめ
AWS Shieldは、AWSが提供するDDoS攻撃対策サービスです。標準で提供されるStandardでは、L3とL4へのDDoS攻撃の自動検知・軽減し、基本的な保護を実現します。一方で、L7への攻撃やダウンタイムの影響が大きい企業にはAdvancedが推奨されます。特に、AdvancedではDDoS攻撃の専門家チームであるSRTによるサポートを受けられるため、DDoS攻撃への迅速な対応やアーキテクチャの改善が可能になります。
AWS ShieldとAWS WAFは異なる役割を持ち、WAFはL7の不正アクセス防御に特化しています。両者を組み合わせることで、包括的なセキュリティ対策を実現することが可能です。
ベアサポートでは、AWS環境に適したセキュリティ対策の運用を支援するサービスをご用意しています。お客様の要望に応じて柔軟に支援する「マモル マネージドプラス」を提供しています。
AWS環境でのセキュリティ対策を強化したい方は、ぜひお気軽にご相談ください。
