AWS Shield のよくある質問
全般
すべて開くAWS Shield は、ネットワークセキュリティ設定の問題を特定し、アクティブなウェブサイトのエクスプロイト攻撃や分散型サービス拒否 (DDoS) イベントからアプリケーションを防御することで、ネットワークとアプリケーションを保護します。
AWS Shield ネットワークセキュリティディレクター (プレビュー) は、ネットワークセキュリティ分析を実行してネットワークトポロジを視覚化し、設定上の問題を特定し、実行可能な修復の推奨事項を受け取ります。
マネージド DDoS 防御については、AWS Shield アドバンスドティアでは高度な DDoS イベントを常時自動的に軽減し、アプリケーションのダウンタイムとレイテンシーを最小限に抑えます。アクティブな DDoS インシデント時には、アプリケーション固有のセキュリティコントロールと Shield Response チームの専門家によるガイダンスを使用して、DDoS 保護戦略をカスタマイズできます。
AWS Shield ネットワークセキュリティディレクターは、ネットワークリソースを視覚化し、SQL インジェクションや DDoS イベントなどの既知の脅威による設定の問題に対処するのに役立つ AWS Shield の機能です。この機能は、ネットワークリソース、接続、設定を AWS のベストプラクティスと脅威インテリジェンスと照らし合わせて識別して分析し、ネットワークを可視化する完全なネットワークトポロジを構築します。ネットワークセキュリティの調査結果は、問題に迅速に対応できるように、段階的な指示とともに重要度別に包括的なダッシュボードに集約されます。自社のセキュリティ体制を明確に理解し、複雑なネットワークセキュリティ分析を AWS ジェネレーティブ AI を活用したアシスタントである Amazon Q Developer との簡単な会話に変えましょう。
AWS Shield Standard は、SYN/UDP フラッドやリフレクションイベントなど、一般的かつ最も頻繁に発生するインフラストラクチャ (レイヤー 3 および 4) イベントから AWS のすべてのお客様を保護し、AWS でのアプリケーションの高可用性をサポートします。
AWS Shield Advanced により、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 の保護されているリソースで実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化されます。ネットワークトラフィックに対するフローベースの常時モニタリングやアクティブなアプリケーションモニタリングを備える AWS Shield Advanced の保護機能により、疑わしい DDoS インシデントがほぼリアルタイムで通知されます。AWS Shield Advanced のお客様は、1 か月あたり最大 500 億件の AWS WAF リクエストを追加費用なしでアプリケーションレイヤー (L7) DDoS 防御を有効にできます。AWS Shield Advanced のお客様がこの特典を超えると、追加料金が発生します。また、AWS Shield Advanced には高度な攻撃緩和機能およびルーティング技術が採用されており、攻撃を自動的に緩和します。ビジネスまたはエンタープライズサポートをご利用のお客様は、Shield Response Team(SRT)に24時間365日連絡して、アプリケーションレイヤーのDDoSイベントを管理および軽減することもできます。保護されている Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 が DDoS 攻撃に起因してスケーリングされても、スケーリング用 DDoS コスト保護機能によって AWS の請求は使用量の急上昇から保護されます。
脅威が DDoS イベントを超えて進化し続ける中、AWS Shield はその機能を拡張し、DDoS 防御の枠を超えてネットワークとアプリケーションの保護を強化しています。現在プレビュー段階にある AWS Shield ネットワークセキュリティディレクターは、包括的なセキュリティソリューションの提供に全力を注いでいます。
AWS Shield Advanced は、大規模で高度な DDoS イベントの検出と軽減、ほぼリアルタイムのイベントの可視化、ウェブアプリケーションファイアウォールである AWS WAF との統合を引き続き提供しています。AWS Shield Advanced では、AWS Shield レスポンスチーム (SRT) に 24 時間 365 日アクセスでき、DDoS 関連のスパイクに対する保護も提供されます。
ネットワークセキュリティディレクターコンソールを初めて開くときは、[ネットワーク分析の開始] を選択します。次に、アカウントをスキャンする許可を与えるように求められます。承認されると、ネットワークリソースの分析が開始されます。完了すると、ネットワークセキュリティディレクターコンソールに通知が届きます。
AWS Shield は、IAM 権限に基づいてアクセスできるリソースのみを分析します。
ネットワークセキュリティ分析を開始するには、AWS マネジメントコンソールの任意の場所から Amazon Q Developer を起動します。「最も重大なネットワーク・セキュリティ構成の問題は何か」など、ネットワーク・セキュリティ関連のプロンプトを入力します。 Amazon Q Developer が AWS Shield ネットワークセキュリティディレクターコンソールに移動してネットワーク分析を開始するように案内します。分析が完了すると、コンソール通知が届きます。
その後、「私のウェブアプリケーションはボットイベントから保護されていますか?」など、アカウントのリソースのネットワークセキュリティ状況について Amazon Q Developer に問い合わせることができます。または「過度に許可されたアクセスを許可している EC2 インスタンスはありますか?」
AWS Shield では、Amazon Q Developer で自然言語を使用してネットワークセキュリティを簡単に理解できます。また、インターネットに接続するリソースを保護する方法、ネットワーク境界を適用する方法、ポート、プロトコル、IP アドレス範囲に基づいてリソースへの人的アクセスを制限する方法に関する推奨事項を受け取ることもできます。
Amazon Q デベロッパーは、一部の AWS リージョンでご利用いただけます。
現在プレビュー段階ですが、AWS Shield のこの機能は継続的な分析や長期にわたる自動モニタリングをサポートしていません。現在のリソースとその構成のスナップショットを取得するには、各分析を手動で実行する必要があります。ネットワークセキュリティ設定の問題を最新の状態に把握するには、必要に応じて追加の分析を開始してください。各分析は、完了後90日間、調査結果と改善の推奨事項を通知します。
現在プレビュー段階の AWS Shield は、リソースへの人的アクセスの制御や DDoS などの脅威からのアプリケーションの保護など、一般的なネットワークセキュリティ問題を分析します。
たとえば、EC2 インスタンスがすべてのポートへの無制限アクセスを許可しているかどうかは、「使用している EC2 インスタンスのいずれかが無制限アクセスを許可しているかどうか」と尋ねることで確認できます。 Web ベースの脅威からアプリケーションを保護するには、「一般的な Web の脅威に対して脆弱なリソースはありますか?」と尋ねることができます。
現在プレビュー段階の AWS Shield は、AWS WAF、VPC セキュリティグループ、VPC ネットワークアクセスコントロールリスト (ネットワーク ACL) の分析をサポートしています。
現在プレビュー段階にあるこの AWS Shield 機能は、Amazon CloudFront ディストリビューション、Amazon アプリケーションロードバランサー、Amazon API ゲートウェイ、Amazon 仮想プライベートクラウド (VPC)、VPC エラスティックネットワークインターフェイス、VPC サブネット、および Amazon EC2 インスタンスを単一のアカウントで検出します。AWS Shield は、リソースとインターネット間のルーティング可能なパスを識別することで、これらのリソースがどのようにタグ付けされ、相互に接続されるかを判断します。
AWS 向けのジェネレーティブな AI 搭載アシスタントである Amazon Q Developer を使用すると、AWS アカウントのネットワークセキュリティ設定の問題点を特定できます。Amazon Q Developer のネットワークセキュリティ分析は自然言語クエリを理解し、AWS Shield と連携して適切な応答を提供します。会話形式の対話を通じて、ネットワークセキュリティデータを簡単に検査し、問題をより深く理解し、実行可能な洞察を得ることができます。
AWS Shield ネットワーク分析では、WAF、セキュリティグループ、ネットワーク ACL のネットワークセキュリティコントロールの定義が公に文書化されています。AWS Shield はこれらの定義を補足し、リソースのネットワークコンテキスト (インターネットに接続しているか、他のリソースに接続されているかなど) に基づいて、特定のネットワークセキュリティサービスをいつどのように有効にすべきかを推奨しています。
AWS Shield は、AWS のベストプラクティスと脅威インテリジェンスに基づいてネットワークセキュリティリスクを具体的に特定し、環境やアプリケーションを保護するための適切なサービスとルールセットで構成される修復方法を推奨します。
現在プレビュー段階ですが、この AWS Shield 機能は AWS セキュリティパートナーが提供するサードパーティのネットワークセキュリティサービスをサポートしていません。
保護されている Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 の使用量が DDoS 攻撃によって急上昇した場合に備えて、AWS Shield Advanced にはその料金上昇からお客様を守る DDoS コスト保護が含まれています。DDoS 攻撃により AWS Shield Advanced が保護するリソースのいずれかの使用量が上昇した場合は、お客様は通常の AWS サポートチャネル経由で調整をリクエストできます。
はい。AWS Shield は AWS 外のカスタムオリジンをサポートする Amazon CloudFront と統合されています。
AWS Shield Advanceの検出と緩和は、サービスのパフォーマンス、スケーラビリティ、または可用性に目立った変化をもたらすことなく、IPv6とIPv4で動作します。現在プレビュー段階ですが、AWS Shield ネットワークセキュリティディレクターは IPv6 をサポートしていません。
AWS の適正利用規約には、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為が説明されています。ただし、DDoS シミュレーションテストや侵入テストなどのシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、DDoS テスト、侵入テスト、脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。詳細については、ペネトレーションテストページと DDoS シミュレーションテストポリシーをご覧ください。
プレビュー期間中、AWS Shield ネットワークセキュリティディレクターは、一部の AWS リージョン (米国東部 (バージニア北部) とヨーロッパ (ストックホルム) で追加料金なしで利用できます。
AWS Shield Standard は、世界中すべての AWS リージョンと AWS エッジロケーションで、AWS のすべてのサービスで利用できます。
AWS Shield Standard のリージョン別の可用性の詳細については、リージョンの製品およびサービスを参照してください。
AWS Shield Advanced は、世界中の Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 のエッジロケーションすべてで利用できます。アプリケーションに Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon Simple Storage Service (S3)、Amazon EC2、Elastic Load Balancing、AWS 外部のカスタムサーバーのいずれでも問題ありません。また、バージニア北部、オハイオ、オレゴン、北カリフォルニア、モントリオール、サンパウロ、アイルランド、フランクフルト、ロンドン、パリ、ストックホルム、シンガポール、東京、シドニー、ソウル、ムンバイ、ミラノ、ケープタウン、香港、バーレーン、マレーシア、およびアラブ首長国連邦の AWS リージョンでは、Elastic Load Balancing または Amazon EC2 で AWS Shield Advanced を直接有効化することができます。
AWS Shield Advanced のリージョン別の可用性の最新情報については、リージョンの製品およびサービスを参照してください。
はい、AWS では HIPAA 準拠プログラムを拡張し、AWS Shield を HIPAA 対応サービスとして追加しました。AWS と事業提携契約 (BAA) を締結している場合は、AWS Shield を使用して、AWS で実行しているウェブアプリケーションを分散サービス妨害 (DDoS) から保護できます。詳細については、「HIPAA コンプライアンス」を参照してください。
保護の設定
すべて開くAWS Shield Standard により、UDP フラッド攻撃といった頻繁に発生する最も一般的なインフラストラクチャレイヤー攻撃、TCP SYN フラッド攻撃といったリソース枯渇攻撃から AWS で実行しているウェブアプリケーションを自動的に保護できます。また、AWS WAF を使用して、HTTP POST や GET フラッド攻撃などのアプリケーションレイヤー攻撃を防御することもできます。アプリケーションレイヤー保護をデプロイする方法の詳細については、AWS WAF および AWS Shield Advanced デベロッパーガイドを参照してください。
AWS Shield Standard による保護では、有効にできるリソースの数に制限はありません。AWS での DDoS レジリエンシーのベストプラクティスに従うことで、AWS Shield Standard のメリットを最大限に活用することができます。
AWS Shield Advanced による保護では、サポート対象の各リソースタイプ (クラシック/Application Load Balancer、Amazon CloudFront ディストリビューション、Amazon Route 53 ホストゾーン、Elastic IP、AWS Global Accelerator アクセラレーター) ごとに最大 1,000 の AWS リソースを有効にできます。1000 件以上有効にする場合は、 AWS サポートケースを作成して制限の引き上げをリクエストできます。
はい。AWS Shield Advanced は API 経由で有効にできます。API を使用して、AWS Shield Advanced から AWS リソースを追加または削除することも可能です。
アプリケーションレイヤーイベントの場合、アプリケーションレイヤー (L7) DDoS 保護の AWS マネージドルールグループが DDoS イベントを数秒以内に自動的に検出して軽減します。
AWS WAF アプリケーションレイヤー (L7) DDoS 防御の詳細については、を参照してください。
はい。多くのお客様は AWS エンドポイントをそのバックエンドインスタンスの前に用いておられます。最も一般的には、これらのエンドポイントは CloudFront と Route 53 の、弊社が世界で配信するサービスです。これらのサービスはまた DDoS の回復性として弊社がベストプラクティスとして推奨しているものでもあります。お客様はこれらの CloudFront ディストリビューションと Route 53 のホストするゾーンを Shield Advanced で保護できます。これらのバックエンドリソースは、これらの AWS エンドポイントからのトラフィックのみをアクセプトするようにロックする必要がありますのでご注意ください。
イベントへの対応
すべて開くAWS Shield Standard は、AWS で実行されているウェブアプリケーションを最も一般的で頻繁に発生する DDoS イベントから自動的に保護します。AWS での DDoS 回復性のベストプラクティスに従うことで、AWS Shield Standard の利点をフルに活用することができます。
AWS Shield Standard および Shield Advanced のお客様は、現在の料金に加えて、アプリケーションレイヤー DDoS 防御の強化をご利用いただけます。 アプリケーションをさらに保護するための AWS WAF アプリケーションレイヤー (L7) DDoS 防御の詳細をご覧ください。
マネージド DDoS 防御については、AWS Shield アドバンスドティアでは高度な DDoS イベントを常時自動的に軽減し、アプリケーションのダウンタイムとレイテンシーを最小限に抑えます。アクティブな DDoS インシデント時には、アプリケーション固有のセキュリティコントロールと Shield Response チームの専門家によるガイダンスを使用して、DDoS 保護戦略をカスタマイズできます。
AWS Shield Advanced には、レイヤー 3、4、7 の DDoS 対策、シールドレスポンスチーム (SRT) による年中無休のサポート、イベントの急増に対するコスト保護が含まれています。AWS Shield Advanced のお客様は、1 か月あたり最大 500 億件の AWS WAF リクエストを追加費用なしでアプリケーションレイヤー (L7) DDoS 防御を有効にできます。AWS Shield Advanced のお客様がこの特典を超えると、追加料金が発生します。
はい。AWS Shield レスポンスチーム (SRT) にエスカレーションする、または連絡するには、ビジネスサポートプランまたはエンタープライズサポートプランへの加入が必要です。AWS サポートプランの詳細については、AWS サポートウェブサイトを参照してください。
通常の AWS サポートを通じて AWS Shield レスポンスチーム (SRT) に連絡するか、AWS サポートにお問い合わせください。
SRT の応答時間は、お客様の AWS Support プランによって異なります。お客様からの最初のリクエストに、対応する時間内に応答するよう、合理的な範囲でできる限りの努力を払います。AWS サポートプランの詳細については、AWS サポートウェブサイトを参照してください。
いいえ。ネットワークセキュリティ分析には 2 つの重要な目的があります。1 つは、セキュリティイベントが発生する前に潜在的な構成上の問題を特定すること、もう 1 つはセキュリティ体制を継続的に強化することです。このアプローチは、継続的な改善を可能にすると同時に、全体的なセキュリティ体制を強化するのに役立ちます。
可視性およびレポート
すべて開くAWS Shield ネットワークセキュリティディレクターは、アカウント内の AWS リソース、構成、接続を特定して分析し、保護が必要なリソースを発見するという課題を解決します。これは、環境内のリソースを分析し、その結果を単一のネットワークトポロジービューに集約することによって行われます。これらの調査結果は重要度に応じて優先順位が付けられるため、重要な問題に最初に対応できます。AWS Shield には、問題に迅速に対応するのに役立つ正しいサービスとルールセットの実装方法も記載されています。
プレビュー期間中、AWS Shield ネットワークセキュリティディレクターは追加料金なしでご利用いただけます。
はい。AWS Shield アドバンスドでは、CloudWatch メトリクスを通じて DDoS イベントの通知を受け取ることができます。
通常、AWS Shield Advanced はイベント検出から数分以内にイベントの通知を行います。
はい。AWS Shield Advanced では、13 か月間のすべての攻撃履歴を確認できます。
はい。AWS Shield Advanced のお客様は、グローバル脅威環境ダッシュボードにアクセスできます。このダッシュボードでは、過去 2 週間に AWS で発生したすべての DDoS イベントを匿名でサンプリングして表示できます。
AWS WAF にはお客様のウェブサイトが保護されていることを確認する 2 つの方法があります。CloudWatch では 1 分間のメトリクス、AWS WAF API または AWS マネジメントコンソールでは Sampled Web Requests がご利用いただけます。さらに、Amazon Kinesis Firehose を通じてお好きな送信先に配信できる包括的なログを有効にすることもできます。これらの方法により、どのリクエストがブロック、許可またはカウントされたか、またどのルールが特定のリクエストにマッチしたかを参照できます (例、このウェブリクエストは IP アドレスの条件によりブロックされた等)。詳細については、AWS WAF および AWS Shield Advanced のデベロッパーガイドを参照してください。
AWS でのペネトレーションテストを参照してください。しかし、これには「DDoS ロードテスト」は AWS で認められていませんので含まれていません。ライブの DDoS テストを行いたい場合は、AWS Support でチケットを出し、その許可をリクエストしてください。この承認には AWS、お客様、 DDoS テストベンダーの間でテストの条件に関しての合意が必要となります。弊社では認可済みの DDoS テストベンダーのみと業務を行い、プロセス全体は 3~4 週間かかります。
アプリケーション層 (L7) DDoS 保護
すべて開くはい、価格はリージョナルWAFとグローバルWAFで同じです。
AWS Shield Advanced のお客様は、追加費用なしでこの機能を有効にできます。ただし、AWS Shield アドバンスドをご利用のお客様は、1 か月あたり 500 億件の AWS WAF リクエストに制限されるようになりました。
詳細については、 AWS Shield 料金表ページを参照してください。
はい。アプリケーションレイヤー (L7) DDoS 防御のため、AWS Shield Standard のお客様は AWS WAF から対応する AWS マネージドルールグループを購入する必要があります。
詳細については、 AWS Shield 料金表ページを参照してください。
請求
すべて開くAWS Shield Standard は、お客様がウェブアプリケーションで既に使用している AWS のサービスに組み込まれています。したがって、AWS Shield Standard には追加料金はかかりません。
AWS Shield Advanced は組織あたり 3,000 USD の月額料金で提供されています。さらに、高度な保護が有効になっている AWS リソースは AWS Shield Advanced のデータ転送料の対象となります。AWS Shield Advanced の料金は、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 の標準料金に追加で課金されます。詳細については、 AWS Shield 料金表ページをご覧ください。
プレビュー期間中、AWS Shield ネットワークセキュリティディレクターは追加料金なしでご利用いただけます。
はい。AWS Shield Advanced には保護したいリソースを選択できる柔軟性があります。それらの保護されたリソースに対しては、AWS Shield Advanced のデータ転送料のみが請求されます。
組織で複数の AWS アカウントをお持ちの場合、AWS マネジメントコンソールまたは API を使用して各アカウントで個別に有効化すれば、複数の AWS アカウントを AWS Shield Advanced にサブスクライブできます。その AWS アカウントが単一の一括請求 (コンソリデーティッドビリング) にまとめられ、AWS アカウントとそれらアカウント内のリソースをすべて所有しているのであれば、月額料金の支払いは 1 回になります。