AWS Shield のよくある質問

Q: AWS Shield とは何ですか?

AWS Shield は、AWS で実行されるアプリケーションを Distributed Denial of Service (DDoS) 攻撃から保護するマネージド型のサービスです。AWS Shield Standard は、すべてのお客様に対し追加料金なしで自動的に有効化されます。AWS Shield Advanced は任意で利用できる有料サービスです。AWS Shield Advanced により、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 で実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化されます。

Q:AWS Shield Standard とは何ですか?

AWS のお客様すべてを対象とする AWS Shield Standard により、SYN/UDP フラッド攻撃やリフレクション攻撃といった最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃を防御し、AWS でのアプリケーションの高可用性を保護できます。

Q:AWS Shield Advanced とは何ですか?

AWS Shield Advanced により、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 の保護されているリソースで実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化されます。ネットワークトラフィックに対するフローベースの常時モニタリングやアクティブなアプリケーションモニタリングを備える AWS Shield Advanced の保護機能により、疑わしい DDoS インシデントがほぼリアルタイムで通知されます。また、AWS Shield Advanced には高度な攻撃緩和機能およびルーティング技術が採用されており、攻撃を自動的に緩和します。さらに、ビジネスサポートまたはエンタープライズサポートに加入している場合、Shield レスポンスチーム (SRT) が 24 時間年中無休で待機し、アプリケーションレイヤー DDoS 攻撃の管理と緩和をサポートします。保護されている Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 が DDoS 攻撃に起因してスケーリングされても、スケーリング用 DDoS コスト保護機能によって AWS の請求は使用量の急上昇から保護されます。

Q:スケーリング用 DDoS コスト保護とは何ですか?

保護されている Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 の使用量が DDoS 攻撃によって急上昇した場合に備えて、AWS Shield Advanced にはその料金上昇からお客様を守る DDoS コスト保護が含まれています。DDoS 攻撃により AWS Shield Advanced が保護するリソースのいずれかの使用量が上昇した場合は、お客様は通常の AWS サポートチャネル経由で調整をリクエストできます。

Q:AWS でホストされていないウェブサイトにも、AWS Shield の保護機能を使用できますか?

はい。AWS Shield は AWS 外のカスタムオリジンをサポートする Amazon CloudFront と統合されています。

Q:すべての AWS Shield の機能で IPv6 を使用できますか?

はい。AWS Shield の検出と緩和機能はすべて、IPv6 と IPv4 で動作します。これにより、サービスのパフォーマンス、スケーラビリティ、可用性が著しく変化することはありません。

Q:AWS Shield をテストすることはできますか?

AWS の適正利用規約には、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為が説明されています。ただし、DDoS シミュレーションテストや侵入テストなどのシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、DDoS テスト、侵入テスト、脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。詳細については、侵入テストのページと DDoS シミュレーションテストポリシー を参照してください。

Q:どの AWS リージョンで AWS Shield Standard を利用できますか?

AWS Shield Standard は、世界中すべての AWS リージョンと AWS エッジロケーションで、AWS のすべてのサービスで利用できます。

AWS Shield Standard のリージョン別の可用性の詳細については、リージョン別製品およびサービスを参照してください。

Q:どの AWS リージョンで AWS Shield Advanced を利用できますか?

AWS Shield Advanced は、世界中の Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 のエッジロケーションすべてで利用できます。アプリケーションに Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon Simple Storage Service (S3)、Amazon EC2、Elastic Load Balancing、AWS 外部のカスタムサーバーのいずれでも問題ありません。また、バージニア北部、オハイオ、オレゴン、北カリフォルニア、モントリオール、サンパウロ、アイルランド、フランクフルト、ロンドン、パリ、ストックホルム、シンガポール、東京、シドニー、ソウル、ムンバイ、ミラノ、ケープタウン、香港、バーレーン、マレーシア、およびアラブ首長国連邦の AWS リージョンでは、Elastic Load Balancing または Amazon EC2 で AWS Shield Advanced を直接有効化することができます。

AWS Shield Advanced を利用できるリージョンに関する最新の詳細情報については、製品およびサービス一覧 (リージョン別) をご覧ください。

Q:AWS Shield は HIPAA に適合していますか?

はい、AWS では HIPAA 準拠プログラムを拡張し、AWS Shield を HIPAA 対応サービスとして追加しました。AWS と事業提携契約 (BAA) を締結している場合は、AWS Shield を使用して、AWS で実行しているウェブアプリケーションを分散サービス妨害 (DDoS) から保護できます。詳細については、HIPAA への準拠を参照してください。

Q:AWS Shield Standard により、どのようなタイプの攻撃を防御できますか?

AWS Shield Standard により、UDP フラッド攻撃といった頻繁に発生する最も一般的なインフラストラクチャレイヤー攻撃、TCP SYN フラッド攻撃といったリソース枯渇攻撃から AWS で実行しているウェブアプリケーションを自動的に保護できます。また、AWS WAF を使用して、HTTP POST や GET フラッド攻撃などのアプリケーションレイヤー攻撃を防御することもできます。アプリケーションレイヤー保護をデプロイする方法の詳細については、AWS WAF および AWS Shield Advanced デベロッパーガイドを参照してください。

Q:AWS Shield Standard による保護では、いくつのリソースを有効にできますか?

AWS Shield Standard による保護では、有効にできるリソースの数に制限はありません。AWS での DDoS 回復性のベストプラクティスに従うことで、AWS Shield Standard の利点をフルに活用することができます。

Q:AWS Shield Advanced による保護では、いくつのリソースを有効にできますか?

AWS Shield Advanced による保護では、サポート対象の各リソースタイプ (クラシック/Application Load Balancer、Amazon CloudFront ディストリビューション、Amazon Route 53 ホストゾーン、Elastic IP、AWS Global Accelerator アクセラレーター) ごとに最大 1,000 の AWS リソースを有効にできます。1,000 個より多くのリソースを有効にする場合は、AWS Support ケースを作成して、上限増加をリクエストできます。

Q:API 経由で AWS Shield Advanced による保護を有効にすることはできますか?

はい。AWS Shield Advanced は API 経由で有効にできます。また、API を使用して、AWS Shield Advanced から AWS リソースを追加または削除することも可能です。

Q:攻撃が緩和されるまでにどのくらいの時間がかかりますか?

通常、Amazon CloudFront と Amazon Route 53 への攻撃の場合は 1 秒未満、Elastic Load Balancing への攻撃の場合は 5 分未満で、AWS Shield により検出されたインフラストラクチャレイヤー攻撃の 99% が緩和されます。インフラストラクチャレイヤーの攻撃における残りの 1% は、通常 20 分以内に緩和されます。アプリケーションレイヤーの攻撃は、着信トラフィックにおいてインラインで検査および緩和される AWS WAF にルールを書き込むことで緩和されます。

Q:AWS の外にあるリソースも保護できますか?

はい。多くのお客様は AWS エンドポイントをそのバックエンドインスタンスの前に用いておられます。最も一般的には、これらのエンドポイントは CloudFront と Route 53 の、弊社が世界で配信するサービスです。これらのサービスはまた DDoS の回復性として弊社がベストプラクティスとして推奨しているものでもあります。お客様はこれらの CloudFront ディストリビューションと Route 53 のホストするゾーンを Shield Advanced で保護できます。これらのバックエンドリソースは、これらの AWS エンドポイントからのトラフィックのみをアクセプトするようにロックする必要がありますのでご注意ください。

Q: AWS Shield Standard は、DDoS 攻撃を緩和するためにどのようなツールを提供していますか?

AWS Shield Standard により、最も頻繁に発生する一般的な DDoS 攻撃から AWS で実行しているウェブアプリケーションを自動的に保護できます。AWS での DDoS 回復性のベストプラクティスに従うことで、AWS Shield Standard の利点をフルに活用することができます。

Q:AWS Shield Advanced では、DDoS 攻撃を緩和するためにどのようなツールを提供していますか?

AWS Shield Advanced により、レイヤー 3 およびレイヤー 4 の DDoS 攻撃の緩和を管理できます。つまり、UDP フラッド攻撃や TCP SYN フラッド攻撃などからお客様が指定したアプリケーションを保護できます。さらに、アプリケーションレイヤー (レイヤー 7) 攻撃への対策として、AWS Shield Advanced は HTTP フラッド攻撃や DNS フラッド攻撃を検出できます。AWS WAF を使用して独自の緩和策を適用することもできます。また、ビジネスサポートまたはエンタープライズサポートに加入している場合、24 時間年中無休の AWS Shield レスポンスチーム (SRT) に相談して、レイヤー 7 DDoS 攻撃を緩和するためのルールをお客様に代わって作成させることも可能です。

Q:AWS Shield レスポンスチームに連絡するには、特別なサポートプランへの加入が必要ですか?

はい。AWS Shield レスポンスチーム (SRT) にエスカレーションする、または連絡するには、ビジネスサポートプランまたはエンタープライズサポートプランへの加入が必要です。AWS サポートプランの詳細については、AWS Support のウェブサイトを参照してください。

Q:AWS Shield レスポンスチームにはどのように連絡できますか?

通常の AWS サポートを通して、AWS Shield レスポンスチーム (SRT) に接触できます。または、AWS Support に連絡してください。

Q:AWS Shield レスポンスチーム (SRT) が応答するまでにどのくらいの時間がかかりますか?

SRT の応答時間は、お客様の AWS Support プランによって異なります。お客様からの最初のリクエストに、対応する時間内に応答するよう、合理的な範囲でできる限りの努力を払います。AWS サポートプランの詳細については、AWS Support のウェブサイトを参照してください。

Q: 攻撃が発生した場合、AWS Shield から通知が発信されますか?

はい。AWS Shield Advanced では、CloudWatch メトリクス経由で DDoS 攻撃の通知が発信されます。

Q:攻撃の通知が発信されるまでにどのくらいの時間がかかりますか?

通常、AWS Shield Advanced では、攻撃が検出されてから数分以内に攻撃の通知が発信されます。

Q:AWS リソースへの DDoS 攻撃すべての履歴は取得できますか?

はい。AWS Shield Advanced では、13 か月間のすべての攻撃履歴を確認できます。

Q:AWS 全体における攻撃の有無は分かりますか?

はい。AWS Shield Advanced のお客様はグローバル脅威環境ダッシュボードにアクセスし、過去 2 週間に AWS で発生したすべての DDoS 攻撃を、匿名化されたサンプルの形で確認できます。

Q:AWS WAF ルールが正常に機能しているかどうかはどのように確認できますか?

AWS WAF にはお客様のウェブサイトが保護されていることを確認する 2 つの方法があります。CloudWatch では 1 分間のメトリクス、AWS WAF API または AWS マネジメントコンソールでは Sampled Web Requests がご利用いただけます。さらに、Amazon Kinesis Firehose を通じてお好きな送信先に配信できる包括的なログを有効にすることもできます。これらの方法により、どのリクエストがブロック、許可またはカウントされたか、またどのルールが特定のリクエストにマッチしたかを参照できます (例、このウェブリクエストは IP アドレスの条件によりブロックされた等)。詳細については、AWS WAF および AWS Shield Advanced デベロッパーガイドを参照してください。

Q:サービスとアプリケーションの評価のためにペンテストをしなければなりません。承認済みの手順は何ですか?

AWS での侵入テストをご覧ください。しかし、これには「DDoS ロードテスト」は AWS で認められていませんので含まれていません。ライブの DDoS テストを行いたい場合は、AWS Support でチケットを出し、その許可をリクエストしてください。この承認には AWS、お客様、 DDoS テストベンダーの間でテストの条件に関しての合意が必要となります。弊社では認可済みの DDoS テストベンダーのみと業務を行い、プロセス全体は 3～4 週間かかります。

 

Q: AWS Shield Standard の料金はどのように請求されますか?

AWS Shield Standard は、お客様がウェブアプリケーションで既に使用している AWS のサービスに組み込まれています。したがって、AWS Shield Standard には追加料金はかかりません。

Q:AWS Shield Advanced の料金はどのように請求されますか?

AWS Shield Advanced は組織あたり 3,000 USD の月額料金で提供されています。さらに、高度な保護が有効になっている AWS リソースは AWS Shield Advanced のデータ転送料の対象となります。AWS Shield Advanced の料金は、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 の標準料金に追加で課金されます。詳細については、AWS Shield 料金のページを参照してください。

Q:AWS Shield Advanced で保護するリソースをいくつかに限定することはできますか?

はい。AWS Shield Advanced には保護したいリソースを選択できる柔軟性があります。それらの保護されたリソースに対しては、AWS Shield Advanced のデータ転送料のみが請求されます。

Q:複数の AWS アカウントで AWS Shield Advanced を有効にするには、どうすればよいですか?

組織で複数の AWS アカウントをお持ちの場合、AWS マネジメントコンソールまたは API を使用して各アカウントで個別に有効化すれば、複数の AWS アカウントを AWS Shield Advanced にサブスクライブできます。その複数の AWS アカウントが単一の一括請求 (コンソリデーティッドビリング) にまとめられ、お客様が AWS アカウントとそれらアカウント内のリソースをすべて所有しているのであれば、月額料金の支払いは 1 回になります。