AWS を無料でお試しください

まずは無料で始める

12 か月間の AWS 無料利用枠と、24 時間年中無休のカスタマーサービスやサポートフォーラムなどの AWS ベーシックサポート機能を利用できます。

Q: AWS Shield とは何ですか?

AWS Shield は、AWS で実行しているウェブアプリケーションに対する DDoS 攻撃を防御するマネージドサービスです。すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。AWS Shield Advanced は、AWS ビジネスサポートと AWS エンタープライズサポートに登録しているお客様を対象とするオプションの有料サービスです。AWS Shield Advanced により、Elastic Load Balancing (ELB)、Amazon CloudFront、および Route 53 で実行しているアプリケーションを標的とする大規模かつ高度な攻撃を防御できます。

Q: AWS Shield Standard とは何ですか?

AWS のお客様すべてを対象とする AWS Shield Standard により、SYN/UDP フラッド攻撃やリフレクション攻撃といった最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃を防御し、AWS アプリケーションの高可用性を保護できます。

Q: AWS Shield Advanced とは何ですか?

AWS Shield Advanced は、Elastic Load Balancing (ELB)、Amazon CloudFront、Route 53 で実行しているアプリケーションを標的とする大規模かつ高度な攻撃を防御する強化された保護サービスです。このサービスは、AWS ビジネスサポートと AWS エンタープライズサポートのお客様を対象としています。ネットワークトラフィックに対するフローベースの常時モニタリングやアクティブなアプリケーションモニタリングを備える AWS Shield Advanced の保護機能により、DDoS 攻撃がほぼリアルタイムで通知されます。また、AWS Shield Advanced では柔軟性の高い攻撃緩和制御を提供しているため、お客様はすみやかに措置を講じることが可能となります。DDoS レスポンスチーム (DRT) が年中無休で待機し、お客様のアプリケーションレイヤーの DDoS 攻撃の管理と緩和をサポートしています。AWS Shield Advanced では、DDoS 攻撃に起因する Elastic Load Balancing (ELB)、Amazon CloudFront、および Amazon Route 53 の使用量の急上昇から AWS の請求を保護する DDoS コスト保護を提供しています。

Q: DDoS コスト保護とは何ですか?

DDoS 攻撃により Elastic Load Balancing (ELB)、Amazon CloudFront、Amazon Route 53 の使用量が急上昇した場合に備えて、AWS Shield Advanced にはその料金上昇からお客様を守る DDoS コスト保護が含まれています。DDoS 攻撃によりこれらのサービスのいずれかの使用が上昇した場合は、お客様は通常の AWS サポートチャネル経由で調整をリクエストできます。

Q: AWS にホストされていないウェブサイトにも、AWS Shield の保護機能を使用できますか?

はい。AWS Shield は AWS 外のカスタムオリジンをサポートする Amazon CloudFront と統合されています。

Q: すべての AWS Shield で IPv6 を使用できますか?

はい。AWS Shield の検出と緩和機能はすべて、IPv6 と IPv4 で動作します。これにより、サービスのパフォーマンス、スケーラビリティ、可用性が著しく変化することはありません。

Q: AWS Shield Advanced を利用するための条件はありますか?

はい。AWS Shield Advanced を利用するには、AWS アカウントに AWS ビジネスサポートか AWS エンタープライズサポートのいずれかが含まれている必要があります。サポートプランの詳細については、AWS サポートのウェブサイトを参照してください。

Q: AWS Shield をテストすることはできますか?

AWS の適正利用規約には、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為が説明されています。ただし、侵入テストと他のシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、AWS では AWS 環境への、または AWS 環境からの侵入テストと脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。侵入テストのページで、許可をリクエストしてください。

Q: どの AWS リージョンで AWS Shield Standard を利用できますか?  

AWS Shield Standard は、世界中すべての AWS リージョンと AWS エッジロケーションで、AWS のすべてのサービスで利用できます。

AWS Shield Standard のリージョン別の可用性の詳細については、リージョン別製品およびサービスを参照してください。

Q: どの AWS リージョンで AWS Shield Advanced を利用できますか?

AWS Shield Advanced は、世界中の Amazon CloudFront および Amazon Route 53 エッジロケーションのすべてで利用できます。アプリケーションの前に Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon S3 でも、Amazon EC2 でも、Elastic Load Balancing でも、AWS 外部のカスタムサーバーでもかまいません。バージニア北部、北カリフォルニア、オレゴン、アイルランド、東京の各 AWS リージョンでは、AWS Shield Advanced を Elastic Load Balancing に直接有効化できます。

AWS Shield Advanced のリージョン別可用性の詳細については、リージョン別製品およびサービスをご覧ください。

Q: AWS Shield は HIPAA に適合していますか?

はい、AWS では HIPAA 準拠プログラムを拡張し、AWS Shield を HIPAA 対応サービスとして追加しました。AWS と事業提携契約 (BAA) を締結している場合は、AWS Shield を使用して、マネージド型の分散サービス妨害 (DDoS) から AWS で実行しているウェブアプリケーションを保護できます。詳細については、HIPAA への準拠をご覧ください。


Q: AWS Shield により、どのようなタイプの攻撃を防御できますか?

AWS Shield により、インフラストラクチャレイヤー攻撃 (UDP フラッド攻撃など)、リソース枯渇攻撃 (State Exhaustion) (TCP SYN フラッド攻撃など)、アプリケーションレイヤー攻撃 (HTTP GET または POST フラッド攻撃など) など、あらゆるタイプの DDoS 攻撃からウェブサイトを保護できます。AWS WAF および AWS Shield Advanced 開発者ガイドに記載されている例を参照してください。

Q: AWS Shield Standard により、どのようなタイプの攻撃を防御できますか?

AWS Shield Standard により、UDP フラッド攻撃といった頻繁に発生するインフラストラクチャレイヤー攻撃、TCP SYN フラッド攻撃といったリソース枯渇攻撃 (State Exhaustion) から AWS で実行しているウェブアプリケーションを保護できます。これは、すべての AWS のお客様に自動的に適用されます。また、AWS WAF を使用して、HTTP POST や GET フラッド攻撃などのアプリケーションレイヤー攻撃を防御できます。アプリケーションレイヤー保護をデプロイする方法の詳細については、AWS WAF および AWS Shield Advanced 開発者ガイドを参照してください。

Q: AWS Shield Standard では、いくつのリソースを有効にできますか?

AWS Shield Standard では、有効にできるリソースの数に制限はありません。AWS での best practices of DDoS resiliency に従うことで、AWS Shield Standard の利点を十分に活用することができます。

Q: AWS Shield Advanced では、いくつのリソースを有効にできますか?

AWS Shield Advanced では、最大 100 個の AWS リソースを有効にできます (例: ロードバランサー、Amazon CloudFront ディストリビューション、Amazon Route 53 委託セット)。100 個より多いリソースを有効にする場合は、AWS サポートケースを作成して、上限増加をリクエストできます。

Q: API 経由で AWS Shield Advanced をアクティブ化できますか?

はい。AWS Shield Advanced は API 経由でアクティブ化できます。API を使用して、AWS Shield Advanced から AWS リソースを追加または削除することも可能です。

Q: 攻撃が緩和されるまでにどのくらいの時間がかかりますか?

通常、Amazon CloudFront と Amazon Route 53 への攻撃の場合は 1 秒未満、Elastic Load Balancing への攻撃の場合は 5 分未満で、AWS Shield により検出されたインフラストラクチャレイヤー攻撃の 99% が緩和されます。インフラストラクチャレイヤーの攻撃における残りの 1% は、通常 20 分以内に緩和されます。アプリケーションレイヤーの攻撃は、着信トラフィックにおいてインラインで検査および緩和される AWS WAF にルールを書き込むことで緩和されます。


Q: AWS Shield Standard では、DDoS 攻撃を緩和するためにどのようなツールを提供していますか?

AWS Shield Standard により、最も頻繁に発生する一般的な DDoS 攻撃から AWS で実行しているウェブアプリケーションを自動的に保護できます。best practices of DDoS resiliency に従うことで、AWS Shield Standard の利点を十分に活用することができます。

Q: AWS Shield Advanced では、DDoS 攻撃を緩和するためにどのようなツールを提供していますか?

AWS Shield Advanced により、レイヤー 3 およびレイヤー 4 の DDoS 攻撃の緩和を管理できます。つまり、お客様が指定したウェブアプリケーションを UDP フラッド攻撃や TCP SYN フラッド攻撃のような攻撃から保護できるということです。さらに、アプリケーションレイヤー (レイヤー 7) の攻撃に備えて、AWS WAF を使用して独自の緩和策を適用することもできます。また、年中無休の AWS DDoS レスポンスチーム (DRT) に相談して、レイヤー 7 の DoS 攻撃を緩和するためのルールを作成することも可能です。

Q: AWS DDoS レスポンスチームにはどのように連絡できますか?

通常の AWS サポートを通して、AWS DDoS レスポンスチーム (DRT) に接触できます。または、AWS サポートに連絡してください。

Q: AWS DDoS レスポンスチームが応答するまでにどのくらいの時間がかかりますか?

DRT の応答時間は、お客様の AWS サポートプランによって異なります。お客様からの最初のリクエストに、対応する時間内に応答するよう、合理的な範囲でできる限りの努力を払います。サポートプランの詳細については、AWS サポートのウェブサイトを参照してください。


Q: 攻撃が発生した場合、AWS Shield から通知が発信されますか?

はい。AWS Shield Advanced では、CloudWatch メトリクス経由で DDoS 攻撃の通知が発信されます。

Q: 攻撃の通知が発信されるまでにどのくらいの時間がかかりますか?

通常、AWS Shield Advanced では、攻撃が検出されてから数分以内に攻撃の通知が発信されます。

Q: AWS リソースへの DDoS 攻撃すべての履歴は取得できますか?

はい。AWS Shield Advanced では、13 か月間のすべての攻撃履歴を確認できます。

Q: AWS WAF ルールが正常に機能しているかどうかはどのように確認できますか?

AWS WAF にはお客様のウェブサイトが保護されていることを確認する 2 つの方法があります。CloudWatch では 1 分間のメトリクス、AWS WAF API またはマネジメントコンソールでは Sampled Web Requests がご利用いただけます。これらの方法により、どのリクエストがブロック、許可またはカウントされたか、またどのルールが特定のリクエストにマッチしたかを参照することができます。(例、このウェブリクエストは IP アドレスの条件によりブロックされた等)。詳細については、AWS WAF および AWS Shield Advanced 開発者ガイドを参照してください。


Q: AWS Shield Standard の料金はどのように請求されますか?

AWS Shield Standard は、お客様がウェブアプリケーションで既に使用している AWS のサービスに組み込まれています。したがって、AWS Shield Standard には追加料金はかかりません。

Q: AWS Shield Advanced の料金はどのように請求されますか?

AWS Shield Advanced は 3,000 USD の月額料金で提供されています。さらに、高度な保護が有効になっている AWS リソースはデータ転送料の対象となります。AWS Shield Advanced の料金は、Elastic Load Balancing (ELB)、Amazon CloudFront、および Amazon Route 53 の標準料金への追加として課金されます。詳細については、AWS Shield の料金ページを参照してください。

Q. 複数の AWS アカウントで AWS Shield Advanced を有効にするには、どうすればよいですか?

企業で複数の AWS アカウントが存在する場合、複数の AWS アカウントで AWS Shield Advanced をサブスクライブできます。その AWS アカウントが単一の一括請求 (コンソリデーティッドビリング) にまとめられ、AWS アカウントとそれらアカウント内のリソースをすべて所有しているのであれば、月額料金の支払いは 1 回になります。