AWS Shield のよくある質問

ページトピック

全般
8
保護の設定
5
攻撃への対応
4
可視性およびレポート
6
請求
4

全般

AWS Shield は、AWS で実行されるアプリケーションを Distributed Denial of Service (DDoS) 攻撃から保護するマネージド型のサービスです。AWS Shield Standard は、すべてのお客様に対し追加料金なしで自動的に有効化されます。AWS Shield Advanced は任意で利用できる有料サービスです。AWS Shield Advanced により、Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Route 53 で実行中のアプリケーションを標的とする、高度化された大規模な攻撃からの保護が強化されます。

AWS のお客様すべてを対象とする AWS Shield Standard により、SYN/UDP フラッド攻撃やリフレクション攻撃といった最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃を防御し、AWS でのアプリケーションの高可用性を保護できます。

保護されている Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 の使用量が DDoS 攻撃によって急上昇した場合に備えて、AWS Shield Advanced にはその料金上昇からお客様を守る DDoS コスト保護が含まれています。DDoS 攻撃により AWS Shield Advanced が保護するリソースのいずれかの使用量が上昇した場合は、お客様は通常の AWS サポートチャネル経由で調整をリクエストできます。

はい。AWS Shield の検出と緩和機能はすべて、IPv6 と IPv4 で動作します。これにより、サービスのパフォーマンス、スケーラビリティ、可用性が著しく変化することはありません。

AWS の適正利用規約には、禁止されているセキュリティ違反やネットワーク不正使用をはじめ、AWS で許可されている行為と禁止されている行為が説明されています。ただし、DDoS シミュレーションテストや侵入テストなどのシミュレートされたイベントはこれらの行為と区別できないことがよくあるため、DDoS テスト、侵入テスト、脆弱性スキャンを実施する許可をお客様がリクエストできるポリシーを確立しました。詳細については、ペネトレーションテストのページDDoS シミュレーションテストポリシーにアクセスしてください。

AWS Shield Standard は、世界中すべての AWS リージョンと AWS エッジロケーションで、AWS のすべてのサービスで利用できます。

AWS Shield Standard を利用できるリージョンに関する詳細については、「製品およびサービス (リージョン別)」をご覧ください。

AWS Shield Advanced は、世界中の Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 のエッジロケーションすべてで利用できます。アプリケーションに Amazon CloudFront をデプロイすることで、世界のどこでホストされているウェブアプリケーションでも保護できます。オリジンサーバーは Amazon Simple Storage Service (S3)、Amazon EC2、Elastic Load Balancing、AWS 外部のカスタムサーバーのいずれでも問題ありません。また、バージニア北部、オハイオ、オレゴン、北カリフォルニア、モントリオール、サンパウロ、アイルランド、フランクフルト、ロンドン、パリ、ストックホルム、シンガポール、東京、シドニー、ソウル、ムンバイ、ミラノ、ケープタウン、香港、バーレーン、マレーシア、およびアラブ首長国連邦の AWS リージョンでは、Elastic Load Balancing または Amazon EC2 で AWS Shield Advanced を直接有効化することができます。

AWS Shield Advanced を利用できるリージョンに関する最新の詳細については、「製品およびサービス (リージョン別)」をご覧ください。

はい、AWS では HIPAA 準拠プログラムを拡張し、AWS Shield を HIPAA 対応サービスとして追加しました。AWS と事業提携契約 (BAA) を締結している場合は、AWS Shield を使用して、AWS で実行しているウェブアプリケーションを分散サービス妨害 (DDoS) から保護できます。詳細については、「HIPAA コンプライアンス」をご覧ください。

保護の設定

AWS Shield Standard により、UDP フラッド攻撃といった頻繁に発生する最も一般的なインフラストラクチャレイヤー攻撃、TCP SYN フラッド攻撃といったリソース枯渇攻撃から AWS で実行しているウェブアプリケーションを自動的に保護できます。また、AWS WAF を使用して、HTTP POST や GET フラッド攻撃などのアプリケーションレイヤー攻撃を防御することもできます。アプリケーションレイヤー保護をデプロイする方法の詳細については、「AWS WAF および AWS Shield Advanced デベロッパーガイド」をご覧ください。

AWS Shield Standard による保護では、有効にできるリソースの数に制限はありません。AWS での DDoS レジリエンシーのベストプラクティスに従うことで、AWS Shield Standard の恩恵を最大限に享受できます。

AWS Shield Advanced による保護では、サポート対象の各リソースタイプ (クラシック/Application Load Balancer、Amazon CloudFront ディストリビューション、Amazon Route 53 ホストゾーン、Elastic IP、AWS Global Accelerator アクセラレーター) ごとに最大 1,000 の AWS リソースを有効にできます。1,000 個を超えるリソースを有効にする場合は、AWS サポートケースを作成することで制限の引き上げをリクエストできます。

はい。AWS Shield Advanced は API 経由で有効にできます。API を使用して、AWS Shield Advanced から AWS リソースを追加または削除することも可能です。

通常、Amazon CloudFront と Amazon Route 53 への攻撃の場合は 1 秒未満、Elastic Load Balancing への攻撃の場合は 5 分未満で、AWS Shield により検出されたインフラストラクチャレイヤー攻撃の 99% が緩和されます。インフラストラクチャレイヤーの攻撃における残りの 1% は、通常 20 分以内に緩和されます。アプリケーションレイヤーの攻撃は、着信トラフィックにおいてインラインで検査および緩和される AWS WAF にルールを書き込むことで緩和されます。

攻撃への対応

AWS Shield Standard により、最も頻繁に発生する一般的な DDoS 攻撃から AWS で実行しているウェブアプリケーションを自動的に保護できます。AWS での DDoS 回復性のベストプラクティスに従うことで、AWS Shield Standard の利点をフルに活用することができます。

AWS Shield Advanced により、レイヤー 3 およびレイヤー 4 の DDoS 攻撃の緩和を管理できます。つまり、UDP フラッド攻撃や TCP SYN フラッド攻撃などからお客様が指定したアプリケーションを保護できます。さらに、アプリケーションレイヤー (レイヤー 7) 攻撃への対策として、AWS Shield Advanced は HTTP フラッド攻撃や DNS フラッド攻撃を検出できます。AWS WAF を使用して独自の緩和策を適用することもできます。また、ビジネスサポートまたはエンタープライズサポートに加入している場合、24 時間年中無休の AWS Shield レスポンスチーム (SRT) に相談して、レイヤー 7 DDoS 攻撃を緩和するためのルールをお客様に代わって作成させることも可能です。

AWS Shield Response Team (SRT) とは、通常の AWS サポート経由で連絡できます。または、AWS サポートまでご連絡ください。

SRT の応答時間は、お客様の AWS Support プランによって異なります。お客様からの最初のリクエストに、対応する時間内に応答するよう、合理的な範囲でできる限りの努力を払います。AWS サポートプランの詳細については、AWS サポートのウェブサイトをご覧ください。

可視性およびレポート

はい。AWS Shield Advanced では、CloudWatch メトリクス経由で DDoS 攻撃の通知が発信されます。

通常、AWS Shield Advanced では、攻撃が検出されてから数分以内に攻撃の通知が発信されます。

はい。AWS Shield Advanced では、13 か月間のすべての攻撃履歴を確認できます。

はい。AWS Shield Advanced のお客様はグローバル脅威環境ダッシュボードにアクセスし、過去 2 週間に AWS で発生したすべての DDoS 攻撃を、匿名化されたサンプルの形で確認できます。

AWS WAF にはお客様のウェブサイトが保護されていることを確認する 2 つの方法があります。CloudWatch では 1 分間のメトリクス、AWS WAF API または AWS マネジメントコンソールでは Sampled Web Requests がご利用いただけます。さらに、Amazon Kinesis Firehose を通じてお好きな送信先に配信できる包括的なログを有効にすることもできます。これらの方法により、どのリクエストがブロック、許可またはカウントされたか、またどのルールが特定のリクエストにマッチしたかを参照できます (例、このウェブリクエストは IP アドレスの条件によりブロックされた等)。詳細については、「AWS WAF および AWS Shield Advanced デベロッパーガイド」をご覧ください。

AWS でのペネトレーションテスト」をご覧ください。しかし、これには「DDoS ロードテスト」は AWS で認められていませんので含まれていません。ライブの DDoS テストを行いたい場合は、AWS Support でチケットを出し、その許可をリクエストしてください。この承認には AWS、お客様、 DDoS テストベンダーの間でテストの条件に関しての合意が必要となります。弊社では認可済みの DDoS テストベンダーのみと業務を行い、プロセス全体は 3~4 週間かかります。

請求

AWS Shield Standard は、お客様がウェブアプリケーションで既に使用している AWS のサービスに組み込まれています。したがって、AWS Shield Standard には追加料金はかかりません。

AWS Shield Advanced は組織あたり 3,000 USD の月額料金で提供されています。さらに、高度な保護が有効になっている AWS リソースは AWS Shield Advanced のデータ転送料の対象となります。AWS Shield Advanced の料金は、Amazon EC2、Elastic Load Balancing (ELB)、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53 の標準料金に追加で課金されます。詳細については、AWS Shield の料金ページをご覧ください。

はい。AWS Shield Advanced には保護したいリソースを選択できる柔軟性があります。それらの保護されたリソースに対しては、AWS Shield Advanced のデータ転送料のみが請求されます。

組織で複数の AWS アカウントをお持ちの場合、AWS マネジメントコンソールまたは API を使用して各アカウントで個別に有効化すれば、複数の AWS アカウントを AWS Shield Advanced にサブスクライブできます。その AWS アカウントが単一の一括請求 (コンソリデーティッドビリング) にまとめられ、AWS アカウントとそれらアカウント内のリソースをすべて所有しているのであれば、月額料金の支払いは 1 回になります。