AWS Shieldで保護されるサービス一覧を解説！CloudFront・ALB・Route 53など

1. AWS Shieldとは？

1. AWS Shieldとは？

AWS Shieldは、Amazon Web Services（アマゾン ウェブ サービス）が提供するDDoS攻撃防御の仕組みです。読み方はシールドで、標準のShield Standard（スタンダード）は無料で自動適用されます。さらに有料のShield Advanced（アドバンスド）を契約すれば、より強力な防御とサポートを受けられます。

DDoS攻撃とは、分散型サービス拒否攻撃のことを指し、読み方はディードスこうげきです。大量のリクエストを送りつけてサービスを止める攻撃で、クラウドサービスを使う上で大きなリスクとなります。そこで、AWS Shieldが事前に防御をして、システムの安定性を確保するのです。

2. 保護される代表的なサービス

2. 保護される代表的なサービス

AWS Shieldがカバーしている代表的なサービスは次の通りです。

• Amazon CloudFront（クラウドフロント）：CDN（コンテンツ デリバリー ネットワーク）サービスで、世界中にコンテンツを配信する仕組みです。大量のアクセスに強く、攻撃を受けやすい場所でもあります。
• Elastic Load Balancing（エラスティック ロード バランシング）：ALB（アプリケーションロードバランサー）、NLB（ネットワークロードバランサー）などが対象で、複数のサーバーに通信を分散する仕組みです。
• Amazon Route 53（ルート53）：DNS（ディーエヌエス）のサービスで、ユーザーのリクエストを適切なサーバーに振り分けます。DDoS攻撃で最も狙われやすい部分のひとつです。
• Amazon Global Accelerator（グローバル アクセラレーター）：グローバル規模でアプリケーションの通信を最適化するサービスで、ネットワーク全体の耐障害性を高めます。

これらのサービスは、インターネットに直接さらされることが多いため、DDoS攻撃の標的になりやすいのです。そのため、Shieldによる保護が標準で提供されています。

3. CloudFrontが保護される理由

3. CloudFrontが保護される理由

Amazon CloudFrontは世界中に分散配置されたエッジサーバーを使ってコンテンツを配信するサービスです。動画配信やECサイトで多く使われており、アクセス集中や攻撃の影響を受けやすい場所でもあります。Shieldが有効化されていることで、攻撃を検知してトラフィックを遮断し、正規の利用者には影響を与えないようにできます。

4. ALBやNLBの保護

4. ALBやNLBの保護

Elastic Load BalancingのALBやNLBは、複数のEC2インスタンスやコンテナにアクセスを振り分ける役割を持ちます。ロードバランサーが攻撃を受けると全体のシステムに影響が出てしまうため、Shieldで守ることが非常に重要です。特にALBはアプリケーション層の通信を扱うので、DDoS攻撃だけでなく複雑な攻撃からも守る仕組みと組み合わせると効果的です。

5. Route 53とDNS保護

5. Route 53とDNS保護

Amazon Route 53は、ユーザーが入力したURLを適切なサーバーへと導くDNSサービスです。DNSはインターネットの住所録のような役割を持つため、ここが攻撃されると全体のサービスが利用できなくなる危険性があります。ShieldはDNSへの大量リクエストを自動で防御し、ユーザーが普段通りにサービスを利用できるようにしています。

6. Global Acceleratorでの保護

6. Global Acceleratorでの保護

Amazon Global Acceleratorは、ユーザーのリクエストを最適な経路でアプリケーションに届けるサービスです。ゲームや金融取引のようにリアルタイム性が求められる環境で使われます。ここも攻撃対象になりやすいため、ShieldによるDDoS防御が自動的に働いています。

7. Shield Advancedで追加される対象

7. Shield Advancedで追加される対象

標準のShield Standardでは主にCloudFrontやALBなどが保護されますが、Shield Advancedを契約するとさらに広い範囲のサービスで保護が可能になります。例えば、Elastic IP（エラスティック アイピー）を直接利用しているEC2インスタンスなども対象になります。これにより、クラウドインフラ全体をDDoSから守ることができます。