先生と生徒の会話形式で理解しよう

生徒

「先生、AWS Shieldで攻撃を防いでくれるのは分かるんですけど、攻撃があったときに通知を受け取る方法ってあるんですか？」

先生

「いい質問だね。AWS（エーダブリューエス） Shield（シールド）は、CloudWatch（クラウドウォッチ）と連携することで、DDoS（ディードス）攻撃を検知したときにアラート通知を設定できるんだよ。」

生徒

「アラート通知って、メールとかでも受け取れるんですか？」

先生

「そうだよ。SNS（エスエヌエス）というサービスを使えば、メールやチャットに連携させてすぐに通知を受けられるんだ。」

1. AWS ShieldとCloudWatchの関係

AWS Shieldは、DDoS攻撃（分散型サービス拒否攻撃）からWebサイトやAPIなどのアプリケーションを守るAWSのセキュリティサービスです。Shieldが攻撃の兆候や異常な通信を検知すると、その情報は自動的にCloudWatchへ連携されます。CloudWatchはAWSの監視サービスで、メトリクス（指標）の収集やログの確認、アラーム設定などに使われます。つまり、ShieldとCloudWatchを組み合わせることで、「守る」だけでなく「いま何が起きたか」を数値で見える形にでき、運用担当者が状況をすぐ把握できる仕組みが整うのです。

CloudWatch（クラウドウォッチ）は名前の通りクラウド環境を見張る役割を持ち、監視カメラのようにサービスの状態を継続的に記録します。Shieldが検知したDDoS関連の出来事がCloudWatchのメトリクスとして蓄積されるため、後から「いつ・どのタイミングで」異常があったかを確認することも可能です。ここが、AWS Shieldの防御を運用に活かすうえで大切なポイントです。

初心者向けの簡単なイメージ例

プログラミング未経験でも、次のように理解すると分かりやすいです。


AWS Shield：不審な攻撃を見つけて守る係
CloudWatch：見つけた出来事を記録して数値で見える化する係

（例）
攻撃を検知 → CloudWatch にメトリクスとして記録 → あとで確認できる

この「記録して見える化する」動きがあるからこそ、運用中のAWS環境でDDoS対策の状況を把握しやすくなります。

2. CloudWatchメトリクスとは？

CloudWatchのメトリクス（指標）は、AWS上で動くシステムの状態を「数字」で見えるようにしたデータのことです。たとえばCPU（シーピーユー）の使用率、リクエスト数、エラー率、ネットワーク通信量などが代表例で、サーバーやアプリケーションが元気に動いているかを判断する材料になります。画面でグラフとして確認できるため、初心者でも「いつから負荷が上がったか」「エラーが増えたか」をつかみやすいのが特徴です。

AWS Shieldを使っている場合は、DDoS攻撃に関するメトリクスもCloudWatchで扱えます。たとえば「DDoSDetected」のように、攻撃を検知したかどうかが数値で表れ、普段は0、検知したときに1になるイメージです。これにより、攻撃の発生を感覚ではなくデータとして確認できるようになります。

初心者向けの簡単なイメージ例

メトリクスは「体温計」に近いです。体温が高ければ異常に気づけるように、数値の変化でトラブルの兆しを早めに見つけられます。


CPU使用率： 20 → 80（負荷が上がってきた）
エラー率：  0 → 5（失敗が増えてきた）
DDoSDetected：0 → 1（攻撃を検知した）

そして、このメトリクスに「ここまで上がったら注意」という基準（しきい値）を決めておき、条件を超えたときにアラートを出せるのがCloudWatchのアラーム機能です。数字で判断できるので、見落としを減らし、運用の安心感につながります。

3. アラート通知を設定する流れ

AWS Shieldでアラート通知を設定するには、次の流れで進めます。やること自体はシンプルで、「攻撃を示す数値（メトリクス）を選ぶ→条件を決める→通知先をつなぐ」という順番です。難しく感じる場合も、手順を一つずつ確認すれば迷いにくくなります。

CloudWatchに移動：AWSマネジメントコンソールからCloudWatchの画面に入り、監視やアラームのメニューを開きます。
メトリクスを選択：「AWS/DDoSProtection」という名前空間に、AWS Shieldに関連するメトリクスがあります。DDoSDetectedなど目的の指標を探します。
アラームを作成：「DDoSDetected」が1になったときにアラームを発火するよう設定します。普段は0、検知時は1という前提で考えると分かりやすいです。
通知先を設定：Amazon SNSと連携して、メールアドレスやチャットアプリに通知を送れるようにします。通知が届く先を決める工程です。

初心者向けの簡単なイメージ例

「もし○○が起きたら、△△に連絡する」という形に置き換えると理解しやすいです。


もし DDoSDetected が 1 になったら（攻撃を検知）
→ CloudWatch アラームを ON にする（異常として判定）
→ SNS 経由でメールに通知する（担当者へ連絡）

こうしておけば、攻撃を受けた瞬間に管理者へ通知が届き、すぐに状況確認や対応に移れる体制が整います。

4. SNSを使った通知の仕組み

SNS（Simple Notification Service、シンプルノーティフィケーションサービス）は、AWSの通知サービスです。読み方はエスエヌエスで、メールやHTTPエンドポイント、チャットツールなどにメッセージを送れます。

CloudWatchアラームのアクションにSNSトピックを設定することで、Shieldが攻撃を検知した瞬間に通知が飛びます。例えば「alert@example.com」にメールを飛ばしたり、Slackなどのチャットに通知を送ることが可能です。

5. 実際の通知設定例

具体的なイメージを例で見てみましょう。

条件：DDoSDetectedメトリクスが1になったら通知
通知先：SNSトピック「Security-Alert」にメールアドレスを登録
結果：攻撃が検出されると、登録済みのメールアドレスに「DDoS攻撃が検知されました」という通知が届く

このようにしておけば、夜間や休日でも攻撃の発生をすぐに把握できるので、安心してサービスを運用できます。

6. 初心者が気をつけるポイント

初心者が設定するときに気をつけたいのは、通知が届くアドレスの確認と、通知先の登録忘れです。SNSトピックを作成した後は、必ず購読（サブスクリプション）確認メールに承認しておかないと、通知が届きません。

また、アラームのしきい値を緩すぎたり厳しすぎたりすると、通知が来なかったり逆に通知が多すぎて重要なアラートを見逃す原因になります。最初はデフォルトの設定を使い、徐々に運用に合わせて調整するのがおすすめです。

まとめ

ここまで、AWS ShieldとCloudWatchを連携してアラート通知を設定する方法について、初心者向けに順を追って解説してきました。AWS Shieldは、DDoS攻撃からシステムを自動的に守ってくれる非常に心強いセキュリティサービスですが、「攻撃が発生したことを人がどうやって知るか」という点まで考えることが、実運用ではとても重要です。

Shield単体では裏側で防御が行われるため、管理者が気づかないまま攻撃が終わってしまうケースもあります。そこでCloudWatchと連携することで、DDoS攻撃を検知した瞬間にメトリクスとして数値化し、その変化をトリガーとしてアラートを発生させることができます。これにより、AWS上で動いているWebサービスやAPI、業務システムの安全状態をリアルタイムで把握できるようになります。

CloudWatchのメトリクスは、CPU使用率やリクエスト数のような基本的な監視だけでなく、AWS Shieldが提供するDDoSDetectedのようなセキュリティ関連の指標も扱える点が大きな特徴です。このメトリクスにアラームを設定し、しきい値を超えた場合にSNSと連携することで、メールやチャットツールに即座に通知を送る仕組みが完成します。

Amazon SNSを使った通知は設定も比較的簡単で、初心者でも扱いやすいのが魅力です。SNSトピックを作成し、メールアドレスを購読として登録するだけで、CloudWatchアラームからの通知を受け取れるようになります。ただし、購読確認メールを承認しないと通知が届かない点は、実際の運用でつまずきやすいポイントなので注意が必要です。

実際の設定作業では、AWSマネジメントコンソール上でCloudWatchに移動し、AWS/DDoSProtectionの名前空間からメトリクスを選択します。その後、DDoSDetectedが1になったときにアラームが発火するよう設定し、アクションとしてSNSトピックを指定します。この一連の流れを理解しておくことで、AWS Shieldの防御状況を「見える化」でき、セキュリティ対策のレベルを一段引き上げることができます。

以下は、アラーム設定を確認する際の考え方を整理したサンプル例です。実際のAWSコンソール操作とは異なりますが、仕組みをイメージする助けになります。


AWS Shield が DDoS 攻撃を検知
↓
CloudWatch メトリクス DDoSDetected が 1 になる
↓
CloudWatch アラームが発火
↓
SNS トピックを通じてメール通知を送信

このような流れを理解しておくことで、「なぜ通知が届いたのか」「どのタイミングでアラームが発生したのか」を冷静に判断できるようになります。AWSのセキュリティ対策は自動化が進んでいますが、その仕組みを人が理解していなければ、いざというときに正しい判断ができません。

初心者のうちは、まずはデフォルトに近い設定で運用を始め、通知がどのように届くのかを実際に確認することが大切です。そのうえで、通知頻度やしきい値を調整していくことで、自分のシステムに合った最適な監視体制を作ることができます。AWS ShieldとCloudWatch、SNSを組み合わせたアラート通知は、AWS運用の基本としてぜひ身につけておきたい知識です。

先生と生徒の振り返り会話

生徒「今回のまとめを通して、AWS Shieldってただ守ってくれるだけじゃなくて、CloudWatchと組み合わせることで状況をちゃんと把握できるんだって分かりました。」

先生「その理解はとても大事だね。セキュリティは自動防御だけでなく、可視化と通知があって初めて運用として成り立つんだ。」

生徒「CloudWatchのメトリクスやアラームって、CPU監視だけだと思っていましたけど、DDoS攻撃の検知にも使えるのは意外でした。」

先生「AWSでは多くのサービスがCloudWatchと連携しているから、監視の中心として覚えておくといいよ。ShieldのDDoSDetectedもその一つだね。」

生徒「SNSでメール通知を送れる仕組みも分かりやすかったです。設定さえしておけば、攻撃があったことをすぐ知れるのは安心ですね。」

先生「そうだね。通知を受け取って初めて、人が次の行動を判断できる。AWS ShieldとCloudWatchの連携は、初心者が最初に学ぶセキュリティ運用としてとても良い題材なんだよ。」