AWS ShieldとWAFの違いと連携のポイントを完全解説!初心者でもわかるセキュリティ対策
生徒
「先生、AWS ShieldとAWS WAFって名前が似ていますけど、何が違うんですか?」
先生
「いい質問だね。AWS Shield(エーダブリューエス シールド)はDDoS(ディードス)攻撃から守るサービスで、WAF(ワフ)はWebアプリケーションファイアウォールのことなんだ。それぞれ役割が違うんだよ。」
生徒
「なるほど!でも一緒に使うこともできるんですか?」
先生
「もちろん。ShieldとWAFを連携すれば、より強力にセキュリティを高められるんだ。」
1. AWS Shieldとは?
AWS Shield(エーダブリューエス シールド)は、DDoS攻撃(分散型サービス拒否攻撃)からアプリケーションを守るサービスです。読み方はシールドで、名前の通り「盾」として機能します。DDoS攻撃とは、大量のアクセスを一斉に送りつけてサービスを停止させる攻撃のことです。AWS Shieldには、標準で全ユーザーに提供されるShield Standardと、有料でより高度な対策ができるShield Advancedの2種類があります。
Shieldは主に「大量のトラフィックを無効化する」ことに強く、ネットワーク層やトランスポート層に対する攻撃を自動でブロックしてくれます。
2. AWS WAFとは?
AWS WAF(エーダブリューエス ワフ)は、Web Application Firewall(ウェブ アプリケーション ファイアウォール)の略で、アプリケーション層の攻撃を防ぐためのサービスです。読み方はワフで、SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションを狙った攻撃に対応できます。
WAFは「どのリクエストを許可するか、拒否するか」を細かくルール設定できるのが特徴です。例えば「特定のIPアドレスからのアクセスを拒否する」や「リクエストのサイズが大きすぎる場合にブロックする」といった制御が可能です。
3. ShieldとWAFの違いを比較
両者の違いをわかりやすく整理すると次の通りです。
- AWS Shield:DDoS攻撃を自動で検知・緩和する。ネットワーク層やトランスポート層の防御が得意。
- AWS WAF:Webアプリケーション層を狙う攻撃をルールベースで防ぐ。細かいアクセス制御が可能。
つまり、Shieldは「大きな津波をせき止めるダム」、WAFは「小さな穴をふさぐフィルター」とイメージするとわかりやすいです。
4. 連携することで得られるメリット
AWS ShieldとWAFを組み合わせることで、より強力なセキュリティ対策が可能になります。例えば、Shieldが大規模なDDoS攻撃を防ぎつつ、WAFが細かな悪意あるリクエストをブロックするという二重の防御です。
具体的には、CloudFront(クラウドフロント)やALB(アプリケーションロードバランサー)などのサービスを利用する際に、両方を同時に有効化するのが一般的です。こうすることで、アプリケーションの可用性とセキュリティを同時に守ることができます。
5. 初心者が押さえるべきポイント
初心者が理解しておくべきポイントは次の通りです。
- Shieldは自動適用:AWSを利用しているだけで標準のDDoS防御が有効になっている。
- WAFは手動設定:どの攻撃を防ぐかルールを自分で作成する必要がある。
- 連携で最強:両方を組み合わせることで、大規模攻撃から細かい攻撃まで幅広く防げる。
この3つを押さえておくだけでも、初心者がAWSでシステムを守る際の大きな指針になります。
6. 実際の利用シーン
例えば、ECサイトをAWS上で運営しているとしましょう。セール期間中に大量のアクセスが集中すると、攻撃ではなくてもシステムが不安定になることがあります。このときShieldが不自然な大量アクセスを自動で調整し、さらにWAFが不正なリクエストをブロックすることで、安定したサービス提供を実現できます。
また、金融システムや予約サイトなどセキュリティが特に重要なサービスでは、必ずShieldとWAFを併用するのが定石となっています。
