カテゴリ: AWS 更新日: 2025/11/14

AWS Shieldでレイヤー3/4攻撃を防ぐ設定と考え方をわかりやすく解説

AWS Shieldでレイヤー3/4攻撃を防ぐ設定と考え方
AWS Shieldでレイヤー3/4攻撃を防ぐ設定と考え方
先生と生徒の会話形式で理解しよう

生徒

「先生、レイヤー3とかレイヤー4って聞いたことがあるんですが、AWSで何か対策できるんですか?」

先生

「はい、AWSではAWS Shield(エーダブリューエス シールド)を使って、ネットワーク層の攻撃、つまりレイヤー3やレイヤー4を守ることができますよ。」

生徒

「具体的には、どんな攻撃を防げるんですか?」

先生

「それでは、AWS Shieldでのレイヤー3/4攻撃対策について、基本から一緒に見ていきましょう!」

1. レイヤー3/4攻撃とは?読み方と意味

1. レイヤー3/4攻撃とは?読み方と意味
1. レイヤー3/4攻撃とは?読み方と意味

レイヤー3は「ネットワーク層(ネットワークソウ)」、レイヤー4は「トランスポート層(トランスポートソウ)」と呼ばれます。 これは、通信の仕組みを階層で分けたOSI参照モデルに基づいた言い方で、それぞれの層に対して行われる攻撃を指します。

代表的なレイヤー3/4攻撃には、UDPフラッドTCP SYNフラッドICMPフラッドなどがあります。 これらは、大量のパケットを一気に送りつけることでネットワークを混乱させ、サービス停止を狙うものです。

2. AWS Shieldとは?基本の読み方と役割

2. AWS Shieldとは?基本の読み方と役割
2. AWS Shieldとは?基本の読み方と役割

AWS Shield(エーダブリューエス シールド)は、AWSが提供するDDoS(ディードス)対策のマネージドサービスです。 何もしなくても標準で有効な「AWS Shield Standard」と、有料の上位版「AWS Shield Advanced」があります。

Shield Standardでも、ネットワーク層とトランスポート層の攻撃、つまりレイヤー3/4攻撃に対しては自動で防御される仕組みが整っています。

3. AWS Shieldで防げるレイヤー3/4攻撃の種類

3. AWS Shieldで防げるレイヤー3/4攻撃の種類
3. AWS Shieldで防げるレイヤー3/4攻撃の種類

AWS Shieldが対応する主なレイヤー3/4攻撃には以下のようなものがあります:

  • UDPフラッド攻撃:読み方はユー・ディー・ピー フラッド。不要なUDPパケットを大量に送る攻撃
  • TCP SYNフラッド攻撃:読み方はティー・シー・ピー シン フラッド。TCP接続を悪用した攻撃
  • ICMPフラッド攻撃:読み方はアイ・シー・エム・ピー フラッド。pingを大量送信して負荷をかける
  • Reflection攻撃:第三者サーバーを利用して攻撃元を隠しながら攻撃

これらの攻撃はすべて「サービスの可用性(カヨウセイ)」を奪うことを目的としています。 AWS Shieldはこれらを自動で監視し、リアルタイムで緩和(かんわ)します。

4. AWS Shieldでの防御の仕組み

4. AWS Shieldでの防御の仕組み
4. AWS Shieldでの防御の仕組み

AWS Shield Standardは、自動的にトラフィックをモニタリングし、異常なパターンを検出したときに対処します。 特に、以下のAWSサービスと連携することで、高い防御効果を発揮します。

  • AWS Elastic Load Balancing(読み方:エラスティックロードバランシング)
  • Amazon CloudFront(クラウドフロント)
  • Amazon Route 53(ルート フィフティスリー)
  • AWS Global Accelerator(グローバルアクセラレーター)

これらのサービスは、エッジロケーションというAWSの拠点でリクエストをさばくため、攻撃が本体に届く前に遮断できるよう設計されています。

5. AWS Shieldの設定は必要?初心者向けの考え方

5. AWS Shieldの設定は必要?初心者向けの考え方
5. AWS Shieldの設定は必要?初心者向けの考え方

Shield Standardは、デフォルトで有効なので、特別な設定をしなくてもDDoS攻撃からある程度保護されます。 ただし、より強力な保護や細かい可視化・通知・レポートが必要な場合は、「Shield Advanced」の導入を検討します。

Shield Advancedでは、専用のダッシュボードや、DDoS Response Team(ディードス レスポンス チーム)への連絡機能も使えるようになります。

6. 効果的にレイヤー3/4攻撃を防ぐ設計のポイント

6. 効果的にレイヤー3/4攻撃を防ぐ設計のポイント
6. 効果的にレイヤー3/4攻撃を防ぐ設計のポイント

レイヤー3/4攻撃を防ぐためには、Shieldに任せきりにするだけでなく、以下のような設計の工夫も重要です。

  • CloudFrontを活用:エッジでリクエストを受け止め、オリジンへの負荷を軽減
  • Elastic Load Balancerを使用:攻撃の影響を分散
  • 不要なポートを閉じる:セキュリティグループで通信制御
  • VPCフローログを有効化:異常通信の検出に活用
  • Route 53で地理的分散:単一障害点の回避

これらを組み合わせることで、Shieldの防御と構成上の対策の二重構えが実現できます。

7. レイヤー7との違いも知っておこう

7. レイヤー7との違いも知っておこう
7. レイヤー7との違いも知っておこう

レイヤー3/4攻撃は、主にパケットの送信レベルでの攻撃です。一方、レイヤー7(アプリケーション層)は、HTTPなどアプリケーション通信を狙います。 Shield Standardは主にレイヤー3/4に対応していますが、レイヤー7に関してはAWS WAF(ダブリューエーダブリューエフ)と組み合わせて使うのが一般的です。

つまり、レイヤー3/4は「大量のデータの波」、レイヤー7は「中身を狙った攻撃」というイメージです。 両方の視点でセキュリティを考えることが重要です。

関連記事:
AWS Shield Advancedの契約手順と有効化方法 | AWS Shield Advancedの契約手順と有効化方法を徹底解説!初心者向けDDoS防御ガイド
AWS Shieldでアラート通知を設定する方法(CloudWatch連携) | AWS Shieldでアラート通知を設定する方法!CloudWatch連携を初心者向けに解説
AWS Shield StandardとAdvancedの違いを徹底比較 | AWS Shield StandardとAdvancedの違いを徹底比較!初心者向けDDoS対策ガイド
AWS Shieldの緊急対応サポート(DDoS Response Team)について | AWS Shieldの緊急対応サポートとは?DDoS攻撃から守るDDoS Response Teamの仕組み
AWS Shieldでのトラフィック分析レポートの見方 | AWS Shieldでのトラフィック分析レポートの見方をやさしく解説!初心者向けDDoS対策の第一歩
AWS Shieldとは?DDoS攻撃からアプリケーションを守る仕組み | AWS Shieldとは?DDoS攻撃からアプリケーションを守る仕組みを徹底解説
AWS ShieldとVPCセキュリティグループの関係 | AWS ShieldとVPCセキュリティグループの関係をやさしく解説!DDoS対策とアクセス制御の基本
AWS ShieldとWAFの違いと連携のポイント | AWS ShieldとWAFの違いと連携のポイントを完全解説!初心者でもわかるセキュリティ対策
カテゴリの一覧へ
新着記事
New1
シェルとターミナル基礎
Linuxのシェルとは何か?初心者向けに役割を解説
Linuxのシェルとは?初心者でもわかる役割と基本を完全解説
New2
IAM
AWS IAMロールとは?クロスサービスアクセスの設定方法
New3
Linux ディストリビューション
Linuxディストリビューションを選ぶ基準とは?
Linuxディストリビューションの選び方完全ガイド!初心者でも失敗しない選択基準とおすすめの選び方
New4
IAM
AWS IAMポリシーの基本構文と書き方をマスターしよう
人気記事
No.1
Java&Spring記事人気No1
S3(オブジェクトストレージ)
AWS S3の料金体系をわかりやすく解説
 132
AWS S3の料金体系をわかりやすく解説
No.2
Java&Spring記事人気No2
AWS 基本
AWSの公式料金計算ツール(Pricing Calculator)の使い方
 51
AWSの公式料金計算ツール(Pricing Calculator)の使い方
No.3
Java&Spring記事人気No3
S3(オブジェクトストレージ)
AWS S3イベント通知を設定してLambdaをトリガーする方法
 42
AWS S3イベント通知を設定してLambdaをトリガーする方法を初心者向けに解説!
No.4
Java&Spring記事人気No4
ELB(ロードバランサー)
AWS ELBでターゲットグループを設定する方法
 35
AWS ELBでターゲットグループを設定する方法を初心者向けに解説!
No.5
Java&Spring記事人気No5
VPC(プライベートクラウド)
AWS VPCでNATゲートウェイを構成してプライベートサブネットから外部アクセスする方法
 34
AWS VPCでNATゲートウェイを構成してプライベートサブネットから外部アクセスする方法を初心者向けに解説!
No.6
Java&Spring記事人気No6
Direct Connect(専用線接続)
AWS Direct Connect Gatewayの使い方と制限事項
 33
AWS Direct Connect Gatewayの使い方と制限事項を初心者向けにやさしく解説
No.7
Java&Spring記事人気No7
RDS(データベース)
AWS RDSのスケーリング(インスタンスのサイズ変更)を行う方法
 32
AWS RDSのスケーリング(インスタンスサイズ変更)を初心者向けにやさしく解説!
No.8
Java&Spring記事人気No8
Linux 基礎概要
Linuxとは何か?初心者向けに意味・特徴をわかりやすく解説
 29
Linuxとは何か?初心者向けに意味・特徴をわかりやすく解説