AWS ShieldとVPCセキュリティグループの関係をやさしく解説!DDoS対策とアクセス制御の基本
生徒
「先生、AWSのDDoS対策って、AWS Shieldを使うって聞いたんですけど、セキュリティグループとはどう違うんですか?」
先生
「いい質問ですね。AWS Shield(エーダブリューエス シールド)は、DDoS攻撃から守るための仕組みで、VPCのセキュリティグループとは少し役割が違うんですよ。」
生徒
「一緒に使うものなんですか?それともどっちかを選べばいいんですか?」
先生
「それじゃあ、AWS ShieldとVPCのセキュリティグループの関係や違いをわかりやすく説明していきましょう!」
1. AWS Shieldとは?読み方と基本の役割
AWS Shield(エーダブリューエス シールド)は、DDoS(ディードス)攻撃からAWSのサービスを保護するためのマネージド型セキュリティサービスです。 特に、レイヤー3(ネットワーク層)やレイヤー4(トランスポート層)の攻撃に強く、自動でトラフィックを検知・緩和(かんわ)してくれるのが特徴です。
AWS Shieldには、無料で標準提供されるShield Standardと、高度な保護機能を備えたShield Advancedの2種類があります。
2. VPCセキュリティグループとは?読み方と意味
VPC(ブイピーシー)は「Virtual Private Cloud(バーチャル プライベート クラウド)」の略で、AWS上に作るプライベートなネットワークのことです。 その中で「セキュリティグループ」は、インスタンスに対する通信を制御するファイアウォールのようなものです。
セキュリティグループでは、たとえば「TCPのポート80だけを許可する」「特定のIPアドレスだけからのアクセスを許す」といった細かい設定ができます。
3. AWS Shieldとセキュリティグループの違いと関係
AWS ShieldとVPCセキュリティグループは同じセキュリティ目的で使われますが、役割が異なります。
- AWS Shield:主にDDoS攻撃のような大量トラフィック攻撃を防ぐ
- セキュリティグループ:個々の通信のアクセス制御を行う
つまり、Shieldは外からの「波」を自動で受け止める防波堤、セキュリティグループは誰を中に入れるか決める門番のようなイメージです。 この2つは組み合わせて使うことで、強固なセキュリティが実現できます。
4. なぜ両方必要なの?初心者にもわかる考え方
セキュリティグループだけでは、攻撃者が短時間に何百万回もアクセスしてくるようなDDoS攻撃を防ぐのは難しいです。 一方、AWS Shieldだけでは「特定のIPだけ許可したい」「このポートだけ開けたい」といった細かい制御はできません。
だからこそ、Shieldで攻撃の波を食い止め、セキュリティグループで細かくアクセスを管理することで、安心してシステムを運用できます。
5. 実際の使い方:Shieldとセキュリティグループの連携例
たとえば、WebアプリケーションをEC2(イーシーツー)上で運用している場合、次のような構成になります。
- Shield Standard:インターネットからの異常なトラフィックを自動で検出
- VPCセキュリティグループ:80番(HTTP)と443番(HTTPS)だけを開放、それ以外はブロック
このようにして、DDoS攻撃の入口はShieldで抑え、通信の中身はセキュリティグループで制御するという分担ができています。
6. AWS Shieldが守る範囲とセキュリティグループの設定範囲
Shieldは、AWSの外から来る大量トラフィックを対象とした自動防御が主な役割です。 特に、CloudFront(クラウドフロント)やElastic Load Balancing、Route 53などのサービスと連携して効果を発揮します。
一方、セキュリティグループは、VPC内のインスタンス(EC2など)に対して入出力の通信制御を行います。 これにより、特定のIPアドレスのみ接続を許可するなどの細かいルール設定が可能です。
7. AWS初心者が覚えておきたいセキュリティ設計の考え方
AWSで安全な環境を作るためには、「多層防御」という考え方が大切です。 つまり、1つの方法に頼るのではなく、複数の層で守るということです。
AWS ShieldはDDoS攻撃の大きな脅威に対する自動防御の役割、セキュリティグループは許可された通信だけを通す門番の役割を担っています。 両方を正しく設定し、ログや監視の仕組みも組み合わせることで、より安全なクラウド環境を構築できます。
