AWSIT・資格

【AWS初学者向け・図解】AWS WAFとAWS Shieldの違いとは?現役エンジニアがわかりやすく解説

スポンサーリンク

AWS初学者
AWS初学者

AWS WAFとAWS Shieldの違いが理解できないなぁ..

おつまみ
おつまみ

そのお悩みを解決します!

AWSを学び始めた皆さん。
学習は順調に進んでいますか?

AWSのセキュリティサービスであるAWS WAFとAWS Shield。
それぞれの違いを説明することはできますか?


……。

………………。

説明できましたでしょうか?
結論、AWS WAFとAWS Shieldにはこのような違いがあります!

本記事では、AWS WAFとAWS Shieldの違いについて初心者にわかりやすいよう図解付きで解説していきます。
読んだ後に、「こういう違いがあるんだなぁ」ってざっくり理解してもらえれば嬉しいです。

またなんとなく違いを分かっているつもりの方も「理解できていなかった!」と思うポイントが隠されているかもしれません!

AWSを学んでいる方の参考になれば嬉しいです!それではどうぞ!

本記事で解説していること
  • DDoS攻撃について
  • AWS WAFの概要
  • AWS Shieldの概要
  • AWS WAFとAWS Shieldの違いについて
本記事で解説していないこと
  • AWS WAFとAWS Shieldの設定方法

DDoS攻撃ってそもそも何?

AWS WAFとAWS Shieldの違いを解説する前に、まずこのAWSサービスで保護できるDDoS攻撃について簡単に解説しますね。

DDoS攻撃

DDoS攻撃はWebサービスを妨害することを目的に行われるサイバー攻撃の一種で、分散型サービス妨害攻撃と呼ばれます。
DDoSはDistributed Denial of Service Attackの頭文字をとっています。
このような攻撃だとイメージしてもらえればOKです!

このように攻撃者は複数のパソコンを踏み台にし、攻撃対象のWebサービスに大量のアクセスを行うことでサービスを妨害します。

ちなみに、DDoS攻撃は近年被害が増大しているサイバー攻撃の一種です。
2022年には「Amang Us」や「Sky 星を紡ぐ子どもたち」といったゲームにも被害があったようです。
DDoS攻撃全体の実に37%がゲーム業界をターゲットにしており「Among Us」や「Sky 星を紡ぐ子どもたち」も被害に – GIGAZINE

DDoS攻撃は踏み台が不特定多数なため、大量のアクセスが悪質か通常のアクセスか判断することが難しいという特徴があります。

AWS初学者
AWS初学者

じゃあどうやって攻撃を防げばいいの?

一般的にDDoS攻撃はこのような手法で攻撃を防ぐことができると言われています。

DDoS攻撃への対処法

①セキュリティ上のリスク改善

稼働しているサービスに悪質のあるアクセスが侵入してこないようリスク対策を行うことができます。具体的には、サーバのOSやセキュリティソフトのアップデートが配信されたら、速やかに更新する対策が必要です。
それにより、常に最新の状態を保つことができ、セキュリティ上のリスクを軽減することができます。

②アクセス制限の実施

国内だけのサービスの場合は、海外からのアクセスを遮断するのがいいと言われています。
なぜなら、サイバー攻撃の主流は海外のサーバを経由して行われることが多いからです。
IPアドレスやアクセス元の地域などの情報を基にし、特定のアクセスだけを遮断することで悪質なアクセスを防ぐことができます。

③CDNの導入

CDNとは「Contents Delivery Network」の略で、キャッシュサーバにより、コンテンツを配信する仕組みのことです。CDNを導入することで、アクセスが直接Webサーバに届いてしまうことを防ぐことができます。それにより、Webサーバに負荷が集中せず、DDos攻撃を受け流すことができます。

④DDoS対策用ツールの導入

CDNとは別にDDoS対策用ツールを導入することで攻撃に対処することができます。
今回解説するAWS WAFやAWS Shieldはこれにあたります。

早速それぞれの特徴についてみてみましょう!

AWS WAFって?

AWS WAFとは、Webアプリケーションの攻撃に対する保護サービスです。
WAFはWeb Application Firewallの頭文字をとっています。

AWS初学者
AWS初学者

Firewallって何だっけ?

Firewallは事前に決めたルールの元で通信を通して良いか判断し、不正アクセスやサイバー攻撃を防ぐ仕組みのことです。

遮断してくれる通信の種類は冒頭でお見せしたOSIモデルによって種類が分けられます。
その中でもAWS WAFはOSIモデルの 7層(アプリケーション層) を防御してくれます。

一般的なユースケース

AWS WAFを使用することで、このようなセキュリティ攻撃を防ぐことができます。

AWS WAFで防げるサイバー攻撃
  • SQLインジェクション
  • クロスサイトスクリプティング
  • Webクローラー、スクレイピングなどのBot
  • DDoS攻撃(HTTP/HTTPS flood)
おつまみ
おつまみ

DDoS攻撃以外にも色々なサイバー攻撃を防げます!

各々がどんなサイバー攻撃が分からないよ〜という方はこちらのサイトが参考になります。
【図解でわかる】サイバー攻撃の種類と対策

AWS WAFの料金体系

AWS WAFはこれら種別に応じて、料金が発生します。

詳しい料金体系が知りたい方は公式ドキュメントを参考にしてみて下さい。
料金 – AWS WAF

作成するWebACLやルールの数にもよりますが、1ヶ月あたりの目安は月30ドル程度です。
(※1ヶ月あたり1000万件のリクエストのトラフィックが発生するWebアプリケーションで、19のルールを作成した場合)

月30ドル程度は他のDDoS攻撃対策ツールに比べ、比較的安価な価格です。
そのため、AWS WAFは手頃な価格でアプリケーション層を保護できるといえます。

AWS WAFの設定方法

AWS WAFはこのような流れで設定を行います。

AWS WAFの設定方法
  1. AWS WAF を開始する
  2. ウェブ ACL を作成する
  3. 文字列一致ルールを追加する
  4. AWS マネージドルールルールグループを追加する
  5. ウェブ ACL の設定を完了する

詳細はこちらの公式ドキュメントを参考にして下さい。
AWS WAF の開始方法

おつまみ
おつまみ

複雑そうにみえるけど、1つ1つステップを踏めば簡単に設定できるよ!

次はAWS Shieldについて見てみましょう!

AWS Shieldって?

AWS Shieldは、DDoS攻撃の対策に特化しているマネージド型の保護サービスです。
AWS Shieldには、StandardとAdvancedの2種類があり、両者の違いはこちらの通りです。

AWS Shield Standardとは?

AWS Shield Standardは無料でCloudFront・Route53に対して、一般的なDDoS攻撃から保護するサービスです。
OSIモデルの3層(ネットワーク層)および4層(アプリケーション層)を防御してくれます。

CloudFrontとRoute53を導入することで自動で有効化されるため、意識的に設定しなくてよいことが特徴です!

AWS Shield Advancedとは?

AWS Shield Advancedは有料でCloudFront・Route53・ELB等に対して、大規模で高度なDDoS攻撃から保護するサービスです。
OSIモデルの3層(ネットワーク層)および4層(アプリケーション層)に加え、7層(アプリケーション層)を防御してくれます。

他にもStandardにはない、異常検知機能やレポート機能、専門家によるサポートサービス等を受けることができます。

AWS Shield Advancedはこのように様々な機能が充実しているため、月額組織単位で3,000ドルとかなり高いです..。しかも、試用期間はなく年間契約が必要となります。
そのため、導入する場合は本当に必要かどうか見極める必要があります。

おつまみ
おつまみ

ご利用は計画的に

ベストプラクティス:両方を特性を活かし、使用する

どちらを使用すべき…?

結論、両方の特性を活かし、AWS WAFとAWS Shieldどちらも使用するのがいいと言われています。

なぜなら、AWS WAFとAWS Shieldはお互いに防御できない分野のセキュリティ攻撃をカバーしあうことができるためです。
一般的なWebサービスの場合はAWS WAFとAWS Shield Standardを設定しましょう。
どちらかを設定しているから大丈夫ということはなく、両方の特性を活かし上手く利用することでセキュリティを高めることができます。

最後にAWS WAFとAWS Shieldと組み合わせておきたいサービスを紹介しますね!

AWS WAF、AWS Shieldと組み合わせたいサービス

CloudFront

CloudFrontは、CDNの役割を持っているAWSサービスです。
CDNの導入がDDoS攻撃への対処法になると本記事内でも説明しましたね。

CloudFrontはWebサーバなどに配置されているWebコンテンツをキャッシュしてくれます。
つまり、Webサーバなどを標的としたDDoS攻撃が、直接Webサーバに届いてしまうことを防ぐことができます。
そのため、Webサーバの負荷をあげることなく、DDoS攻撃を受け流すことができます。

AWS Firewall Manager

AWS Firewall Managerは一元的にFirewallルールを設定・管理するセキュリティ管理サービスです。
今回紹介したAWS WAFやAWS Shieldに加え、他のセキュリティに関するAWSサービスを一元管理してくれます。
1度保護を設定するだけで、追加するアカウントとリソースにもその保護が自動的に適用されるため大変便利です。

詳細は公式のドキュメントを確認してみて下さい。
AWS Firewall Manager(ファイアウォールルールの一元管理)

また他にもこのようなサービスとも組み合わせることで更なるセキュリティ強固や攻撃発生時の調査を容易にしてくれますよ。

AWS WAFの設定方法
  • サードパーティのウイルス対策ソフトをWebサーバに導入する
    マルウェア攻撃や標的型攻撃に対する保護はAWS WAFやAWS Shieldではできないため
  • GuardDutyやAmazon Detectiveといったサービスを有効化しておく
    攻撃を受けた場合の検知や調査の手間が大幅に削減できるため

まとめ

今回はAWSサービスの中からAWS WAFとAWS Shieldの違いについてご紹介しました。
改めて冒頭でお見せした図を確認してみましょう!

はじめよりも各サービスの違いについて理解して頂ければ嬉しいです!

少し自信がついてきたAWS初学者
少し自信がついてきたAWS初学者

違いは理解できた!実際に触りながら学びたい!

こちらの記事でAWS初学者におすすめのハンズオン講座もご紹介しているので、良ければ参考にしてみて下さい。

それでは、これからも一緒に学んで、自己価値を高めていきましょう〜!

最後まで、お読み頂きありがとうございました!

参考文献

こちらの記事を作成するにあたり、こちらのブログ記事や本を参考にさせて頂きました!

今回解説していないAWS WAFやAWS Shieldの設定方法等も詳しく解説されています。
どれもAWS初学者にとって、とても分かりやすい内容になっていますよ!

よかったら参考にしてみて下さい!

コメント

  1. AWS Shieldは存在感薄いので、知らない方も意外と多いはずです。
    実務で全然出てこないので、私も長い間知りませんでした…。

    AWS WAFとの比較によって、一石二鳥で勉強になる良記事だと思います!
    私の塾生にWAFとShieldについて説明する際に活用させて頂きますね。

    おつまみさん、これからも執筆応援しています💪

  2. おつまみ おつまみ より:

    ルビコンさん!
    大変嬉しいコメントありがとうございます😊

    活用頂けるとのことで有難いです🙏
    これからもどうぞよろしくお願い致します!

  3. ゆきひろ より:

    初心者には理解しやすくまとめられた記事で
    私自身も復習になりました😀

    気になる点があれば内容がより良くなるように
    またコメントしたいと思います👀

    • おつまみ おつまみ より:

      ゆきひろさん!
      Twitterでの記事内容のご指摘、そして大変嬉しいコメントありがとうございます😆

      これからもよろしくお願い致します🙏

タイトルとURLをコピーしました