AWS認定資格 WEB問題集&徹底解説

ソリューションアーキテクト – アソシエイト

AWS Shield の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Shieldはどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-アソシエイト(SAA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Shield 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Shieldは、AWSリソースをDDoS(Distributed Denial of Service)攻撃から保護するマネージドサービスです。Shield Standard(全ユーザー無料・自動適用)とShield Advanced(有料・高度保護)の2ティアで提供されます。

DDoS攻撃はWebサービス・APIサービスの可用性を脅かす最も一般的な攻撃手法です。ShieldはAWSインフラレベルで攻撃を自動検出・緩和し、サービス継続性を守ります。

2. 主な特徴と機能

2.1 Shield Standard(全ユーザー無料)

  • すべてのAWSユーザーに自動適用(追加設定不要)。
  • SYNフラッド・UDPフラッド・反射型攻撃などのL3/L4 DDoS攻撃を緩和。
  • CloudFront・Route 53・ELB・Global Acceleratorに統合。

2.2 Shield Advanced(有料)

  • 高度なDDoS緩和: L3/L4に加え、L7(アプリケーション層)のDDoS攻撃も緩和。WAFと連携した自動緩和。
  • DDoS Response Team(DRT/SRT): AWS Shield Response Teamによる24/7の専門家サポート。攻撃発生時に即座に対応。
  • コスト保護: DDoS攻撃によるEC2・ELB・CloudFrontのスケールアウトコストの払い戻し。
  • リアルタイム可視性: CloudWatchダッシュボードでDDoS攻撃のリアルタイムメトリクスを確認。
  • WAF統合: Shield AdvancedのDRT(SRT)がWAFルールを自動適用してL7攻撃を緩和。
  • Global Accelerator統合: エッジロケーションでのDDoS軽減とグローバル可用性を組み合わせ。

2.3 保護対象リソース(Advanced)

Route 53・CloudFront・Global Accelerator・ALB・ELB(Classic)・Elastic IP(EC2/NAT Gateway)。

3. アーキテクチャおよび技術要素

  1. CloudFront/Route 53をDDoS攻撃の最前線に配置(エッジロケーションで分散吸収)。
  2. Shield StandardがL3/L4攻撃をインフラレベルで自動緩和(すべてのユーザーに自動適用)。
  3. Shield AdvancedがL7攻撃をWAFと連携して自動緩和。DRTが高度な攻撃に手動対応。
  4. 攻撃中のコスト増加(スケールアウト)はShield Advancedのコスト保護でカバー。

4. セキュリティと認証・認可

  • DDoS対策のベストプラクティス: CloudFront + Route 53 + WAF + Shield Advancedを組み合わせることで多層防御を実現。
  • Firewall Manager統合: Organizations全体のShield Advancedリソース保護をFirewall Managerで一元管理。

5. 料金形態

  • Shield Standard: 無料(全ユーザーに自動適用)。
  • Shield Advanced: 月額固定料金(3,000 USD/月)+データ転送アウト量に応じた課金。1年コミットメント。Organizations全体で1料金。

6. よくあるアーキテクチャ・設計パターン

  • 基本DDoS対策(無料): CloudFront + Route 53 使用でShield StandardによるL3/L4 DDoS保護が自動有効化。
  • 高度DDoS対策(有料): Shield Advanced + WAF でL7 DDoSも含む包括的保護。コスト保護とSRT対応で事業継続性を確保。

7. 設定・デプロイ手順(ハンズオン例)

  1. Shield Advancedを利用する場合: Shieldコンソールで「Shield Advancedの有効化」(月額3,000 USD〜)。
  2. 保護するリソース(CloudFront/ALB/EIPなど)を追加。
  3. WAF WebACLをShield AdvancedのリソースにアタッチしてL7保護を強化。
  4. DDoS攻撃発生時: DRTへのアクセス許可ロールを設定してSRTが自動緩和対応できるよう準備。

8. 試験で問われやすいポイント

8.1 Shield Standard vs Advanced

  • Q: すべてのAWSユーザーが追加費用なしで利用できるDDoS保護は?
    A: AWS Shield Standard(自動適用・無料)。L3/L4 DDoS攻撃を緩和。
  • Q: Shield AdvancedがStandardと比べて追加で提供する機能は?
    A: L7攻撃緩和(WAF統合)、DRT(SRT)24/7サポート、DDoS起因のコスト保護、リアルタイム可視性、自動WAFルール適用。

8.2 DDoS対策アーキテクチャ

  • Q: DDoS攻撃に最も強いAWSアーキテクチャは?
    A: CloudFront(エッジ分散)+ Route 53(Anycast分散)+ WAF + Shield Advanced。

8.3 コスト保護

  • Q: DDoS攻撃によるスケールアウトコストの増加を補償してくれるのは?
    A: Shield Advancedのコスト保護機能(EC2・ELB・CloudFront・Route 53の追加コストを払い戻し)。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報