AWS ANS-C01 対策 WAF vs Shield Advanced
AWS WAFとShield Advancedの適切な使い分けを解説。Web脅威とDDoS攻撃に対する異なるアプローチ、適用対象サービス、組み合わせ使用による多層防御の実装を実践問題で理解します。
この記事のポイント
- 1AWS WAFとShield Advancedの基本的な違いと適用場面を理解する
- 2Web脅威とDDoS攻撃に対する異なる防御アプローチを把握する
- 3多層防御における両サービスの組み合わせ使用方法を習得する
目次
WAF vs Shield Advanced の基本的な違い
AWS WAFとAWS Shield Advancedは、それぞれ異なる種類の脅威に対する防御を提供するセキュリティサービスです。WAFはWeb アプリケーション層の攻撃に、Shield AdvancedはDDoS攻撃に特化しており、適用場面が大きく異なります。
資格試験では、これらの使い分けと組み合わせ使用による多層防御の実装パターンが重要なポイントとなります。
AWS WAF vs Shield Advanced の防御対象と適用範囲
図の上側のAWS WAFはL7アプリケーション層でSQLインジェクション、XSS等のWeb脅威を防御し、下側のShield AdvancedはL3/L4/L7レベルでのDDoS攻撃を包括的に防御します。
使用場面の判断基準
適切なサービスを選択するためには、想定される脅威の種類と必要な保護レベルを理解することが重要です。
AWS WAF を選ぶべき場面
AWS WAFは、Web アプリケーション層の攻撃防御に特化したサービスです。最小運用負荷で効果的なWeb脅威対策を実現できます。
SQLインジェクション・XSS攻撃対策
マネージドルールにより最新のWeb脅威パターンを自動で検出・ブロックし、継続的な保護を提供します。
地理的制限・IPベースフィルタリング
特定の国や地域からのアクセスを制限し、不正アクセスの温床となる地域からのトラフィックを効率的にブロックします。
アプリケーションレイヤー制御
HTTPリクエストヘッダー、ボディ、URIパスに基づく詳細な制御により、きめ細かい防御ルールを適用できます。
重要: Network Load Balancer (NLB) には WAF を直接適用できません。NLB環境でWeb脅威対策が必要な場合は、ALBへの変更またはCloudFront + WAFの組み合わせを検討します。
Shield Advanced を選ぶべき場面
AWS Shield Advancedは、大規模DDoS攻撃からの包括的保護と金銭的責任軽減を提供するプレミアムサービスです。
大規模DDoS攻撃防御
L3/L4/L7レベルでの多層DDoS保護により、ボリュメトリック攻撃、プロトコル攻撃、アプリケーション攻撃を包括的に防御します。
金銭的責任軽減
DDoS攻撃時のAWS利用料金急増を補償し、予期しない高額請求から企業を保護します。
24/7 DRT サポート
DDoS Response Team による専門的な攻撃分析と対応支援を受けることができます。
高可用性システム保護
ミッションクリティカルなサービスの可用性を確保し、ビジネス継続性を維持します。
多層防御での組み合わせパターン
実際のエンタープライズ環境では、WAF と Shield Advanced を組み合わせた多層防御がベストプラクティスとなります。
- •DDoS攻撃の早期検出と自動緩和
- •SQLインジェクション・XSS の事前ブロック
- •地理的制限による不正アクセス防止
- •アプリケーション固有の攻撃パターン検出
- •カスタムルールによる業務特化型防御
- •レート制限による不正ログイン試行対策
- •侵入検知・防御システム (IDS/IPS) 機能
- •ドメインリスト・URLフィルタリング
- •TLS インスペクションによる暗号化トラフィック検査
- •組織全体での一貫したセキュリティポリシー適用
- •リアルタイムセキュリティダッシュボード
- •コンプライアンス状況の継続的評価
金融機関や医療機関など高セキュリティ要件の環境では、WAF + Shield Advanced + Network Firewall の組み合わせによる包括的多層防御がAWSセキュリティのベストプラクティスです。
実践問題で確認
ここまで学んだWAF vs Shield Advancedの使い分けを、実践的な問題で確認しましょう。各問題は実際の企業環境で発生するセキュリティ課題に基づいており、適切なソリューション選択能力を養います。
AWS認定高度なネットワーキング - 専門知識
練習問題
AWS認定高度なネットワーキング - 専門知識
練習問題
AWS認定高度なネットワーキング - 専門知識
練習問題
まとめ
AWS WAFとShield Advancedは、それぞれ異なる脅威に対する専門的な防御を提供します。WAFはWeb脅威対策、Shield AdvancedはDDoS保護・金銭的責任軽減が主目的です。実際のエンタープライズ環境では、両方を組み合わせた多層防御がAWSセキュリティのベストプラクティスとなります。
SQLインジェクション・XSS攻撃に
L3/L4/L7レベルの
CloudFront (WAF+Shield Advanced) → ALB (WAF) → Network Firewall の
これらの使い分け原則により、コスト効率とセキュリティレベルのバランスを取りながら、適切な脅威対策を実装できます。実際の資格試験では、脅威の種類と求められる保護レベルに基づく適切な選択が重要なポイントとなります。
理解度チェック
WAFとShield Advancedの基本的な違いと適用場面を説明できるか?
各サービスの適用対象(ALB、NLB、CloudFront等)の制約を理解しているか?
多層防御における両サービスの組み合わせパターンと実装方法を説明できるか?