AWS WAFとAWS Shieldは、どちらもAWSが提供するセキュリティサービスですが、その役割や防御対象は明確に異なります。
この記事では、AWS WAFとAWS Shieldとは何か、それぞれの違いを比較しながら、自社のシステムに最適なサービスの選び方までを解説します。
AWS WAFとAWS Shieldの最も大きな違いは防御する攻撃の層
AWS WAFとAWS Shieldの最も大きな違いは、OSI参照モデルにおける防御対象の層です。
AWS WAFはアプリケーション層(第7層)を保護するのに対し、AWS Shieldは主にネットワーク層(第3層)とトランスポート層(第4層)を保護します。
この防御層の違いを理解することが、両サービスを比較する上で重要なポイントとなります。
【比較表】2つのサービスの役割・防御層・対象攻撃が一目でわかる
| サービス名 | 主な役割 | 防御層 | 対象となる攻撃 | 料金体系 |
|---|---|---|---|---|
| AWS WAF | Webアプリケーションの保護 | アプリケーション層(L7) | SQLインジェクション、クロスサイトスクリプティング(XSS)など | 従量課金 |
| AWS Shield Standard | DDoS攻撃からのインフラ保護 | ネットワーク層(L3) トランスポート層(L4) |
SYNフラッド、UDPリフレクションなどの一般的なDDoS攻撃 | 無料(AWS利用料金に含まれる) |
| AWS Shield Advanced | 高度なDDoS攻撃からのインフラ・アプリケーション保護 | L3、L4、L7 | 大規模かつ巧妙なDDoS攻撃 | 月額固定料金 + データ転送料金 |
アプリケーションの脆弱性を守るAWS WAFの役割
AWS WAFとは「Web Application Firewall」の略称で、その名の通りWebアプリケーションを保護するためのファイアウォールです。
HTTP/HTTPSのリクエスト内容を監視し、不正な通信を検知・ブロックすることで、アプリケーション層(L7)へのサイバー攻撃からシステムを守ります。
SQLインジェクションなどWebアプリケーションへの攻撃をブロックする
AWSWAFを導入するメリットは、SQLインジェクションやクロスサイトスクリプティング(XSS)といった、アプリケーションの脆弱性を悪用する攻撃を防げる点です。
これらの攻撃は、データベースの不正操作による情報漏洩やWebサイトの改ざんにつながる危険なものです。
AWSWAFは、事前に定義したルールに基づいて通信をフィルタリングし、悪意のあるリクエストがアプリケーションに到達する前に遮断します。
IPアドレスや国単位でアクセスを制限・遮断できる
AWSWAFのもう一つのメリットとして、送信元のIPアドレスや地域(国)に基づいてアクセスを制御できる点が挙げられます。
例えば、特定のIPアドレスからの不審なアクセスが続く場合や、特定の国からのアクセスを制限したい場合にルールを設定することで、不要な通信をブロックし、攻撃のリスクを低減させることが可能です。
これにより、よりきめ細やかなセキュリティ対策が実現します。
インフラをDDoS攻撃から保護するAWS Shieldの役割
AWS Shieldとは、DDoS(Distributed Denial of Service:分散型サービス妨害)攻撃からAWS上で稼働するアプリケーションを保護するためのマネージドサービスです。
大量のトラフィックを送りつけてサーバーをダウンさせるDDoS攻撃に対し、インフラレベルでの防御を提供します。
サービスには無料の「Standard」と有料の「Advanced」の2種類があります。
全てのAWSユーザーに自動適用される無料の「Shield Standard」
AWSShieldStandardは、全てのAWS利用者に特別な料金なしで自動的に適用されるDDoS保護サービスです。
事前の有効化作業は不要で、ネットワーク層(L3)やトランスポート層(L4)を標的とする、一般的で頻度の高いDDoS攻撃を自動的に検出・緩和します。
これにより、AWS利用者は基本的なDDoS対策を標準で享受できます。
高度なDDoS対策と専門家サポートが付帯する「Shield Advanced」
AWS Shield Advancedは、より高度で大規模なDDoS攻撃に対する保護を提供する有料プランです。
Standardの防御に加え、アプリケーション層(L7)のDDoS攻撃に対する検知・緩和や、攻撃発生時に24時間365日対応してくれるAWS DDoS Response Team(DRT)のサポートを受けられるメリットがあります。
料金は月額3,000ドルで、攻撃によって増加したAWS利用費を補填するコスト保護も付帯します。
結局どっちを使えばいい?自社に最適なサービスの選び方
AWSWAFとAWSShieldは防御対象が異なるため、どちらか一方を選ぶというよりも、必要に応じて組み合わせることが基本です。
Webアプリケーションの有無や、DDoS攻撃のリスク許容度に応じて、導入するサービスを比較・検討します。
まずはAWS WAFを導入してアプリケーション層の保護を検討する
WebサイトやWebアプリケーションをAWS上で公開している場合、アプリケーションの脆弱性を狙った攻撃は常にリスクとして存在します。
そのため、まずはAWS WAFを有効化し、SQLインジェクションやXSSなどの攻撃からアプリケーションを保護する対策を講じることを推奨します。
これは、基本的なWebセキュリティ対策の第一歩と言えます。
大規模なDDoS攻撃のリスクが高い場合はShield Advancedの導入を検討する
サービスの停止がビジネスに深刻な影響を与えるオンラインゲーム、ECサイト、金融サービスなどは、大規模なDDoS攻撃の標的になりやすい傾向があります。
このようなシステムでは、無料のShield Standardだけでは防御しきれない可能性があるため、有料のAWS Shield Advancedの導入を検討すべきです。
専門家によるサポートやコスト保護も、事業継続性の観点から重要な要素となります。
AWS WAFとAWS Shield Advancedの併用で包括的なセキュリティを実現する
最も堅牢なセキュリティ体制を構築するためのメリットは、AWS WAFとAWS Shield Advancedを併用することです。
AWS WAFでアプリケーション層の脆弱性を狙う攻撃を防ぎ、Shield Advancedでネットワーク層からアプリケーション層までの広範囲なDDoS攻撃を防ぐことで、多層的な防御が可能になります。
これにより、さまざまな種類のサイバー攻撃からシステムを包括的に保護できます。
AWS WAFとAWS Shieldの違いに関するよくある質問
AWSWAFとAWSShieldの違いとは何か、その関係性についてよく寄せられる質問とその回答をまとめました。
AWS WAFとAWS Shieldは、結局どちらがどの攻撃を防ぐのですか?
AWSWAFはSQLインジェクションなどWebアプリケーションの脆弱性を狙う攻撃(L7)を、AWSShieldはサーバーダウンを狙うDDoS攻撃(主にL3/L4)を防ぎます。
防御する攻撃の種類と層が異なります。
両者は役割が違うため、比較してどちらか一方を選ぶのではなく、必要に応じて併用するのが基本です。
AWS Shield Advancedを導入すれば、AWS WAFは不要になりますか?
いいえ、不要にはなりません。
AWS Shield AdvancedはDDoS攻撃対策に特化したサービスであり、AWS WAFが防ぐSQLインジェクションなどのアプリケーション層への攻撃は防御対象外です。
それぞれの役割が異なるため、包括的なセキュリティを実現するには両サービスの併用が推奨されます。
DDoS対策をしたいのですが、AWS WAFだけでは不十分なのでしょうか?
はい、不十分な場合があります。
AWS WAFのレートベースルールで小規模なDDoS攻撃を緩和することは可能ですが、インフラ全体を標的とする大規模な攻撃には対応しきれません。
堅牢なDDoS対策には、専門サービスであるAWS Shieldを併用するメリットが大きく、より効果的な防御が可能です。
まとめ
AWS WAFとAWS Shieldは、それぞれ異なる種類のサイバー攻撃からAWS環境を保護するサービスです。
WAFはアプリケーション層の脆弱性を、Shieldはインフラを狙うDDoS攻撃を防御します。
Webアプリケーションを運用する場合はまずWAFの導入を検討し、ビジネスの可用性が重要でDDoS攻撃のリスクが高い場合にはShield Advancedの導入を検討します。
両者を併用することで、より強固で包括的なセキュリティ体制を構築できます。