BLOG

2020/01/27

【AWS WAF vs AWS Shield】初心者にもわかりやすく解説

【目次】

1. はじめに
2. AWS WAFとは
  a) AWS WAFが守れるもの
3. AWS Shieldとは
  a) AWS Shieldが守れるもの
4. 強固なクラウドセキュリティに向けて
  a) どちらを使うべきか
  b) AWS WAF、AWS Shieldと組み合わせたいサービス
5. まとめ

 

  1. 1. はじめに
    AWS WAFとAWS Shieldについて、特徴や役割などを記載してきます。どちらもAWSが提供するセキュリティ関連のマネージドサービスで、外部からの攻撃から、AWS上に構築したWebサービスなどを防御する役割を持っています。
     
  2. 2. AWS WAFとは
    AWS WAFとは、AWSが提供するWeb Application Firewallです。主に、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。AWS WAFは以下のような特徴があります。

    1. ・安い
      ほかのWAF製品は初期費用だけでも数百万円かかる場合がありますが、AWS WAFは初期費用がなく、ランニングコストも月20ドル程度と、非常に安いという特徴があります。
       
    2. ・導入が簡単
      セキュリティの知識を持っていれば、数クリックでセットアップが可能です。また、セキュリティの知識がなくても、AWS WAF向けにセキュリティ専門のベンダーが「マネージドルール」という防御用のルールを販売しています。この「マネージドルール」も非常に安価で利用することができます。
       
    1. a) AWS WAFが守れるもの
      AWS WAFを使うことによって、以下のようなセキュリティ攻撃からWebサービスを防御することができます。

       ・SQLインジェクション攻撃
       ・クロスサイトスクリプティング攻撃
       ・OSコマンドインジェクション攻撃
       ・DDoS攻撃

      どの攻撃も、被害にあってしまえば、顧客情報の漏洩や、サービスの停止につながるような、大きな被害を受けてしまう可能性があります。

      AWS WAFでは、「API Gateway」「Elastic Load Balancer」「CloudFront」を使用している場合のみ、攻撃から防御をすることができます。

     

  3. 3. AWS Shieldとは
    AWS Shieldとは、主にDDos攻撃からAWS上で構築したサービスで、防御を行うことができます。DDos(Distributed Denial of Service)攻撃とは、大量のサーバを使って、Webサービスに負荷をかけ、サーバやアプリケーションをダウンさせて使用できなくする攻撃です。AWS Shieldは以下のような特徴があります。

    1. ・とにかく安い
      AWS Shieldは、オプション(AWS Shield Advanced)を使用しなければ、無料で使用することもできます。初期費用もランニングコストもかかりません。
       
    2. ・とにかく設定が簡単
      こちらはAWS WAFと異なり自分で有効化する必要がありません。自動で有効になっております。したがって、利用開始にあたり何もする必要がないのです。ただし、オプションを利用する場合のみ、設定を行う必要がありますが、それも数クリックで完了します。このように非常に導入が簡単、という特徴があります。
       
    3. ・優秀なオプション
      月々使用するコストはかかりますが、追加オプションとしてAWS Shield Advancedを選択することができます。これは、DDosであると疑わしい通信を検知したり、AWSのセキュリティ専門部隊によるサポートを得ることができます。加えて、仮にDDos攻撃を受けてしまい、高負荷によりAWSの利用料金が増加してしまっても、DDos攻撃が原因であれば増加した分が無料になります。
       
    1. a) AWS Shieldが守れるもの
      AWS WAFも、AWS Shieldも「DDos攻撃を防御できる」と書きましたが、DDos攻撃にも様々な種類があり、AWS WAFとAWS Shieldで防御できるDDos攻撃の種類が異なります。

      AWS WAFはOSI参照モデルの7層で行われるDDos攻撃を緩和できますが、AWS ShieldはOSI参照モデルの3層および4層で行われるDDos攻撃からWebサービスを防御します。

     

  4. 4. 強固なクラウドセキュリティに向けて
    強固なクラウドセキュリティにむけて、AWS WAFとAWS Shieldを比較していきます。AWSのようなパブリッククラウドサービスは、インターネットを通じて利用するため、常にセキュリティ攻撃に晒されてしまうリスクが存在します。どのようなサービスを利用して、強固なセキュリティにできるかをみていきます。

    1. a) どちらを使うべきか
      AWS WAFとAWS Shieldは、結論からいえば、どちらも使うべきです。どちらかを利用し、どちらかを利用しない、といった設計は避けるべきです。AWS WAFとAWS Shieldはお互いに、防御できない分野のセキュリティ攻撃カバーしあうことができます。どちらかを有効化しているから大丈夫、ということではなく、両方を利用することで最良のクラウドセキュリティを実現します。
       
    2. b) AWS WAF、AWS Shieldと組み合わせたいサービス
      DDosを効果的に防御する方法としては、CloudFrontとの組み合わせがおすすめです。CloudFrontは、CDNの役割を持っており、Webサーバなどに配置されているWebコンテンツをキャッシュしてくれます。つまり、Webサーバなどを標的としたDDos攻撃が、直接Webサーバに届いてしまうことを防ぐことができます。その結果、Webサーバの負荷をあげることなく、DDos攻撃を受け流すことができます。DDos攻撃は攻撃のために大量のサーバを用意・または購入する必要があり、45分~1時間で収まるという特徴があります。そのため、AWS ShieldとCloudFrontを合わせて利用することで、DDos攻撃の被害を最小限に抑えることができるはずです。

      また、AWS WAFやAWS Shieldでも防げないセキュリティ攻撃として、マルウェアの攻撃や標的型攻撃といった種類の攻撃があります。このような攻撃に対しては、サードパーティのウイルス対策ソフトをWebサーバに導入するといった対策が効果的です。また、万が一攻撃を受けてしまった場合は、GuardDutyやAmazon Detectiveといったサービスを有効化しておくことで、検知や調査の手間が大幅に削減できる場合があります。これらの、AWSで提供されているセキュリティ対策用サービスを複数組み合わせることで、強固なセキュリティ対策を講じましょう。

     

  5. 5. まとめ
    AWS WAF vs AWS Shieldというタイトルではありますが、それぞれ防御できる攻撃や役割が異なっています。両方とも利用することで、それぞれの機能をしあい、強固なセキュリティ対策を実施することができます。両方とも、非常に簡単に、そして安く導入できるため、是非両方とも導入することをお勧めします。また、AWSではセキュリティ対策用のサービス、ほかにも多く、そして非常に安く提供されています。複数のサービスを組み合わせて、セキュリティ攻撃からサービスを守ることはもちろん、万が一攻撃を受けてしまった場合にも備えることができます。これらのサービスを組み合わせて、安全なWebサービスを、安く提供していきましょう。

 

※下記のブログもご覧ください。
【AWS WAF vs Cloudflare】初心者にもわかりやすく解説

【AWS WAFとマネージドルールの違い】初心者にもわかりやすく解説