1. AWS Shield
-
DDoS攻撃対策サービス
-
種類:
-
Shield Standard(デフォルトで有効、追加料金なし)
- L3/L4レベルの一般的なDDoS攻撃を自動防御
- 例: SYN flood, UDP flood
-
Shield Advanced(有料)
- L7(アプリケーション層)の高度な攻撃対策
- DDoS費用保護、24/7 DRT (AWS DDoS Response Team) サポート
- WAFやCloudFrontと組み合わせて使うケースが多い
-
2. AWS WAF (Web Application Firewall)
-
アプリケーション層(L7)の攻撃から保護
-
ルールベースでHTTP/HTTPSリクエストをフィルタリングできる
- WebACL:どの条件でリクエストを許可するか/ブロックするかをまとめたもの
- 特定の国からのアクセスを拒否、IPブラックリストなど
- 例: SQLインジェクション, XSS, IPブロック, レート制御
-
適用先:
- CloudFront
- ALB (Application Load Balancer)
- API Gateway
- AppSync
3. Amazon GuardDuty
-
脅威検出サービス(インテリジェント検知)
-
機械学習や脅威インテリジェンスを使ってAWS環境の不審な挙動を検出
-
監視対象:
- VPC Flow Logs
- CloudTrail Logs
- DNS Logs
-
検出例:
- 不審なAPIコール(盗まれたIAMキー利用など)
- マルウェアC2サーバーへの通信
- 異常なトラフィックパターン
4. Amazon Inspector
-
脆弱性管理サービス
-
自動的にEC2やECR(コンテナイメージ)をスキャンして、セキュリティ脆弱性や設定不備を検出
-
検出例:
- OSやアプリに既知のCVE(脆弱性データベース登録済み)があるか
- セキュリティパッチ未適用
- EC2のネットワーク露出の危険性
5. Amazon Macie
- 機密データの発見・分類サービス
- S3バケット内をスキャンし、機械学習で 個人情報や機密情報(PII, クレジットカード番号など) を検出
- 結果は可視化され、セキュリティやコンプライアンス対応に活用可能
まとめ
| サービス | 守る対象 | 特徴 |
|---|---|---|
| Shield | ネットワーク (DDoS) | L3/L4保護 (Standard)、高度保護 (Advanced) |
| WAF | Webアプリ (L7) | SQLi, XSS防御、ルールベースフィルタ |
| GuardDuty | AWSアカウント & ネットワークの挙動 | 不審なAPIコール、悪意ある通信検知 |
| Inspector | リソース(EC2/ECR) | 脆弱性スキャン、CVEチェック |
| Macie | データ (S3) | 機密情報の検出、PII分類 |
ポイント
- 入口を守る → Shield (DDoS), WAF (Web攻撃)
- 中の挙動を監視 → GuardDuty
- リソースの脆弱性を潰す → Inspector
- データの中身を守る → Macie