セキュリティ・運用・ 2026-05-06

AWS Shield Standard / Advanced 完全比較｜DDoS 防御の選び方

AWS Shield は DDoS 攻撃から AWS リソースを守るサービス。Standard は全 AWS 利用者に無料で常時有効、L3/L4 攻撃を自動防御。Advanced（$3,000/月）はより強力な保護・24/7 対応・コスト保護を提供する。 ---

#AWS #Shield #セキュリティ

AWS の DDoS 防御サービス。Standard（無料）と Advanced（有料・高機能）の 2 ティア。

1. 概要（端的に）

AWS Shield は DDoS 攻撃から AWS リソースを守るサービス。Standard は全 AWS 利用者に無料で常時有効、L3/L4 攻撃を自動防御。Advanced（$3,000/月）はより強力な保護・24/7 対応・コスト保護を提供する。

2. 何ができるか

Shield Standard（無料・自動）

L3/L4 DDoS 防御：SYN Flood・UDP Reflection
CloudFront / Route 53 で常時保護
追加設定不要

Shield Advanced（$3,000/月）

L7 攻撃防御（WAF と統合）
24/7 DDoS Response Team（DRT）アクセス
コスト保護：DDoS 攻撃時のスケールアウト料金返金
詳細な攻撃可視化
Global Threat Environment dashboard
Application Protection：ALB / EIP / Global Accelerator も保護

3. 特徴

観点	特徴
Standard 料金	無料
Advanced 料金	$3,000/月 + 組織全体カバー
対象（Standard）	CloudFront / Route 53（常時）
対象（Advanced）	+ ALB / NLB / EIP / Global Accelerator
WAF 統合	Advanced は WAF 料金込み

Shield Standard vs Advanced

観点	Standard	Advanced
料金	無料	$3,000/月
L3/L4 防御	○	○（強化）
L7 防御	×	○
DRT サポート	×	○
コスト保護	×	○
WAF 統合	×	○（料金込み）

4. 仕組み

Shield Standard は AWS のグローバルネットワーク で大規模 DDoS を吸収・分散して防御する。Advanced はさらに 専門チームと AI ベースの検知 を加えて高度な保護を提供する。

動作

AWS エッジが DDoS 攻撃検知
自動緩和：攻撃トラフィックを吸収・スクラビング
正常リクエストのみ AWS リソースへ
（Advanced）攻撃可視化 + DRT 対応

Shield Advanced の DRT

AWS 専門 DDoS 対応チーム
24/7 サポート
攻撃時にカスタム緩和策を実装
WAF ルール緊急更新も対応

Cost Protection

DDoS 攻撃中に EC2 / ALB がスケールアウトした分の料金を返金
Advanced 加入の大きなメリット

5. ユースケース

ユースケース 1：通常 Web サイト（Standard）

全 AWS 利用者は自動的に Standard 適用。

ユースケース 2：金融・公共・規制対応（Advanced）

SLA 要件 + 24/7 サポート要件。

ユースケース 3：大規模イベント

セール・選挙・スポーツ等の DDoS 標的になりやすい時期。

ユースケース 4：Critical Web Service

ダウンタイムが致命的なサービス。

6. 関連用語

WAF — Shield Advanced と統合
CloudFront / Route53 — Standard 対象
ALB / NLB / Global-Accelerator — Advanced 対象
Firewall-Manager — Shield Advanced 一元管理

7. 関連サイト

AWS 公式

AWS Shield

🎓 試験での出題傾向

試験	重要度	主な出題パターン
CLF	高	DDoS 防御の概念
SAA	高	Standard vs Advanced 選定、WAF との組合せ
DVA	低	出題稀
SOA	中	DDoS 監視・対応