AWS Shieldは、AWS上の公開サービスをDDoS攻撃から守るためのマネージド型保護サービスです。すべてのAWS利用者に追加料金なしで提供されるAWS Shield Standardと、より高度な保護や運用支援を受けられる有料のAWS Shield Advancedがあります。
重要なのは、「有料版だから常に必要」と考えるのではなく、守るサービスの重要度、停止時の損失、攻撃を受ける可能性、運用体制、予算を合わせて判断することです。小規模なWebサイトや検証環境ではStandardで十分な場合があります。一方、売上や顧客対応に直結する公開サービスでは、Advancedの費用をリスク対策として検討する価値があります。
AWS Shield StandardとAdvancedの違い
| 項目 | AWS Shield Standard | AWS Shield Advanced |
|---|---|---|
| 位置づけ | AWS利用時に自動的に適用される基本的なDDoS保護 | 重要なインターネット公開アプリケーション向けの追加保護 |
| 主な対象 | 一般的なネットワーク層・トランスポート層のDDoSイベントへの基本対策 | EC2、Elastic Load Balancing、Amazon CloudFront、AWS Global Accelerator、Amazon Route 53などの対象リソース |
| 費用 | 追加料金なし | 月額料金とデータ転送量などに応じた利用料金が発生 |
| 向いているケース | 基本的な可用性を確保しつつ、追加コストを抑えたいサイトや小規模サービス | 停止時の事業影響が大きいサービス、攻撃リスクが高いサービス、専門的な支援が必要な運用 |
無料版のAWS Shield Standardで十分なケース
AWS Shield Standardは、AWSを利用しているだけで追加料金なしに有効になる基本保護です。次のような条件に当てはまる場合は、まずStandardを前提にし、必要に応じてAWS WAFや監視、バックアップ、復旧手順を組み合わせる考え方が現実的です。
小規模なWebサイトや社内向けに近いサービス
アクセス規模が小さく、停止しても即座に大きな売上損失や顧客対応の混乱につながりにくいサイトでは、Advancedの固定費を負担するよりも、基本的な構成の見直しや監視の整備を優先した方がよい場合があります。
DDoS攻撃が主要リスクではない場合
サービスの性質によっては、DDoSよりも脆弱性対応、認証管理、バックアップ、アプリケーションの入力チェックの方が優先度が高いことがあります。その場合、まずはAWS Shield Standardで基本的な保護を受けつつ、別のリスク対策に予算と作業時間を配分する方が合理的です。
コストを抑えながらAWSの基本保護を使いたい場合
スタートアップ、個人事業、小規模メディア、検証環境などでは、毎月の固定費を増やしすぎないことも重要です。AWS Shield Standardは追加料金なしで利用できるため、費用対効果を重視する初期段階のサービスに向いています。
CloudFrontやRoute 53などを使って基本構成を整えている場合
Amazon CloudFront、Elastic Load Balancing、Amazon Route 53などを適切に使うことで、配信、名前解決、負荷分散の面で可用性を高めやすくなります。これらの設計とStandardの基本保護を組み合わせれば、多くの一般的なWebサイトではまず実用的な防御線を作れます。
AWS Shield Advancedを検討すべきケース
AWS Shield Advancedは、すべての環境に必要なサービスではありません。検討すべきなのは、DDoS攻撃による停止や遅延が事業に直結し、追加費用を払ってでも保護、可視化、支援体制を強化したい場合です。
停止が売上や信頼に直結する公開サービス
ECサイト、予約システム、金融系サービス、重要なAPI、会員向けポータルなどでは、短時間の停止でも売上、問い合わせ、信用に影響することがあります。このようなサービスでは、DDoS対策を単なるインフラ機能ではなく、事業継続のための投資として評価する必要があります。
攻撃対象になりやすいサービス
キャンペーン期間、メディア露出、競争の激しい業界、社会的に注目されやすいサービスでは、攻撃対象になる可能性を通常より高く見積もるべきです。過去にDDoSに近いトラフィック急増を経験している場合も、Advancedの検討材料になります。
専門的な支援や詳細な可視化が必要な運用
Advancedでは、対象リソースに対する拡張DDoS保護、イベント可視化、アプリケーション層の保護機能などを利用できます。ただし、AWS Shield Response Teamへ問い合わせるには、AWS Premium SupportのBusinessまたはEnterprise Supportが必要です。契約前に、保護機能だけでなく、自社のサポート契約と運用体制も確認しておくべきです。
AWS Shield Advancedの費用で確認すべきこと
2026年6月時点のAWS公式料金情報では、AWS Shield Advancedは1年のサブスクリプションコミットメントが前提で、月額料金に加えて対象サービスのデータ転送量などに応じた利用料金が発生します。料金例では月額料金として3,000米ドルが示されています。
費用を判断するときは、月額料金だけでなく、次の点を確認してください。
- どのAWSアカウント、どのリソースを保護対象にするか
- Amazon CloudFront、Elastic Load Balancing、EC2、AWS Global Acceleratorなどのデータ転送量
- AWS WAFの利用状況、リクエスト数、WCU、Bot Controlなど追加料金が発生しうる機能
- DDoSコスト保護の条件と、1年契約の前提
- BusinessまたはEnterprise Supportが必要になる運用要件
Advancedの費用は小さくありません。そのため、「DDoS対策を強くしたい」という漠然とした理由だけでなく、停止時の損失額、復旧に必要な体制、攻撃時の対応責任、既存のWAFや監視の成熟度を合わせて評価することが重要です。
選び方の実務チェックリスト
- 守る対象を明確にする。 公開Webサイト、API、ロードバランサー、DNS、CDNなど、停止して困る入口を洗い出します。
- 停止時の影響を見積もる。 売上、問い合わせ、契約、ブランド信頼、社内業務への影響を確認します。
- 現在の構成を確認する。 CloudFront、Route 53、ロードバランサー、WAF、監視、アラート、復旧手順が整っているかを見ます。
- Standardで足りない理由を言語化する。 追加保護、専門支援、DDoSコスト保護、アプリケーション層対策など、Advancedに期待する役割を具体化します。
- 費用と契約条件を確認する。 月額料金、データ転送料、WAF関連費用、サポート契約、1年コミットメントを事前に確認します。
- 定期的に見直す。 サービス規模、攻撃リスク、売上構造、運用体制が変われば、必要な保護レベルも変わります。
まとめ
AWS Shield Standardは、追加料金なしでAWS環境に基本的なDDoS保護を提供します。小規模サイト、検証環境、DDoSが主要リスクではないサービスでは、Standardを前提に、構成改善やAWS WAF、監視、バックアップなどを組み合わせる判断が現実的です。
AWS Shield Advancedは、停止時の事業影響が大きい公開サービスや、攻撃リスクが高いシステムで検討すべき有料オプションです。月額料金、データ転送量に応じた費用、WAF関連費用、サポート条件、1年契約を含めて評価し、自社のリスクと運用体制に合うかを確認しましょう。
最終的には、StandardかAdvancedかの二択ではなく、どのサービスをどのリスクから守るのかを明確にし、コストと可用性のバランスを取ることが重要です。