セキュリティ

AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開

Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。

約 2 分で読めます

Firewall Manager の概要

AWS Firewall ManagerOrganizations 全体のファイアウォールルールを一元管理するセキュリティ管理サービスです。WAF ルール、Shield Advanced 保護、Security Group ルール、Network Firewall ポリシー、Route 53 Resolver DNS Firewall ルールを組織全体に一括適用できます。新しいアカウントやリソースが追加された際に、定義済みのセキュリティポリシーが自動的に適用されるため、セキュリティベースラインの維持が確実になります。個別のアカウントで WAF ルールや Security Group を手動管理する場合、設定の漏れや不整合が発生しやすくなりますが、Firewall Manager はこの問題を組織レベルで解決します。

セキュリティポリシーの設計

Firewall Manager のセキュリティポリシーは、ポリシータイプ (WAF、Shield、Security Group、Network Firewall、DNS Firewall) ごとに作成します。WAF ポリシーでは、マネージドルールグループ (AWS Managed Rules、Marketplace のルール) とカスタムルールを組み合わせて定義し、CloudFront、ALB、API Gateway に自動適用します。Security Group ポリシーでは、許可するインバウンド/アウトバウンドルールを定義し、ポリシーに違反する Security Group を自動修復 (非準拠ルールの削除) するオプションも提供します。Network Firewall ポリシーでは、VPC のトラフィックフィルタリングルールを定義し、新規 VPC に自動的に Network Firewall エンドポイントをデプロイします。ポリシーの適用範囲は OU、タグ、アカウント ID で制御でき、特定の環境 (本番のみ、特定リージョンのみ) に限定した適用が可能です。

コンプライアンスと自動修復

Firewall Manager のコンプライアンスダッシュボードで、各アカウント・リソースのポリシー準拠状況をリアルタイムに監視します。非準拠のリソースは自動修復 (ポリシーに定義されたルールの強制適用) または通知のみ (管理者にアラート) のいずれかで対応できます。Security Hub との統合で、Firewall Manager の検出結果を他のセキュリティサービスの検出結果と統合的に管理します。Config ルールとの連携で、Firewall Manager ポリシーの適用状況をコンプライアンスレポートに含めることも可能です。 ネットワークセキュリティの設計についてはAmazon の関連書籍も参考になります。

Firewall Manager の料金

Firewall Manager の料金はポリシーあたり月額約 100 ドルです。1 つのポリシーで組織全体 (数百アカウント) に適用できるため、アカウント数が多いほどアカウントあたりのコストは低下します。ポリシーによって適用される WAF、Shield Advanced、Network Firewall などの各サービスの料金は別途発生します。Firewall Manager 自体の料金は固定ですが、適用するルールの数やトラフィック量に応じて各サービスの従量課金が増加する点に注意が必要です。

まとめ

AWS Firewall Manager は Organizations 全体の WAF・Security Group・Network Firewall ポリシーを一元管理し、新規アカウント・リソースへの自動適用でセキュリティベースラインを維持するサービスです。コンプライアンスダッシュボードと自動修復機能で、組織全体のセキュリティ態勢を継続的に監視・改善します。

関連するサービス

AWS Firewall ManagerAWS Organizations 全体のファイアウォールルールを一元管理するサービスAWS WAFWeb アプリケーションを悪意のあるアクセスから保護するファイアウォールサービスAWS Organizations複数の AWS アカウントを一元管理するサービス

関連する記事

AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装Bot Control でスクレイパーや自動化ツールを検出し、ATP でクレデンシャルスタッフィングを防止する。チャレンジと CAPTCHA のユーザー体験設計も紹介します。AWS Shield で DDoS 攻撃から防御 - Standard と Advanced の使い分けStandard の無料 L3/L4 防御と Advanced の L7 対応・SRT サポートの違いを整理する。コスト保護とプロアクティブエンゲージメントの活用を紹介します。ネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Firewall ManagerOrganizations 配下の複数アカウント・リソースに対して WAF、Shield Advanced、Security Group、Network Firewall のルールを一元的に適用・管理するセキュリティ管理サービスネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリングステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。セキュリティポスチャー管理 - AWS Security Hub で実現する統合セキュリティ監視基盤AWS Security Hub による統合セキュリティ監視と、GuardDuty との連携による脅威検知の自動化を解説します。セキュリティベストプラクティスへの準拠状況の可視化とマルチアカウント環境のセキュリティガバナンスを紹介します。