AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開

Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。

Firewall Manager の概要

AWS Firewall ManagerOrganizations 全体のファイアウォールルールを一元管理するセキュリティ管理サービスです。WAF ルール、Shield Advanced 保護、Security Group ルール、Network Firewall ポリシー、Route 53 Resolver DNS Firewall ルールを組織全体に一括適用できます。新しいアカウントやリソースが追加された際に、定義済みのセキュリティポリシーが自動的に適用されるため、セキュリティベースラインの維持が確実になります。個別のアカウントで WAF ルールや Security Group を手動管理する場合、設定の漏れや不整合が発生しやすくなりますが、Firewall Manager はこの問題を組織レベルで解決します。

セキュリティポリシーの設計

Firewall Manager のセキュリティポリシーは、ポリシータイプ (WAF、Shield、Security Group、Network Firewall、DNS Firewall) ごとに作成します。WAF ポリシーでは、マネージドルールグループ (AWS Managed Rules、Marketplace のルール) とカスタムルールを組み合わせて定義し、CloudFront、ALB、API Gateway に自動適用します。Security Group ポリシーでは、許可するインバウンド/アウトバウンドルールを定義し、ポリシーに違反する Security Group を自動修復 (非準拠ルールの削除) するオプションも提供します。Network Firewall ポリシーでは、VPC のトラフィックフィルタリングルールを定義し、新規 VPC に自動的に Network Firewall エンドポイントをデプロイします。ポリシーの適用範囲は OU、タグ、アカウント ID で制御でき、特定の環境 (本番のみ、特定リージョンのみ) に限定した適用が可能です。

コンプライアンスと自動修復

Firewall Manager のコンプライアンスダッシュボードで、各アカウント・リソースのポリシー準拠状況をリアルタイムに監視します。非準拠のリソースは自動修復 (ポリシーに定義されたルールの強制適用) または通知のみ (管理者にアラート) のいずれかで対応できます。Security Hub との統合で、Firewall Manager の検出結果を他のセキュリティサービスの検出結果と統合的に管理します。Config ルールとの連携で、Firewall Manager ポリシーの適用状況をコンプライアンスレポートに含めることも可能です。 ネットワークセキュリティの設計についてはAmazon の関連書籍も参考になります。

Firewall Manager の料金

Firewall Manager の料金はポリシーあたり月額約 100 ドルです。1 つのポリシーで組織全体 (数百アカウント) に適用できるため、アカウント数が多いほどアカウントあたりのコストは低下します。ポリシーによって適用される WAF、Shield Advanced、Network Firewall などの各サービスの料金は別途発生します。Firewall Manager 自体の料金は固定ですが、適用するルールの数やトラフィック量に応じて各サービスの従量課金が増加する点に注意が必要です。

前提条件と有効化の手順

Firewall Manager を使うには、いくつかの前提を整える必要があります。まず Organizations で組織を構成し、Firewall Manager の管理を委任する管理者アカウントを指定します。多くのポリシータイプは AWS Config に依存するため、対象アカウントで Config を有効にしておきます。セキュリティ運用を専用アカウントに集約すると、権限の分離と監査がしやすくなります。これらの土台を整えてからポリシーを作成することで、新規アカウントが組織に追加されても、定義済みの保護が自動的に適用される状態を作れます。導入初期にこの設計を固めることが重要です。

DDoS 保護の一元管理

Firewall Manager は Shield Advanced による DDoS 保護も組織横断で適用できます。保護対象とすべきリソース (CloudFront、ALB、Global Accelerator、Elastic IP など) を条件で指定し、新しく作られたリソースにも自動で保護を広げます。個々のチームが保護設定を忘れても、組織のポリシーで網羅できるため、守るべき公開エンドポイントの抜け漏れを防げます。重要な公開サービスを一元的に把握し、一貫した保護水準を維持できる点が、大規模環境での DDoS 対策において大きな利点になります。

ルール更新の安全な展開

組織全体に一括適用するポリシーは、影響範囲が広いぶん、慎重に展開します。新しいルールを導入する際は、いきなり自動修復を有効にせず、まず違反を検知して通知するだけのモードで影響を観察するのが安全です。適用範囲を OU やタグで絞り、限られた環境で挙動を確認してから全体へ広げます。正常な通信を誤ってブロックしないか、既存の Security Group との整合は取れているかを段階的に検証します。広範囲に効く設定だからこそ、小さく試して確かめる手順を踏むことが、事故の防止につながります。

多層防御における役割分担

Firewall Manager が管理する各機能は、防御の層が異なります。WAF はアプリケーション層で不正なリクエストを弾き、Security Group はインスタンスレベルの通信を制御し、Network Firewall は VPC のトラフィックをフィルタリングし、DNS Firewall は悪意あるドメインへの名前解決を防ぎます。これらを重ねることで、一つの層をすり抜けた脅威を別の層で食い止める多層防御を構成できます。Firewall Manager はこれらを組織全体で一貫して適用する仕組みであり、層ごとの役割を理解して設計することが、堅牢なセキュリティ態勢の鍵になります。

まとめ

AWS Firewall Manager は Organizations 全体の WAF・Security Group・Network Firewall ポリシーを一元管理し、新規アカウント・リソースへの自動適用でセキュリティベースラインを維持するサービスです。コンプライアンスダッシュボードと自動修復機能で、組織全体のセキュリティ態勢を継続的に監視・改善します。