セキュリティ

AWS Firewall Manager

Organizations 配下の複数アカウント・リソースに対して WAF、Shield Advanced、Security Group、Network Firewall のルールを一元的に適用・管理するセキュリティ管理サービス

約 2 分で読めます

概要

AWS Firewall Manager は、AWS Organizations と連携して複数の AWS アカウントにまたがるファイアウォールルールを一元管理するサービスです。WAF ルール、Shield Advanced 保護、VPC セキュリティグループ、Network Firewall ポリシー、Route 53 Resolver DNS Firewall ルールを、セキュリティポリシーとして定義し、指定した OU やアカウントに自動的に適用します。新しいアカウントやリソースが追加された場合も、ポリシーが自動的に適用されるため、セキュリティの一貫性が保証されます。

セキュリティポリシーの種類と適用範囲

Firewall Manager のセキュリティポリシーは 6 種類あり、保護対象のリソースタイプに応じて選択します。WAF ポリシーは CloudFront ディストリビューション、ALB、API GatewayAppSync に WAF ルールグループを一括適用します。全アカウントの ALB に共通の WAF ルール (SQL インジェクション防御、レートリミット) を強制する場合に使います。Shield Advanced ポリシーは DDoS 保護を EC2、ELB、CloudFront、Global AcceleratorRoute 53 に適用します。セキュリティグループポリシーは VPC のセキュリティグループを管理し、不要なインバウンドルールの検出と自動修復が可能です。Network Firewall ポリシーは VPC に Network Firewall を自動デプロイし、ステートフルなトラフィック検査ルールを適用します。DNS Firewall ポリシーは Route 53 Resolver に DNS フィルタリングルールを適用し、悪意のあるドメインへの DNS クエリをブロックします。各ポリシーの適用範囲は、Organizations の OU 単位、アカウント単位、リソースタグ単位で指定でき、除外ルールも設定可能です。

WAF ルールの一元管理と自動修復

Firewall Manager の最も一般的なユースケースは、WAF ルールの一元管理です。セキュリティチームが Firewall Manager で WAF ポリシーを定義すると、対象アカウントの対象リソースに Web ACL が自動的に作成・関連付けされます。ポリシーには「最初のルールグループ」と「最後のルールグループ」を指定でき、各アカウントの管理者はその間にアカウント固有のルールを追加できます。これにより、組織共通のセキュリティベースライン (OWASP Top 10 対策、ボット対策、レートリミット) を強制しつつ、アカウントごとのカスタマイズ余地を残せます。自動修復機能を有効にすると、ポリシーに準拠していないリソース (WAF が関連付けられていない ALB など) を自動的に修復します。新しい ALB が作成された場合も、Firewall Manager が検知して WAF を自動的に関連付けます。コンプライアンスダッシュボードでは、全アカウントのポリシー準拠状況を一覧で確認でき、非準拠リソースの特定と対処が容易です。

導入の前提条件とコスト構造

Firewall Manager の導入には 3 つの前提条件があります。第一に、AWS Organizations が有効で、すべての機能 (All Features) が有効化されていること。第二に、Firewall Manager の管理者アカウントが指定されていること (通常はセキュリティアカウント)。第三に、AWS Config が対象アカウントで有効化されていること (Firewall Manager がリソースの準拠状況を評価するために必要)。コスト構造は、Firewall Manager 自体のポリシー料金 (1 ポリシーあたり月額 100 USD) に加え、各ポリシーが作成するリソース (WAF Web ACL、Network Firewall エンドポイントなど) の料金が発生します。WAF ポリシーの場合、Firewall Manager の 100 USD + 各アカウントの Web ACL 料金 (月額 5 USD) + ルール料金 + リクエスト料金が合計コストになります。10 アカウントに WAF ポリシーを適用する場合、Firewall Manager 100 USD + Web ACL 50 USD + ルール・リクエスト料金で、月額 200-300 USD 程度が目安です。アカウント数が少ない (5 未満) 場合は、各アカウントで個別に WAF を設定する方がコスト効率が良い場合もあります。

共有するXB!

関連する用語

AWS WAFAWS Network FirewallAWS OrganizationsAWS Security HubAWS Config

関連するサービス

AWS WAFAWS Network FirewallAWS OrganizationsAWS Config

関連する記事

AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。タグの設計が運用を決める - AWS リソースタグ戦略の雑学と実践的な命名規則AWS リソースタグが単なるラベルではなくコスト配分、アクセス制御、自動化の基盤である理由、タグキーの命名規則、タグの上限 50 個の使い方、タグポリシーによるガバナンスを解説します。AWS Config で実現する継続的コンプライアンス監視 - ルール評価と自動修復AWS Config によるリソース構成の記録、Config ルールによるコンプライアンス評価、自動修復アクションの設定を解説します。AWS Control Tower で構築するマルチアカウント環境 - ランディングゾーンとガードレールランディングゾーンの自動構築とガードレールによるポリシー適用で、マルチアカウント環境のガバナンスを確立する。Account Factory によるアカウント自動作成も紹介します。AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。

内容が近い用語・記事

AWS Firewall Manager で一元管理するセキュリティルール - WAF と Security Group の組織展開Organizations 全体の WAF ルール、Security Group、Network Firewall ポリシーを一元管理し、新規アカウントへの自動適用で組織全体のセキュリティベースラインを維持する方法を解説します。AWS Firewall ManagerAWS Organizations 全体のファイアウォールルールを一元管理するサービスネットワークトラフィックフィルタリング - AWS Network Firewall で実現する高度なネットワーク防御AWS Network Firewall によるステートフルなネットワークトラフィックフィルタリングと、AWS WAF との組み合わせによる多層防御の構築方法を解説します。VPC レベルのトラフィック制御と脅威防御の実践手法を紹介します。AWS Network Firewall による VPC トラフィック制御 - ステートフルルールとドメインフィルタリングステートフル/ステートレスルールとドメインフィルタリングで VPC トラフィックを制御する。Suricata 互換ルールとマネージドルールの活用を紹介します。