セキュリティ

AWS WAF

SQL インジェクションやクロスサイトスクリプティングなどの Web 攻撃からアプリケーションを保護するマネージドな Web アプリケーションファイアウォール

約 2 分で読めます

概要

AWS WAF (Web Application Firewall) は、Web アプリケーションや API を一般的な Web 攻撃から保護するマネージドファイアウォールサービスです。CloudFront、ALB、API Gateway、AppSync に統合して動作し、SQL インジェクション、クロスサイトスクリプティング (XSS)、HTTP フラッド攻撃などの脅威をリアルタイムでブロックします。Web ACL (Access Control List) にルールを定義し、リクエストの許可、ブロック、カウント、CAPTCHA チャレンジなどのアクションを設定します。AWS マネージドルールグループを使えば、OWASP Top 10 の脅威に対する防御を数分で有効にでき、セキュリティの専門知識がなくても基本的な保護を実現できます。Bot Control 機能により、スクレイピングボットやクレデンシャルスタッフィング攻撃も検出・ブロックできます。

マネージドルールとカスタムルールの多層防御

WAF のルール設計では、AWS マネージドルールグループを基盤に、アプリケーション固有のカスタムルールを重ねる多層防御が効果的です。マネージドルールグループには Core Rule Set (SQL インジェクション、XSS、パストラバーサルなどの一般的な攻撃)、SQL Database (SQL インジェクションの詳細パターン)、Known Bad Inputs (既知の悪意あるペイロード) などがあり、Web ACL に追加するだけで OWASP Top 10 の脅威に対する基本防御が有効になります。カスタムルールでは、IP アドレスセットによる特定 IP のブロック/許可、正規表現パターンセットによるアプリケーション固有の攻撃パターン検出、地理的条件による国単位のアクセス制御を定義できます。Azure WAF が OWASP Core Rule Set をベースとした定義済みルールセット中心の運用であるのに対し、AWS WAF は正規表現や複合条件の組み合わせなど、より細かなカスタムルールの記述が可能です。

Bot Control とレートベースルール

WAF の Bot Control 機能は、リクエストの送信元がボットかどうかを自動分類し、カテゴリごとに異なるアクションを設定できます。検索エンジンクローラーやソーシャルメディアのボットは許可しつつ、スクレイピングボットやクレデンシャルスタッフィング攻撃を検出してブロックするといった使い分けが可能です。レートベースルールは、同一 IP アドレスからの過剰なリクエスト (例: 5 分間に 2,000 リクエスト以上) を自動的にブロックし、DDoS 攻撃やブルートフォース攻撃を緩和します。CAPTCHA アクションを組み合わせれば、疑わしいリクエストに対して人間であることの確認を求め、正当なユーザーのアクセスを維持しながらボットを排除できます。Web セキュリティの専門書 (Amazon) では、ボット対策の実践的なアプローチが解説されています。

Count モードによる段階的導入とログ分析

WAF ルールの導入で最も重要なのは、いきなり Block モードで適用しないことです。まず Count モードでルールを有効にし、WAF ログを分析して正当なトラフィックが誤検知されていないことを確認してから Block モードに切り替えます。この段階的なアプローチにより、ビジネスへの影響を最小限に抑えながらセキュリティを強化できます。WAF ログは S3、CloudWatch Logs、Kinesis Data Firehose に出力でき、S3 に保存したログを Athena でクエリすることで、ブロックされたリクエストのパターン分析や誤検知の調査を効率的に行えます。特定のルールで誤検知が多い場合は、そのルールにスコープダウンステートメント (除外条件) を追加して、特定の URL パスやヘッダーパターンを検査対象から除外する調整が可能です。WAF は CloudFront、ALB、API GatewayAppSync に統合して動作しますが、WAF との統合は ALB でのみ利用可能な点に注意が必要です。

共有するXB!

関連する用語

Amazon CloudFrontAWS IAMAmazon GuardDuty

関連するサービス

Amazon CloudFrontElastic Load BalancingAmazon API Gateway

関連する記事

証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。Amazon Route 53 の DNS 設計 - ルーティングポリシーとヘルスチェックの実践エイリアスレコードと 7 種類のルーティングポリシーで高度なトラフィック制御を実現する。ヘルスチェックによるマルチリージョンフェイルオーバーの設計を紹介します。AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装Bot Control でスクレイパーや自動化ツールを検出し、ATP でクレデンシャルスタッフィングを防止する。チャレンジと CAPTCHA のユーザー体験設計も紹介します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。Amazon.com は AWS 最大の顧客である - 内部ドッグフーディングが生んだサービス品質の秘密Amazon.com の EC サイト、Prime Video、Alexa が AWS 上で稼働している事実から、内部ドッグフーディングがサービス品質をどう高めているか、Prime Day の負荷が AWS の設計をどう鍛えたかを解説します。

内容が近い用語・記事

AWS WAFWeb アプリケーションを悪意のあるアクセスから保護するファイアウォールサービスAWS WAF の主な用途はどれですか?DDoS 攻撃からアプリケーションを保護するための AWS マネージドサービスはどれですか?AWS WAF の Bot Control と不正防止 - ボット対策とアカウント乗っ取り防止の実装Bot Control でスクレイパーや自動化ツールを検出し、ATP でクレデンシャルスタッフィングを防止する。チャレンジと CAPTCHA のユーザー体験設計も紹介します。DDoS 対策 - AWS Shield による多層防御の設計と運用AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront ・ Route 53 ・ ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。