AWS WAFでできること
機能や特徴、メリット、導入事例を解説

• AWS入門
• AWS基礎知識

目次

• WAF（Web Application Firewall）とは
• AWS WAFの概要
  1. AWS WAFの特徴
  2. 保護対象となるAWSリソース
  3. AWS WAFのセキュリティ対策の範囲
• AWS WAFのおもな機能
  1. Web ACLによる保護
  2. ルールによるリクエストの検査とアクション設定
  3. ルールグループによる再利用可能なルールの定義
  4. AWSマネージドルールとAWS Marketplaceの管理ルールグループ
  5. カスタムルールによる柔軟な検査基準の設定
  6. レートベースルールによるレート制限とDDoS対策
• AWS WAFのメリット
  1. 簡単な導入と設定
  2. 強力なWebアプリケーション保護
  3. マネージドルールによる効率的な運用
  4. 柔軟なカスタマイズ性
  5. AWSサービスとの高い親和性
• AWS WAFを利用する際の注意点
• AWS WAFの料金体系
  1. 基本的な料金構造
  2. コスト最適化のためのヒント
• AWS WAFの設定と運用方法
  1. Web ACLの作成
  2. ルールの基本
  3. マネージドルールの選択と適用
  4. カスタムルールの作成と設定
  5. ルールの適用順序（優先順位）の設定
  6. モニタリングとアラートの設定
• AWS WAFの導入事例、活用例
  1. セキュリティの強化と運用の効率化
  2. ECサイトのAPI接続管理とサイバー攻撃対策
  3. AWS WAFを活用したコンプライアンス対応
• Webアプリケーション診断でより安全な環境へ
• まとめ

近年、AWSで社内システムなどを構築する機会が増えており、Webアプリケーションへのセキュリティ対策は欠かせません。

Webアプリケーションを標的とした脅威が増加するなか、AWS WAFは強力な防御手段となります。しかし、AWS WAFについて詳しく知らない、という方も多いのではないでしょうか。

そこでこの記事では、AWS WAFの基本的な機能や特徴、メリットと併せて、設定や運用方法、導入事例を解説します。

WAF（Web Application Firewall）とは

そもそもWAFとは、Webアプリケーションの脆弱性を悪用した攻撃から、Webサイトを保護するためのセキュリティ対策・技術のことです。

WAFはアプリケーションレベルで通信内容を詳細に解析し、特定の条件に一致する通信を検知・遮断することができます。そのため、サイバー攻撃から企業のデジタル資産を保護する、不可欠な防御ツールの一つといえるでしょう。

情報処理推進機構（IPA）によれば、2024年第1四半期におけるWebアプリケーションに関する脆弱性情報の届出件数は158件でした。これは、ソフトウェア製品の85件と比較しても非常に多い状況です。

この数字は、Webアプリケーションの脆弱性が攻撃者の標的となりやすく、適切な対策が必要であることを示しています。そのセキュリティ対策は企業に欠かせない施策といえるでしょう。

AWS WAFの概要

AWS WAFは、Webアプリケーションにおけるセキュリティ強化用にAWSが提供する、クラウドベースのソリューションです。ここでは、AWS WAFの特徴や保護範囲などの基礎知識を紹介します。

AWS WAFの特徴

AWS WAFは、あらかじめ定義された特定の条件に基づいてWebアプリケーションへのリクエストを詳細に検査し、不正なトラフィックをブロックします。

例えば、SQLインジェクションやクロスサイトスクリプティング（XSS）などの一般的なサイバー攻撃から、Webアプリケーションを保護することが可能です。

また、AWS WAFのマネージドルールの活用で、アプリケーションの保護を迅速に開始できます。導入自体も非常に簡単です。さらに、料金は従量課金制のためコスト効率も良く、企業のセキュリティ対策に柔軟に対応できます。

保護対象となるAWSリソース

AWS WAFは、多様なAWSリソースを包括的に保護します。具体的には、以下のAWSリソースの保護が可能です。

• Amazon CloudFrontディストリビューション
• Application Load Balancer
• Amazon API Gateway REST API
• AWS AppSync GraphQL API
• Amazon Cognitoユーザープール
• AWS App Runnerサービス
• AWS Verified Accessインスタンス

これらのリソースに対して、用途に応じたセキュリティ設定を適用し、包括的な防御を実現します。

AWS WAFのセキュリティ対策の範囲

AWS WAFは、Webアプリケーションの通信における脆弱性を狙った攻撃から、Webアプリケーションを保護します。SQLインジェクション、クロスサイトスクリプティング（XSS）、DDoSなどのアプリケーション層への攻撃を効果的に防ぐことが可能です。

ただし、ネットワーク層やOS・ミドルウェア層に対する攻撃への保護機能はありません。そのため、ほかのセキュリティサービスと組み合わせた多層防御を推奨しています。

企業におけるセキュリティ戦略の一環として、AWS WAFの適切な活用が求められます。

AWS WAFのおもな機能

AWS WAFは、企業におけるWebアプリケーションのセキュリティ戦略にとって、重要な役割を果たすものです。ここでは、これらの主要な機能について簡単に解説します。

Web ACLによる保護

Web ACL（アクセスコントロールリスト）は、AWS WAFがアクセス制御を行なうためのルールを設定する機能です。

保護対象とするAWSリソースに関連づけることで、Webリクエストを詳細に制御できます。Web ACLは、AWSのリソースとして定義され、追加するルールによって高度なアクセス制御を実現します。

ルールによるリクエストの検査とアクション設定

ルールはWebリクエストを検査するための基準と、条件に一致した場合のアクションを定義します。ALLOW（許可）、BLOCK（拒否）、COUNT（記録）、CAPTCHA／Challengeなどのアクションから選択可能です。

これらのアクションを組み合わせることにより、複雑なセキュリティルールを柔軟に作成できます。

ルールグループによる再利用可能なルールの定義

ルールグループは、複数のルールをまとめて管理する機能です。ルールグループによって1つのルールセットを複数のWeb ACLに対して簡単に適用可能で、セキュリティ設定の一貫性を保ちながら、ルール管理の効率化を図ることができます。

AWSマネージドルールとAWS Marketplaceの管理ルールグループ

AWSは、一般的な脅威に対処するために、あらかじめいくつかのルールを定めたマネージドルールを提供しています。これらのルールは常に更新され、最新の脅威に対して迅速に対応可能です。

さらに、AWS Marketplaceでは、サードパーティのセキュリティベンダーが提供する専門的な管理ルールグループも購入できます。AWS Marketplaceの管理ルールグループを上手に活用すれば、より専門的な保護ルールを容易に実現できるでしょう。

カスタムルールによる柔軟な検査基準の設定

カスタムルールの作成により、特定のアプリケーションや業界特有の脅威にも対応可能です。特定のURLパターンやヘッダー情報に基づくフィルタリング、独自のロジックを適用してリクエストを評価できます。

ほかにも、カスタムルールを使いこなし、組織固有のセキュリティ要件に合わせた高度なWebアプリケーション保護を実現します。

レートベースルールによるレート制限とDDoS対策

レートベースルールとは、一定期間内に同一IPアドレスから送信されるリクエスト数を制限する機能です。

この機能により、正常なトラフィックを維持しながら、DDoS攻撃やブルートフォース攻撃など、短時間に大量のリクエストを送信するような脅威を効果的に防ぐことができます。

AWS WAFのメリット

AWS WAFは、Webアプリケーションのセキュリティ強化に大きく貢献するソリューションです。ここでは、AWS WAFの代表的なメリットを簡単に紹介します。

簡単な導入と設定

AWS WAFは、AWS環境に特化したWebアプリケーションファイアウォールであり、Amazon CloudFrontやApplication Load Balancerなど、ほかのAWSサービスとも連携できます。

また、導入プロセスは適切なリソース上でAWS WAFを有効化するだけと、非常に簡単です。そのため、専門的な技術や知識がなくても迅速に実装でき、手間もかかりません。

強力なWebアプリケーション保護

SQLインジェクション、クロスサイトスクリプティング（XSS）、DDoS攻撃など、一般的なWebアプリケーションの脆弱性を狙った攻撃を防ぐのに効果的です。

また、カスタムルールの作成により、標的型攻撃から大量の一斉攻撃まで、あらゆる脅威に対応可能な柔軟性も備えています。

マネージドルールによる効率的な運用

AWSやパートナー企業が提供するマネージドルールにより、セキュリティ運用の手間を大幅に削減できます。これらのマネージドルールは随時更新され、最新の脅威に対応しつつ自動的に適用できるため、常に最新のセキュリティ対策を維持できます。

柔軟なカスタマイズ性

業界や個別のアプリケーションの特性に合わせて、セキュリティルールを自由にカスタマイズできます。AWS WAF APIやAWSマネジメントコンソールを使用することにより、アプリケーション固有のルールを設定可能。開発者の負担を減しつつ、最適なセキュリティ対策を実現できます。

AWSサービスとの高い親和性

Amazon CloudWatch、AWS CloudTrail、AWS Firewall Managerなどの運用・管理面で役立つAWSツールとも容易に連携可能です。

ログ記録、モニタリング、一元管理といった運用面での利便性を高め、AWSの運用状況をリアルタイムで把握し、迅速に対応することができます。

AWS WAFを利用する際の注意点

AWS WAFは強力なソリューションですが、利用にはいくつか注意点が存在します。

一つは「誤検知のリスク」です。正常な通信を不正アクセスと誤って判定し、通信を遮断してしまう可能性があります。そのため、まずは「COUNTモード」を用いてログを詳細に分析し、実運用に入る前に慎重にルールをチューニングすることが重要です。

もう一つは、マネージドルールの利用についてです。AWSが提供するルールは便利ですが、必ずしも自社環境に適合するわけではありません。カスタムルールの追加や定期的な見直しが必要であり、そのためには専門的な知識も必要です。

AWS WAFの導入は容易ですが、適切な運用には専門知識を持つ人材が欠かせません。人材がいない場合は、他社の運用サポートサービスなどの活用も検討しましょう。

AWS WAFの料金体系

ここでは、AWS WAFの料金構造とコスト最適化のためのヒントを解説します。セキュリティ投資を最適化したい企業担当者にとって、重要な情報となるでしょう。

基本的な料金構造

AWS WAFの料金体系は、原則「Web ACLの数」「追加するルールの数」「Webリクエスト数」に基づく従量課金制です。具体的には、以下のような料金設定となっています。

• Web ACL：1つのWeb ACL当たり月額5.0米ドル
• ルールの数：1つのルール当たり月額1.0米ドル
• Webリクエスト数：100万リクエストごとに0.60米ドル

例えば、10個のルールを持つ1つのWeb ACLで、月間1,000万リクエストを処理する場合の概算月額料金は次のとおりです。

• Web ACL料金：5.0米ドル（1×5.0米ドル）
• ルール料金：10.0米ドル（10×1.0米ドル）
• リクエスト料金：6.0米ドル（1,000万リクエスト×0.60米ドル÷100万リクエスト）

そのため、合計の月額料金は21米ドルとなります。ここから、さらにマネージドルールを利用する場合は追加料金が発生します。

コスト最適化のためのヒント

AWS WAFのコストを最適化するには、おもに次の点に留意しましょう。

• 不要なWeb ACLの削除
• ルールの継続的な最適化
• 詳細なログ分析によるルールの改善
• 適切なマネージドルールの選択

Web ACLやルールは、作成するほどコストがかかります。運用するなかで継続的にチェックし、ログ分析も行なってWeb ACLとルールを最適化することが重要です。また、マネージドルールは別途コストがかかるため、要不要も含めて適切なものを選択するようにしましょう。

そのほか、AWS ShieldやCloud Frontのセキュリティ割引を活用することで、さらなるコスト削減が期待できます。例えば、AWS WAFとCloud Frontを組み合わせた場合、Cloud Frontのセキュリティ割引バンドルを前払いすることによって、Cloud Frontの料金を最大30％削減できます。

AWS WAFの設定と運用方法

AWS WAFを用いた効果的なセキュリティ対策の実現には、適切な設定と継続的な運用が欠かせません。ここでは、AWS WAFの基本的な設定と運用方法について簡潔に解説します。

Web ACLの作成

AWS WAFを設定する際は、最初にWeb ACLを作成します。AWSマネジメントコンソールからAWS WAFコンソールを開き、「Create Web ACL」を選択して設定を開始します。

おもな設定内容には、Web ACLの名前、説明、CloudWatchメトリクス名、保護対象のリソースタイプとリージョンがあります。この段階で保護対象のAWSリソースを明確に定義しておきましょう。

ルールの基本

ルールは、Webリクエストを検査するためのステートメント（検知の条件）とアクション（実行する処理）で構成されています。

ルールを作成する際は、ルール名、タイプ、具体的なステートメント、実行するアクションを設定します。各ルールは特定の脅威や異常なトラフィックパターンを検出するための重要なプロセスとなるため、慎重に設定しましょう。

マネージドルールの選択と適用

マネージドルールは、セキュリティ設定の効率化に大きく貢献します。Web ACLのRulesタブから「Add rules」を選択し、「Add Managed rule groups」から必要なマネージドルールを選択できます。

ルールがプリセットされたマネージドルールを使用することにより、ルール作成の工数を大幅に削減することが可能です。ただし、過度な制限にならないよう注意しましょう。

カスタムルールの作成と設定

マネージドルールでは対応できない特定の脅威に対しては、カスタムルールを作成しましょう。

「Add my own rules and rule groups」からRule builderを選択し、必要なパラメータを入力してカスタムルールを作成します。自社のWebアプリケーション固有の脆弱性などに対応できるような、柔軟な設定が可能です。

ルールの適用順序（優先順位）の設定

各ルールには、一意の優先順位を設定する必要があります。ルールの評価順序は、数値の大小によって決定され、最小値が最も優先度が高く、数値が大きくなるにつれて優先度が低くなります。

コンソールでルールを管理する場合は、リスト内のルール順序に基づいて自動的に優先度が割り当てられますが、「Set rule priority」で明示的に設定することも可能です。

モニタリングとアラートの設定

効果的に運用するには、継続的なモニタリングとアラート設定が欠かせません。CloudWatchと連携してAWS WAFのメトリクスを監視することにより、異常なトラフィックパターンや攻撃の兆候を迅速に検知できます。

ログを詳細に分析し、定期的にルールを評価・調整することで、常に最適なセキュリティ体制を維持できます。

AWS WAFの導入事例、活用例

AWS WAFは、多くの企業が実際に導入・運用しています。ここでは、AWS WAFを導入することでどのような効果が得られているのか、活用例を紹介します。

セキュリティの強化と運用の効率化

株式会社ecbeingは、同社のBtoC向けECプラットフォームで運用している大規模な約1,000サイトにAWS WAFとAmazon CloudFrontを適用し、セキュリティ対策が革新的に改善しました。

顧客へのWAF適用リードタイムは1営業日と非常に短く、IP Block Listの一括適用とアップデートの一元化も実現しています。この取り組みにより、管理工数の大幅な削減と運用効率の向上を達成しました。
※参考：ecbeing、EC サイトに Amazon CloudFront と AWS WAF を採用。Edge サービスの統合によりオペレーションを効率化

ECサイトのAPI接続管理とサイバー攻撃対策

株式会社ZOZOのFulfillment by ZOZO（FBZ）サービスでは、AWS WAFを活用してAPIへの接続管理やサイバー攻撃対策を徹底しています。

APIの不正利用を防ぎ、DDoSをはじめとするサイバー攻撃からシステムを保護することが可能です。FBZ APIでは顧客の個人情報も取り扱っているため、厳重なセキュリティ対策の一環としてAWS WAFが活用されています。
※参考：物流支援サービスを支えるAWSサーバーレスアーキテクチャ戦略

AWS WAFを活用したコンプライアンス対応

AWS WAFは、各種コンプライアンス基準への準拠にも大きく貢献します。クレジットカード業界におけるPCI DSSには、マネージドルールを活用することにより容易に準拠できます。

実際に前述の株式会社ecbeingでは、PCI DSS v4.0への準拠も目的としてAWS WAFが採用されました。また、ヘルスケア業界におけるHIPAA法においても、AWS WAFは対応サービスとして認定されており、高度なセキュリティ要件を満たすことができます。

Webアプリケーション診断でより安全な環境へ

AWS WAFは、導入も容易で利用しやすいソリューションですが、効果的に活用するには専門知識が欠かせません。さらに、導入後は定期的なルールの見直しなども行なう必要があります。

「しっかりと運用できるか不安」「WAFが機能しているかわからない」と悩まれる企業の方も多いのではないでしょうか。実際に対策をしようにも「何に」対策すればよいかわからない、ということも少なくありません。

そこでCloudCREWでは、脆弱性が顕在化する「Webアプリケーション診断」を提供しています。AWS、Google CloudのWebアプリケーションを対象に、専門家が網羅性の高い診断でWebアプリケーションに潜む脆弱性を検出します。

診断後は、診断結果報告書の提出とリスク低減に向けた技術支援のサポートまでのワンストップサービスです。クラウドとセキュリティの専門家チームによる診断をご希望される場合は、ぜひ一度お問い合わせください。

まとめ

昨今、Webアプリケーションはさまざまな場面で利用されるため、WAFの存在はセキュリティの要として欠かせません。AWSを利用する企業も増えており、AWSリソースを効果的に守る存在としてAWS WAFは重要な役割を担っています。

AWS WAFのメリット・デメリットを正しく理解し適切に活用できれば、自社のWebアプリケーションをより安全で使いやすいものにすることができるでしょう。ただし、AWS WAFの導入は容易ですが、利用には注意点も存在します。もし、導入に不安がある場合は、他社のサポートサービスの活用も検討しましょう。