AWS WAFとは？基本用語や特徴、一般のクラウド型WAFとの違いをわかりやすく解説

近年、AWSへの移行が加速しています。AWS環境でのWebアプリケーションを保護するためにAWSが提供するWAF（Web Application Firewall）を導入する企業も増えています。

ただし、AWS WAFはどんな効果があるのか、サードパーティーが提供するクラウド型WAFとの違いは何なのか、について疑問を持つ企業も少なくありません。

この記事では、AWS WAFの基本用語や特徴についてわかりやすく説明します。また、AWS WAFとサードパーティーのクラウド型WAFとの違いについて解説します。

AWS WAFとは、AWS（Amazon Web Services）が提供するWAFです。WAFとは、Webアプリケーションの脆弱性を突く攻撃の防御に特化するセキュリティサービスです。

ネットワークセキュリティ対策としてよく導入されるIDS／IPSやファイアウォールなどとは異なり、WAFはWebアプリケーションに特化しているセキュリティサービスです。そのため、IDS／IPSやファイアウォールでは防げない、SQLインジェクションやクロスサイトスクリプティング（XSS）などのサイバー攻撃を、WAFによって防御できます。

AWS WAFを使いこなすためにはいくつかの基本用語を理解する必要があります。ここでは、AWS WAFの設定に重要な役割を持つ、Web ACL、ルールとルールグループ、ルールのステートメントとアクションについてわかりやすく説明します。

Web ACL（Web Access Control List）は、不正アクセスの検知・遮断に使われるルールを格納するコンテナのことです。Web ACLに作成されたルールやルールグループに基づいて通信の検査や制御を行います。

Web ACLの容量はWCU（Web ACL Capacity Unit）という単位で計測されます。Web ACLに設定されたルールの量によってAWS WAFの利用料金が変わります。

1つのWeb ACLにおいて、最初の1,500WCUは無料で利用できます。1,500WCUを超えた分は500WCUごとに課金されます。

また、Web ACLには容量の上限があり、最大5,000WCUとなります。それ以上の量のルールを設定したい場合、Web ACLをもう1個作成する必要があります。

AWS WAFの利用料金を抑えたい場合、Web ACLの数とその中に含まれるルールの量をしっかり計算するのをおすすめします。

AWS WAFのルールは、不正アクセスやサイバー攻撃を検知・遮断するために用いられます。ルールの条件を細かく調整することで、AWS WAFが何の通信を検出するのか、検出した通信に対してどういうアクションを取るのかを設定できます。

ルールはルールステートメントとルールアクションの2つによって構成されます。

ルールステートメントとは、通信を評価するための条件です。特定のIPアドレスからの通信や特定の文字列を含む通信など、条件を細かく設定することができます。さらに、「AND」や「OR」など論理ルールステートメントを用いることで、高度な検知をするルールステートメントの設定も可能です。

一方、ルールアクションとは、ルールステートメントによって検出された通信に対して実行する処理のことです。通信を許可する「ALLOW」、ブロックする「BLOCK」、カウントのみ行う「COUNT」の主な3種類のほか、CAPTCHAおよびChallengeを表示させ、Botからの通信ではないことを確認するアクションも設定できます。

ルールステートメントとルールアクションを適切に設定することで、AWS WAFがWebアプリケーションを不正アクセスやサイバー攻撃から防御することができます。

AWS WAFのルールグループは、複数のルールを1つにまとめたものです。ルールグループを使用することで、関連ルールを効率的に管理することができます。

ルールグループには、ユーザー自身が作成するカスタムルールグループと、AWSをはじめとするベンダーが提供するマネージドルールグループの2種類があります。

有名なマネージドルールグループとして、AWSが提供・管理するAWSマネージドルールがあります。OWASP Top 10をはじめWebアプリケーションにおける一般的な脅威だけでなく、WordPressやPHPなどのアプリケーションや、WindowsやLinuxなどOSの脆弱性に対処できるルールグループがあります。

AWSマネージドルールを使用することで、自分でルールを0から作成しなくても、Webアプリケーションのセキュリティを強化することができます。

ただし、マネージドルールはあくまでも汎用的なルールとなるので、個社特有の脆弱性や脅威に対処できない場合があります。その場合、必要に応じてカスタムルールを作成し、マネージドルールと組み合わせて使用することが重要です。

AWS WAFは、AWS環境でのWebアプリケーションを保護するためのセキュリティサービスです。ここでは、AWS WAFの主な3つの特徴について紹介します。

AWS WAFを導入することで、Webアプリケーションに対するさまざまな攻撃を防ぐことができます。

AWS WAFは、通信のIPアドレスやHTTPヘッダーだけでなく、通信リクエストの本文やカスタムURIなどのさまざま条件を基にして、アプリケーションへの通信をチェックしています。

そのため、SQLインジェクションやクロスサイトスクリプティング（XSS）といった情報漏えいやデータの改ざんを引き起こす危険な攻撃も、AWS WAFの導入によって防ぐことができます。

AWS WAFを導入することで、DDoS攻撃（Distributed Denial of Service Attack）への対策にもなります。DDoS攻撃とは、複数のIPアドレスから大量の通信を送りつけることで、サーバの遅延やサーバーダウンを引き起こすサイバー攻撃です。

AWS WAFに搭載されているレートベースルールを活用することでDDoS攻撃を緩和することができます。レートベースルールでは、あるIPアドレスによるアクセス回数が一定時間内にしきい値を超えた場合、そのIPアドレスからのアクセスを一時的に制限することができます。

レートベースルールを活用することで、大量のリクエストを送信するDDoS攻撃を効果的に防ぐことが可能になります。

さらに、AWSではAWS Shieldという無料のDDoS攻撃対策サービスも提供しています。AWS Shieldは、ネットワーク層とトランスポート層へのDDoS攻撃を防御できるので、AWS WAFとの併用で、より強固なDDoS攻撃対策を実現できます。

AWS WAFは従量課金制を採用しているため、利用した分のみの課金となり、適切なコストで運用できます。

AWS WAFの利用料金は3つの要素によって決められます。アプリケーションの規模やAWS WAFの利用状況に合わせて、月額費用が変わるので、最適なコストでAWS WAFを運用できます。

1. Web ACLの数
2. Web ACLに追加するルールの数
3. 受け取るWebリクエストの数

さらに、AWS WAFは一般的なクラウド型WAFと同様に、専用機器を購入して設置する必要がありません。そのため、初期費用を大幅に抑えることができ、導入のハードルが低くなります。

AWS環境ではAWS WAFだけでなく、サードパーティーのクラウド型WAFを導入することができます。サードパーティーのクラウド型WAFとは、WAFベンダーが提供するクラウド型WAFです。

ここでは、AWS WAFとサードパーティーのクラウド型WAFの主な違いについて分かりやすく解説します。

AWS WAFを効果的に使うには、自社環境に合ったルールの設定が必要です。ただし、ルールの設定には高度なセキュリティ知識や経験が必要です。また、AWS WAFの機能や用語についての知見も必要なため。社内にセキュリティ人材がいない場合、ルール設定が困難となります。

たとえマネージドルールを利用したとしてもAWS WAFの運用作業が残ります。自社に適したルールグループの選定とバージョン管理が必要となり、個社特有の脅威に対処するにはカスタムルールを設定しなければなりません。

一方、サードパーティーのクラウド型WAFを導入する場合は、ルール（シグネチャ）の選定や管理業務はすべてベンダーに任せることができるので、WAFの運用業務が楽になります。

誤検知とは、正常な動きや通信を不正アクセスとして誤って判定することです。誤検知が発生してしまうと、通常の利用者がWebサイトやWebシステムにアクセスできなくなるので、顧客の不信感やクレームを招き、売上機会の損失にも繋がります。

AWS WAFで誤検知が発生した場合、自身で設定したルールを精査し誤検知の原因を特定して修正する必要があります。また、マネージドルールを利用している場合は、ルールの詳細は非公開であるため、誤検知を回避するためにカスタムルールの作成が必要となります。

それに対して、サードパーティーのクラウド型WAFを利用する場合は、誤検知が発生した際の原因特定やルールの調整はベンダーのサポートに依頼できます。誤検知調査の協力や結果確認のみを対応すれば大丈夫なので、WAFの運用工数を最小限に抑えることができます。

AWS WAFの運用作業を楽するにはWAF自動運用サービス「WafCharm（ワフチャーム）」がおすすめです。

個々の環境に合わせて最適なAWS WAFルールを設定するので、WafCharmを利用することでルール作成の手間を大きく削減できます。ルールの保守運用や管理はWafCharm側で行うため、AWS WAF担当者の手間を最小限に抑えることができます。

さらに、ルールのカスタマイズや誤検知の調査や調整などもすべてWafCharm側が代行するので、たとえ社内にセキュリティに詳しい人材がいなくてもAWS WAFを簡単に活用することができます。

WafCharmについて詳しくはこちらの資料をダウンロードしてください。

優れた防御能力を持つAWS WAFですが、すべてのAWS環境でAWS WAFの導入が最適とは限りません。

ここでは、AWS環境でもサードパーティーのクラウド型WAFを導入すべき2つのケースを紹介します。

ハイブリッドクラウドとは、パブリッククラウド、プライベートクラウド、オンプレミスなど、複数の環境を連携させて運用することです。それぞれの環境の強みを活かせるため、ハイブリッドクラウドで運用する企業が多いです。

ただし、AWS WAFはAWS環境でしか利用できないため、AzureやGoogle Cloudなどのパブリッククラウドや、プライベートクラウド、オンプレミス環境において違うWAFを導入する必要があります。

複数WAFの組み合わせによりWAFの運用が複雑化となり、運用工数が膨大になってしまいます。

一方、サードパーティーのクラウド型WAFはすべての環境にも導入できるため、ぞれぞれの環境に併せてWAFを導入する必要がなくなります。WAFの一元管理によってWAFの運用工数も最小限に抑えることができます。

複数のWebサイトを立ち上げる場合、AWS WAFの設定が煩雑になる可能性があるため、サードパーティーのクラウド型WAFを利用することがおすすめです。

AWS WAFを導入するには、AWS WAFの設定だけでなくAWS CloudFrontやALB（Application Load Balancer）の構築も必要です。また、AWS WAFのルールもそれぞれで設定しなければなりません。そういった作業によってWAFの導入工数が高くなります。

それに対して、サードパーティーのクラウド型WAFの導入作業が楽です。DNSを切り替えるだけで導入できるので、複数のWebサイトでも複雑な設定作業が不要です。

また、将来新しいサイトを立ち上げる際にも、同じようにDNSを設定するだけでWAFを適用できるため、WAF導入の手間を大幅に減らすことができます。

サードパーティーのクラウド型WAFを導入するなら国内シェアNo.1※の「攻撃遮断くん」がおすすめです。

「攻撃遮断くん」は月額10,000円〜導入可能かつ、システム変更不要のため最短1日で導入できる日本国内で開発・運用されているWAFです。ユーザー側での運用は一切必要ないため、低価格かつ簡単に高セキュリティを実現できます！

攻撃遮断くんについて詳しく知りたい場合はこちらの資料をダウンロードしてください。