GMOサイバーセキュリティ byイエラエ株式会社

AWS WAFのAWSマネージドルールについて選定ポイントと重要性を解説

更新日:2025.03.28
セキュリティ対策
AWS WAFのAWSマネージドルールについて選定ポイントと重要性を解説

目次

  1. AWS WAFとは?導入メリットを整理
    1. AWSサービスへの簡単な適用
    2. 運用負荷の削減
  2. なぜマネージドルールの活用が重要なのか?
    1. AWSマネージドルールを利用するメリット
  3. 成否を分ける「マネージドルール選定」の重要性
    1. AWSマネージドルール選定のステップ例
    2. マネージドルールの設定に困ったら WAFエイド
  4. AWSマネージドルールを利用するうえで気を付けるべき点
    1. 過剰適用による誤検知
    2. カウントモードにすることの影響
    3. AWSマネージドルールの自動更新
    4. AWSマネージドルールは完璧ではない
    5. 定期的な見直し
  5. AWS WAF Classic終了に伴う対応
  6. WAFの運用を最適化するWAFエイド
    1. 独自開発の検知ルール(シグネチャ)を追加してWAF製品の検知力を強化
    2. お客様ごとの環境に応じたAWSマネージドルール選定支援
    3. ルール運用・管理のアウトソースが可能
    4. WAFの自動運用サービス WAFエイドご紹介資料
  7. まとめ

AWS WAFとは?導入メリットを整理

AWS WAFは、Webアプリケーションに対するHTTP(S)リクエストを監視し、不正なアクセスを検知・遮断するためのセキュリティサービスです。ボットによるアクセス対策や、特定の通信のみを許可する設定なども可能で、幅広いセキュリティ機能を備えています。
AWSが提供する他のサービスとネイティブに連携できる点や、スケーラブルなプラットフォーム上で動作する点が特長として挙げられます。
ここではAWS WAFの特徴についてご紹介いたします。

マネージドルールの設定にお困りですか?
WAFの自動運用サービス WAFエイドがご支援します

AWSサービスへの簡単な適用

WebアプリケーションをAmazon CloudFrontやApplication Load Balancer(ALB)、API Gatewayと連携している場合、数ステップでAWS WAFを有効化することができます。設定もGUIベースで行え、初めてWAFを触る方にとってもとっつきやすいのではないでしょうか。
「まずはお試しで導入してみる」といったスタートにも最適です。昨年のアップデートでCloudFrontのディストリビューション設定画面からWeb ACL(アクセス制御リスト)を選択するだけでWAFのセットアップを開始できるようになりました。

運用負荷の削減

AWS WAFはマネージドサービスとして提供されるため、サーバー管理やバージョンアップ対応など、手間のかかる運用業務が不要です。さらにAWSによるサービスのアップデートにより新機能や機能改善が継続的に追加されています。
また後述のマネージドルールを活用することで、ルール更新といった専門的タスクも大幅に削減できます。
各種のルールを活用することで、利用者自身に高度なセキュリティ知識をもたなくてもWAFによる恩恵を受けることできます。

なぜマネージドルールの活用が重要なのか?

AWS WAFでは、利用者自身が独自のルール(カスタムルール)を設定することも可能です。しかし、すべてのルールを自分たちで作成・管理するのは相応のセキュリティ知識や運用リソースを必要とします。
そこで注目したいのが「マネージドルール」の活用です。 AWS WAFで利用できるマネージドルールには大きく2つのタイプがあり、AWSが提供するものと、外部のセキュリティベンダーが提供するものがあります。特別な要件がない限り、まずはAWSが提供するマネージドルール(以降、AWSマネージドルール)の活用をおすすめします。 必要に応じて後から別のルールに切り替えられる点も、クラウドならではの柔軟性です。

AWSマネージドルールを利用するメリット

利用料金が不要(一部例外を除く)

AWSマネージドルールに関しては、利用そのものに対する追加費用が原則発生しません(WAFの基本課金やリクエスト課金は別途必要です)。

最新の保護が自動的に反映される

AWSが継続的に新たな攻撃手法に対応したルール修正を提供してくれるため、脆弱性情報を個別に追いかける手間を大幅に削減できます。
また、自動更新を無効にする運用も可能で、安定したバージョンのルールを使い続けたい場合にも対応しています。

成否を分ける「マネージドルール選定」の重要性

WAFの導入効果を最大化するためには、自社のWebアプリケーションに適したマネージドルールを選ぶことが重要です。 ルールが足りないと保護が不十分になりますし、逆に「念のため全部適用」としてしまうと、正規の通信がブロックされたり、不要なログが大量に出力されたりと、運用上の負担が増えてしまう可能性があります。
以下は、AWSマネージドルールを選定するうえでの基本ステップです。

AWSマネージドルール選定のステップ例

  1. Webアプリケーションの特徴の把握する
    使用しているOS、フレームワーク、公開APIの有無などにより適用すべきルールは異なります。想定ユーザー(国内外など)によっても変化するため、全体像を把握しましょう。
  2. カウントモードを利用し、実際のリクエストを確認する
    初期段階からブロック設定にすると、正規通信が誤って遮断される恐れがあります。まずはカウントモードで正常なリクエストと悪意のあるリクエストを見分けましょう。可能であれば検証環境の利用やWebアプリケーションの開発者と連携することでより効率よく進められます。
  3. AWSマネージドルールの微調整を行う
    一つのルールグループには複数のルールが含まれています。ブロックモードでは正規通信が遮断されてしまう場合には、カウントモードやスコープダウンステートメントで対応します。
  4. 運用の開始
    確認した内容をもとにルールをブロックモードへと変更します。特に切り替え直後は通信状況を注意深く監視し、想定外の遮断がないか確認することが重要です。

マネージドルールの設定に困ったら WAFエイド

WAFエイド

・WAFの最適な設定ができているか分からない
・WAF運用に手間がかかっている
等のお悩みはありませんか?WAFエイドによる自動運用と専門家の知見で解決します。

無料資料ダウンロード

AWSマネージドルールを利用するうえで気を付けるべき点

マネージドルールは便利ですが、以下のような注意点も押さえておきましょう。

過剰適用による誤検知

汎用的なルールセットほど、広範な攻撃パターンをカバーする代わりに誤検知の可能性が高まります。Webアプリケーション独自のパラメータや通信パターンがある場合は、除外設定やカスタムルールとの組み合わせを検討してください。

カウントモードにすることの影響

ルールの中にはカウントモードにしても影響の小さいものや、反対にサイズ制限ルールに代表される影響が大きいルールが存在します。場合によってはリスク保有も含め、可能な限りリスクを軽減するように調整することが重要になります。

AWSマネージドルールの自動更新

マネージドルールはデフォルト設定では自動的にバージョンが更新されます。ほっておいても自動でルールが更新される一方で、今までブロックされなかった正規通信が急に誤遮断される可能性もあります。誤遮断のリスクを払拭するには、自動更新ではなく特定バージョンを利用し、確認しながらバージョン更新を行うことが可能です。

AWSマネージドルールは完璧ではない

マネージドルールは一般的な攻撃を広くカバーしますが、各社固有のビジネスロジックやデータフローを狙った攻撃には対応しきれないケースもあります。たとえば、特殊なURLパターンや独自ヘッダを用いるAPIがあるなら、それらに特化したカスタムルールを作成するのが望ましいでしょう。
また、AWSマネージドルールに限らず全てのセキュリティ製品に言えることですが、「セキュリティサービスを導入したから安全」とは言えません。ゼロデイ脆弱性のような未知の攻撃や設定ミスなどによる被害もあり得ます。マネージドルールだけで全ての攻撃から守れると考えて運用するより、多層防御の考え方に則って他のレイヤーでの防御を追加したり、WAFログやサーバーログを監視することですることで脅威に備える体制を整えましょう。

定期的な見直し

アプリケーションの機能追加やAWS側のマネージドルールアップデートなどに合わせて、WAFの設定を見直す習慣を持つことが大事です。
AWSによるマネージドサービスの更新はもちろん、ユーザー自身によるWebアプリケーションの更新も頻繁に発生しやすいのがクラウドの特性というのを念頭に置き、現状のWAFの設定がWebアプリケーションの実体と即しているのかを検知数や誤検知の状況をチェックしながら柔軟にルールを調整していきましょう。

AWS WAF Classic終了に伴う対応

旧世代のWAFサービスである「AWS WAF Classic」の提供を2025年9月30日をもって終了することを公式に発表しています。
AWS WAF Classicをご利用中の環境は、移行先となる新しいAWS WAFv2への対応が必要になります。
AWSからマイグレーションツールも提供されていますが、いくつか注意点もあります。

参考:AWS WAF Classic から新しい AWS WAF にルールを移行する

WAFの移行は単なる置き換えではなく、Webアプリケーションの防御を見直す絶好のチャンスでもあります。AWSマネージドルールをフルに活用し、自社に適したルール選定を行うことでより効率的なセキュリティ運用を実現できます。

WAFの運用を最適化するWAFエイド

当社の提供する「WAFエイド」では、こうしたWAF移行・新規導入時の設計から運用監視まで、幅広い支援を行っています。
WAFエイドを導入いただくことで、以下のような実運用に即した付加価値をご提供しています。

サービス詳細:WAFの自動運用サービス WAFエイド

独自開発の検知ルール(シグネチャ)を追加してWAF製品の検知力を強化

一般的なマネージドルールではカバーしきれない脅威に対し、当社が独自に開発した検知シグネチャを追加します。これにより、攻撃検出の精度をさらに高めることが可能です。

お客様ごとの環境に応じたAWSマネージドルール選定支援

ご要望に応じて、業種・Webアプリの構成・通信パターンなどに基づいた最適なAWSマネージドルールの選定(オプション)を支援します。導入直後から過不足のないセキュリティ対策が実現できます。

ルール運用・管理のアウトソースが可能

WAFの導入はあくまでスタートです。運用フェーズでは、日々のログ監視やルールの調整など、継続的な対応が必要になります。WAFエイドをご活用いただくことで、そうした運用業務の多くを当社側で担い、お客様の負担を大幅に軽減することが可能です。

WAFの自動運用サービス WAFエイドご紹介資料

WAFエイド

・WAFの最適な設定ができているか分からない
・WAF運用に手間がかかっている
等のお悩みはありませんか?WAFエイドによる自動運用と専門家の知見で解決します。

無料資料ダウンロード

まとめ

AWS WAFはWebアプリケーションにおけるセキュリティ対策として非常に有効です。特にAWSマネージドルールを活用することで、導入・運用の負担を抑えながら、脅威の低減につなげることができます。
一方で、誤検知の調整や例外対応、ルールの見直し、脅威動向に応じた設定更新など、実運用フェーズでは専門的な知見やリソースが求められる場面も少なくありません。また、WAF単体では防ぎきれない高度な攻撃や内部不正への対策も必要です。

WAFエイドでは、こうしたWAFの運用支援・監視はもちろん、環境に応じたAWSマネージドルールの選定(オプション)などもご支援させていただきます。
AWS WAFの運用でお困りごとがあれば、ぜひ当社WAFエイドをご用命ください!

お問い合わせ

監修:GMOサイバーセキュリティ byイエラエ 編集部

企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。

シェア
X FaceBook

関連記事

ネットワークセキュリティとは?役割や対策方法を解説
サプライチェーンリスクとは?事故が起こる要因と対策を解説
クラウド型WAFとは?導入メリットや選び方を解説
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析 SOC
セキュリティコンサルティング
アプリケーション開発
用語解説