AWS WAFとは?仕組みや導入方法、設定の流れを解説

本記事では、WAFの基本概念からAWS WAFの特徴、具体的な攻撃事例、導入手順、運用ポイント、そして料金体系までを解説します。本記事を読むことで、AWS WAFを導入すべき理由や実践的な設定・活用方法が理解でき、自社をサイバー攻撃から守る具体的な行動に結びつけることができます。
AWS WAFの運用でお困りではありませんか?
AWS WAFの自動運用サービスWAFエイド資料ダウンロード
目次
AWS WAFとは?
AWS WAF(Web Application Firewall)は、Webアプリケーションをサイバー攻撃から守るためのセキュリティサービスです。WebサイトやAPIへの不正なアクセスを検出し、ブロックすることで、AWSの利用者が安全なWebサービスを提供できるようになります。
AWS環境でWebアプリケーションを運用している場合、AWS WAFは公式サービスとして提供されており、ALBやAPI Gatewayなどの様々な他のAWSサービスと簡単に連携できます。運用コストを抑えつつ高度な防御を実現できるため、AWS利用者にとってAWS WAFは最適な選択肢です。
WAFとは?
Webアプリケーションにおける防御が可能
WAF(Web Application Firewall)は、Webアプリケーションを守るための防御手段です。
一般的なファイアウォールはIPアドレスやポート番号を基準に通信を遮断しますが、Webサイトをサイバー攻撃などの様々な脅威から防御するためには、これだけでは不十分です。
現代のWebアプリケーションは多層防御が重要であり、ファイアウォールやウイルス対策ソフトだけでは守り切れないケースがあります。WAFの役割は、従来のファイアウォールでは防御できないWebアプリケーション層における攻撃を検知し、遮断することです。
例えば、不正なリクエストや悪意ある入力をリアルタイムでブロックし、Webサービスの安全性を確保します。ECサイトや顧客情報を扱うシステムはもちろん、企業のコーポレートサイトにおいても、WAFによる保護は必要不可欠であり、企業イメージの保護にもつながります。
Webアプリケーションの防御におけるWAFの重要性
ネットワーク通信は一般的にOSI参照モデルと呼ばれる7つの層に分けて考えられており、それぞれの層が異なる役割を担っています。
サイバー攻撃を防ぐためには、それぞれ攻撃が受ける可能性がある層において防御をする必要があります。一般的なファイアウォールはネットワーク層やトランスポート層での攻撃には有効ですが、SQLインジェクションやクロスサイトスクリプティング(XSS)など、アプリケーション層への攻撃は防げません。これらの攻撃は、ユーザー入力を悪用してアプリケーションに不正な命令を送り、情報漏えいや改ざん、さらには管理権限の奪取にまで発展する恐れがあります。
WAFは、こうした攻撃をリアルタイムで検知・防御することができ、日々進化する攻撃手法にも柔軟に対応可能です。
関連記事:AWSでセキュリティ対策するには?基本や関連サービスを紹介
WAFの種類
WAFには「オンプレミス型」と「クラウド型」の2種類があります。
オンプレミス型は自社内に設置して運用するタイプで、自社独自のポリシーや細かな設定が可能ですが、初期導入コストや運用負担が大きくなります。
一方、クラウド型WAFはインターネット経由で利用でき、初期投資も少なく手軽に導入可能です。
WAFエイドが忙しい担当者様に代わりWAFを自動運用します

・WAFの最適な設定ができているか分からない
・WAF運用に手間がかかっている
等のお悩みはありませんか?WAFエイドによる自動運用と専門家の知見で解決します。
AWS WAFを導入すべき企業とは?
AWS WAFは、AWS上でWebアプリケーションを運用する企業にとって、まずは検討に加えるべきセキュリティ対策の一つです。
サイバー攻撃は大企業だけでなく中小企業も標的となり得ます。特にセキュリティ対策が不十分な企業ほど狙われやすい傾向にあります。攻撃を受けてから対策を講じるのでは手遅れとなり、回復のためには多大な金額・人的工数といったコストが発生します。
AWS WAFは、AWS環境に簡単に組み込め、面倒な設定も不要で即時に効果を発揮できる点が魅力です。まず第一に検討すべき有力な候補と言えるでしょう。
Webアプリケーションに対する攻撃の例
Webアプリケーションに対する攻撃としては多種多様な手段がありますが、代表的なものを紹介します。
SQLインジェクション
Webアプリケーションは、ユーザーからの入力を受け取り、データベース操作や画面表示を行います。SQLインジェクションはこの仕組みを逆手に取る攻撃です。
攻撃者は悪意あるSQL文を入力欄に挿入し、データベースから情報を盗んだり改ざんしたりします。たとえば、顧客情報が不正取得されることや、商品情報が改ざんされて信用失墜につながるケースもあります。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング(XSS)は、Webページに悪意あるスクリプトを埋め込み、Webサイトへアクセスしたユーザーのブラウザ上で不正動作を行う攻撃です。これにより、ユーザーのCookie情報やログイン情報が盗まれるリスクがあります。
AWS WAFは、このような攻撃を自動的に検知・遮断し、企業の被害を未然に防ぐ強力な武器となります。
AWS WAFの機能とできること
AWS WAFは、Webアプリケーションを守るために多機能で柔軟な設定を提供しています。特定の攻撃パターンに基づくルールベースのブロックや、IPアドレスフィルタリング、地理的なアクセス制限、リクエスト頻度に応じたレートベースルールも設定可能です。
AWSが提供するマネージドルールを活用すれば、常に最新の脅威に対応できます。
また、AWSが提供している様々なサービスとの連携も可能です。例えば、ログ収集やアラートはCloudWatchと連携して行うことができます。Lambdaなどと連携すれば、インシデント発生時の自動ルール適用など、運用の自動化や省力化も実現可能です。
AWS WAFにおける最大の特徴は、数クリックで導入が完了する手軽さにあります。
専門的な知識がなくても設定できる簡便さと、AWSサービスと連携した高いセキュリティ性能が魅力です。
AWS WAFの導入方法と設定の流れ
AWS WAFの導入について
AWS WAFの導入は次の手順に従って進めます。
構成の確認
最初に、自社システムの全体構成を確認します。全体構成を把握することで、どのリソースにAWS WAFを適用するかを明確にします。代表的なAWS WAFの適用先としてはALB(Application Load Balancer)、CloudFront、API Gatewayなどが挙げられます。
WebACLの作成
次に、AWSマネジメントコンソールにアクセスし、WebACL(Web Access Control List)を作成します。WebACLはどのようなアクセスを防御するか、というルールを設定する土台となり、全てのアクセスコントロールの基盤です。
ルールの設定
許可・ブロック・カウントの3種類のアクションを決めます。許可は、検知せずに素通しするアクセス、ブロックは検知後に遮断するアクセス、カウントは検知だけを行うアクセスです。AWSが提供するマネージドルールを利用することで、SQLインジェクションやXSS対策を行うことができます。また、自社独自のルールをカスタム設定することも推奨されます。
関連記事:AWS WAFのAWSマネージドルールについて選定ポイントと重要性を解説
適用と確認
最後に、WebACLを対象リソースに関連付けて適用を完了させます。導入直後は、簡単に対象のWebアプリケーションについて接続確認をして、ユーザーが使えることを確認しましょう。
AWS WAFの導入後に必要なこととは?
AWS WAFは導入して終わりではなく、継続的な運用が重要です。具体的には下記のような観点で運用していきましょう。
ログの確認やトラフィック分析
AWS WAFではCloudWatch LogsやS3にアクセスログを保存できます。これらのログを定期的に確認し、どのような攻撃が試行されているか、不審なアクセスがないかを監視することが必要です。トラフィック分析を行うことで、新たな脅威を早期に察知できます。
ルール更新の確認
攻撃手法は常に進化しています。AWSが提供するマネージドルールも定期的にアップデートされるため、最新の状態に保つことが大切です。また、自社で設定したカスタムルールも定期的に見直し、不要なルールの削除や条件変更を行うことが推奨されます。
新しい脅威に対する情報収集
セキュリティ情報は日々更新されます。AWS公式ブログやセキュリティレポートを活用し、新しい攻撃手法やトレンドを学びましょう。必要に応じて新しいルールを追加し、万全な防御態勢を維持することが、AWS WAF運用の成功につながります。
定期的なレポート作成と社内共有
運用状況やログ分析結果をもとに定期的なレポートを作成し、社内で共有することも重要です。これにより全社員がセキュリティ意識を高め、関係部署と情報を共有して早期対応が可能になります。
自動化と運用効率化
ルール適用やログ監視を自動化することで、運用負担を軽減できます。AWS LambdaやSNSを活用した通知設定を組み合わせ、異常検知時のアラート自動配信なども推奨されます。これによりAWS WAFを最大限活用した効率的な運用体制が実現します。
AWS WAFの料金体系とコスト感
AWS WAFの料金は、従量課金制度で、基本的に3つの要素(WebACL、ルールの数、アクセス数)で構成されています。
- WebACLの作成に月額5 USD(約750円)がかかります。
- ルールごとに月額1 USD(約150円)が発生します。
- リクエスト処理に対する課金がありap-northeast-1(東京リージョン)では100万リクエストあたり0.6 USD(約90円)です。
たとえば10個のルールを設定した場合、月額1,500円程度となります。また、月間1億リクエストの場合、約9,000円程度が加算されます。アクセス数や設定ルール数に応じて変動しますが、中小規模のサイトであれば月額数千円から1万円程度で利用可能です。これにより、コストパフォーマンスに優れたセキュリティ対策が実現できます。
WAFエイドはAWS WAFの運用を自動化します
AWS WAFを導入したものの、
・最適な設定ができているか分からない
・運用に手間がかかっている
というお悩みはありませんか?
WAFエイドは、セキュリティエンジニアでなくても当社の世界屈指の知見を活用したWAFの自動運用が可能になるサービスです。お悩みの方は是非ご相談ください。
監修:GMOサイバーセキュリティ byイエラエ 編集部

企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。