AWS WAFとは
AWS WAFは、Amazonの提供するクラウドコンピューティングサービス上で、ウェブの脆弱性からウェブアプリケーションやAPIを保護するウェブアプリケーションファイヤーウォールです。一般的なファイヤーウォールなどと違い、事前に設定した条件に応じてトラフィックをアプリケーションレベルで制御できます。
AWS
AWSはAmazonウェブサービスの略称で、Amazonが運営するクラウドコンピューティングサービスです。アプリケーション開発やデータ処理、ストレージ管理などで利用するため、ストレージやデータベースなどのインフラと、インフラのデータを扱う各種ツール、IoTとの連携、WAFなどのセキュリティサービスが提供されています。
WAF
WAFは、AWS上のWebアプリケーションの脆弱性を狙った攻撃をブロックするためのセキュリティ環境です。通常のファイヤーウォールでは対応することのできないデータベースやクラウド上にあるアプリケーションを保護するために、アプリケーションレベルで通信を解析することで、セキュリティ攻撃を検知して、必要があれば遮断します。
AWS WAFの特徴
AWS WAFは、これまでのセキュリティサービスでは十分に防ぐことのできなかったWebアプリケーションへのセキュリティ攻撃を防ぎます。ここでは、AWS WAFサービスの特徴についてご紹介します。
ウェブトラフィックをフィルタリングするルールの作成
AWS WAFは、IPアドレスやHTTPヘッダと本文、カスタムURIを条件に含んでウェブトラフィックのフィルタリングルールを作成できます。WAFではウェブアプリケーションの脆弱性を保護するルールをカスタマイズでき、一般的なリスクに対するルールも簡単に作成できます。設定したルールを複数のウェブサイトやウェブアプリケーション環境で一元化することも可能です。
APIを使用した完全管理
AWS WAFで使えるのは標準で提供されるルールだけでなく、APIを活用して管理ルールを作成して完全な管理を実現できます。AWSから提供されている標準のルールのほかに、APIを活用して特定の通信の管理をすることができ、自動化も可能です。ルール化した管理はアップデートすることもでき、自社の運用に合わせた運用が可能です。
リアルタイムメトリクスの提供
AWS WAFでは、各種リクエストの詳細を、リアルタイムメトリクスを使用して可視化できます。通信時の各種リクエストの数値を監視することで、あらかじめ設定したしきい値を超えたり、特定の攻撃を検出した場合のアラートを簡単に設定でき、状況にあった新しいルールを設定できます。
料金設定の違いが明確
AWS WAFは、料金設定のルールが明確であり、初期費用は不要です。AWS WAFの課金ルールは、作成するWeb ACLと、Web ACLごとに作成する各ルールおよび処理されたWebリクエストの数に対して請求されます。AWS WAFで提供されたルールを使用するのに追加料金は不要ですが、AWS Marketplaceで出品されているマネージドグループを使用する場合は、個々の出品者が設定している料金が追加で請求されます。
AWS WAFのメリット6つ
AWS WAFは、導入側の手間や工数を抑え、高いセキュリティを提供しています。これを活用することで多くのメリットになります。Amazonがクラウドコンピューティングの運用で得たノウハウを反映したセキュリティ技術が取り込まれており、Webアプリケーション運用時に想定されるあらゆるウェブ攻撃に対応することができます。
AWS WAFのメリット1:ウェブ攻撃からの保護が迅速
AWS WAFで提供されるルールをシステムに反映させるためには1分も要しないため、問題発生時にシステムの環境全体のセキュリティをすぐに更新できます。WAFは多くのルールを運用しながらも、通信トラフィックへの影響を最小限に抑えるよう動作します。利用者側で作成したルールもフィルタリングに使用されるため、よりきめ細かく攻撃をブロックできます。
AWS WAFのメリット2:自動更新されるマネージドルールで時間の節約
AWS WAFから提供されているマネージドルールが、WebアプリケーションとAPIの保護を素早く開始して、脅威から保護します。マネージドルールは、すでに用意されている多くのルールタイプから選択し、利用者のニーズに合わることができます。マネージドルールは最新の状況に合わせて随時更新されるため、利用者側で対応する必要がなく、アプリケーションの構築により多く配分できます。
AWS WAFのメリット3:従量課金でコスト効率が良い
AWS WAFは、利用した分についてのみ従量で支払いが発生します。他のサービスのように最低料金が設定されている事や、特定のサービス利用について前払いを要求されることはありません。AWS WAFはセルフサービスで、利用の仕方を自由にカスタマイズできます。料金の計算は、デプロイするルールの数と、Webアプリケーションが受け取るリクエスト数によって、明確に決まります。
AWS WAFのメリット4:導入・メンテナンスが容易
AWS WAFは、簡単に導入でき、CDNソリューションの一部としてWebアプリケーションとAPIを保護できます。導入時に特殊なセットアップをする必要もなく、適用するだけですべてのサービスが使用できるようになります。ルールの他のアプリケーションでの再利用も、AWS Firewall Managerに統合することで一元的に管理され、簡単にできます。
AWS WAFのメリット5:ウェブトラフィックの可視性が高い
AWS WAFでは、Webトラフィックに対して、ほぼリアルタイムに近い状態で確認できます。リアルタイムの可視性を持っていることで、Webトラフィックで得られた結果から、新たなルールやアラートを追加することも簡単にできます。必要に応じてヘッダーデータを完全にキャプチャするように監視のレベルを上げることもできるため、セキュリティの強化のための分析や、監査用途でログをとることも可能です。
AWS WAFのメリット6:アプリの開発方法に統合されたセキュリティ
AWS WAFのすべての機能の設定は、AWS WAF APIあるいはAWSマネジメントコンソールを使用して行うため、すべてのエンジニアが同じ環境で開発でき、可搬性が確保されます。セキュリティ向上のためのアプリケーション固有のルールを設定する際に、コード記述からソフトウェアエンジニア、組織全体のセキュリティルールを監修するセキュリティ技術者まで、開発の各ポイントでWebセキュリティを実装できます。
AWS WAFの課金の仕組み
AWS WAFの課金は従量方式で、初期費用などは不要です。AWS WAFの料金決定は、作成したWebACL数、作成したルール数とAWS WAFへのリクエスト数によって決まります。オンプレミスでWAFを導入する場合では、初期費用が数千万円になりケースもあり、運用コストもかなり高いことを考えると、AWS WAFのコストは驚くほど安価であるといえます。
従量制の料金
AWS WAFは、利用者が作成するウェブアクセスコントロール数、ウェブACLごとに追加されたルールと受信するWebリクエストの数によって、従量制で決定されます。1ウェブアクセスコントロール当たり5ドル/月、1ルール当たり1ドル/月、100万リクエストごとに0.6ドルで課金されます(2020年4月現在)。AWS WAFについては、料金の計算ツールがAmazonから提供されており、これを使用することで新しく始めようとしているサービスの料金をシミュレートできます。
ウェブACL(ウェブアクセスコントロールリスト)数
AWS WAFのチャージに使われるのがウェブACL(ウェブアクセスコントロールリスト)数で、通信要件を定義するためのリストです。ウェブアクセスコントロールリストで定義することで、ウェブリクエストを精細にコントロールできるので、利用者が独自のコントロールを付加するために作成されます。
ウェブACLごとに追加するルール数
AWS WAFで作成したWeb ACLごとに作成したルール一つごとに課金されます。作成されたルールグループ内に作られたルール単位で請求が発生しますが、マネージドグループ内のルールは請求されません。ただしマネージドグループがウェブACLと関連付けられている場合は、マネージドグループに対してルールと同じ1ドルが請求されます。
受信するウェブリクエスト数
AWS WAFの課金単位であるウェブリクエスト数は、インターネットからAWS WAFを経由してWebアプリケーションに接続される数です。ddos攻撃を受けると、リクエストが大量に発行され、AWS WAFから高額の料金が請求されてしまうので、ddos攻撃をブロックするためにAWS Shieldを有効化しておくとよいでしょう。アクセス数が数億を超えるようなケースでは、AWS Shield Advancedの導入を検討してもよいでしょう。
AWS WAFの活用例
AWS WAFは、ウェブアプリケーションファイヤーウォールで、世界に通用する高いセキュリティ機能で、利用者が提供しようとするウェブアプリケーションサービスを保護します。AWS WAFの活用事例としては、クラウドサービスの提供時のセキュリティサポートや、クラウド上に置いたセンシティブなデータを高いセキュリティで保護したい場合、現在データ管理に費やしているコストを見直して、低コストのクラウドでオンプレミスと同等のセキュリティを実現したい場合などが挙げられます。
AWS WAFは多くの利点をもつファイアウォールサービス
AWS WAFは、Amazonが提供するクラウドサービスのAWSにおいて、WebアプリケーションやAPIのセキュリティを保障するウェブアプリケーションファイヤーウォールです。Web上に置かれるシステムのセキュリティを保持するために、アプリケーションレベルで通信解析や攻撃を検知して遮断するAWS WAFは、ほかとは比べ物にならない低コストでセキュリティ環境を実現します。AWS WAFの特徴をよく理解し、高いセキュリティを備えたクラウドサービスの導入を検討してみてはいかがでしょうか。
