BLOG

2020/01/20

【AWS WAFとマネージドルールの違い】初心者にもわかりやすく解説

【目次】

1. はじめに
2. AWS WAFとは
  a) AWS WAFのメリット
  b) AWS WAFのデメリット
3. マネージドルールとは
  a) マネージドルールのメリット
  b) マネージドルールの選択
4. まとめ

 

  1. 1. はじめに
    AWS WAFとマネージドルールについて詳しく解説していきます。それぞれのメリットやAWS WAFをそのまま使う場合と、AWS WAFをマネージドルールを適用して使う場合について記載していきます。
     
  2. 2. AWS WAFとは
    まずはじめに、AWS WAFについて説明していきます。AWS WAFとは、クラウドサービス最大手のAmazon Web Servicesで提供されているWAF(Web Application Firewall)です。主に、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。たとえば、SQLインジェクションやクロスサイトスクリプティングといったセキュリティ攻撃をブロックします。

    1. a) AWS WAFのメリット
      AWS WAFを導入するとどのようなメリットがあるのか、詳しく見ていきます。おもに、AWS WAFは以下のようなメリットがあります。

      1. ・非常に安い
        AWS WAFは、ほかのWAFよりも圧倒的に安いのが特徴です。AWS WAF以外にも、クラウド型のWAFやオンプレミスとして設置するWAFが世の中には存在しますが、AWS WAFは初期費用がかからず、ランニングコストも最低月20ドル程度で導入することができます。AWS WAF以外のWAFでは、少なからず初期費用が掛かってしまいます。中には数百万円~数千万円程度の初期費用が掛かる製品や、ベンダーサポートのためにランニングコストも高額になるケースがあります。それに比べてAWS WAFは初期費用ゼロ、でランニングコストも月20ドル程度で利用できてしまうため、非常に安いです。
         
      2. ・素早く導入できる
        AWS WAFは数クリックで使用開始でき、導入するための時間は多くても10分程度です。クラウドWAFやオンプレミスのWAFを導入する場合は、契約を行ったりライセンス導入を行うといった作業が必要になり、導入のために数時間~数日かかるケースがあります。しかしながら、AWS WAFはそのような作業は不要で、すぐにWAFを導入することができます。
         
      3. ・いろいろな攻撃からWebアプリケーションを防御できる
        Webアプリケーションは様々なセキュリティ攻撃にさらされます。したがって、それらのセキュリティ攻撃からWebアプリケーションを守らなければいけません。もし守れなかった場合は顧客情報の漏洩やWebアプリケーションの改ざんといった被害を受けることになります。AWS WAFを使えば、メジャーなセキュリティ攻撃からWebアプリケーションを防御することができます。したがって、AWS WAFを導入することでセキュリティ攻撃により被害を受けてしまうリスクを大幅に減らすことができます。
        また、従来であればAWS WAFはセキュリティ攻撃に対する防御ルールを10個までしか定められませんでしたが、2019年11月後半に改善され、より多くのルールが適用できるようになっています。これにより、今後多様な攻撃からWebアプリケーションを防御することができるようになっています。

      以上が、AWS WAFのメリットです。これだけ見ると、AWS WAFは、安く、そして早く導入できるセキュリティ製品であることがわかります。
       

    2. b) AWS WAFのデメリット
      つぎに、AWS WAFについてのデメリットを見ていきます。AWS WAFのデメリットは以下のようなものがあります。

      1. ・防御できる対象がAWSのみ
        AWS WAFはAWSのサービスですので、基本的にAWS上で構築したWebアプリケーションしか防御することができません。オンプレミスや他のクラウドのWebアプリケーションを防御したければ、特殊な構築を行う必要がります。また、AWS WAFが紐づけられるAWSサービスは「API Gateway」「Elastic Load Balancer」「CloudFront」となります。
         
      2. ・運用が難しい
        AWS WAFは日々運用していくことが難しく、高い専門的な知識が必要なのが特徴です。たとえば、攻撃をブロックするためのルールは手動で変えていかなければいけないのですが、そのためにはセキュリティ攻撃を分析する能力や、最新の脆弱性の情報を入手してルールを考える知識が必要になってきます。また、変更したルールはきちんとテストをして、Webアプリケーションへの攻撃が防御できるかを検証しなければいけません。

      このように、AWS WAFにもデメリットが存在します。特に。運用の難しさはAWS WAFを使っていくうえで考えなければいけない重大なデメリットになっています。ただし、後述の「マネージドルール」を使えばAWS WAFの運用が一気に楽になります。マネージドルールについて詳しく書いてきます。

     

  3. 3. マネージドルールとは
    マネージドルールとは、コンディションやフィルターといった各種設定がAWS側によって管理されているルールセットのことで、導入することで特別なセキュリティシステムを使うことができるようになります。マネージドルールを使うことでユーザー側でルールを作成する必要がなくなり、安く早くWAFを利用できるようになります。マネージドルールについて詳しく見ていきます。

    1. a) マネージドルールのメリット
      マネージドルールのメリットは以下のようなものが挙げられます。

      1. ・セキュリティ専門の会社が管理している
        マネージドルールの作成は、セキュリティの専門家によって行われています。そのためネットワークに関するさまざまな脅威と脆弱性に対して、適切な対処に期待することが可能です。作成されるルールは多くのユーザーの間で問題となる要素が参考とされているので、多くの場面で役に立つことが多くなるでしょう。ミドルウェアに新しい脆弱性が発見されたり、新たなスタイルの脅威が現れたりしても、マネージドルールはAWSセラーによって自動的に更新され、対応できる形に整えられます。そのためユーザー側で都度対応する必要がなく、通常通りの業務に時間を使うことができるのです。
         
      2. ・AWS WAF同様、すぐに、安く導入できる
        マネージドルール導入はAWS WAFの機能として、数クリックで導入ができます。しかも、使った分だけ課金となり、初期費用は0円で導入できます。

       

    2. b) マネージドルールの選択
      マネージドルールを提供しているのは2社で、それ以外にAWS公式のマネージドルールがあります。実際の選択画面は以下のようになっています。
      ※AWS WAF Classic版用ならマネージドルールを提供している会社は現在6社あります。

      この3社のルールから、どれを選べばいいのでしょうか。AWSのマネージドルールは、細かく分かれていて、少々選択に専門性が必要です。たとえば、「Windows専用」「AWS提供のIPアドレス評価リスト」などです。セキュリティに関して専門的な知識があれば、AWSのマネージドルールでいいでしょう。一方で、セキュリティベンダーが提供しているマネージドルールはOWASP TOP 10という、Webアプリケーション防御の上で重要な10項目を防御するルールを提供しています。セキュリティの知識に関して少々不安があれば、ぜひとも使ってみてください。

     

  4. 4. まとめ
    マネージドルールを利用することでAWS WAFの運用を劇的に楽にすることができます。AWS WAFを利用する場合はマネージドルールの利用をぜひ検討してみてください。
     

※下記のブログもご覧ください。
【AWS WAFとクラウドWAFの違い】初心者にもわかりやすく解説

【WAFとWafCharmの違い】初心者にもわかりやすく解説