クラウドをベースにしたサービスの中でも、今大きなシェアを獲得しているのが Amazon が提供する「AWS」です。

AWSはセキュリティ面でも有力なサービスである「AWS WAF」をあわせて提供しているため、多くの事業で活用されています。AWS上での安全性を維持するためには、今後もAWS WAFが欠かせない存在となっていくでしょう。

しかし、AWS WAFは専門性の高いサービスであるため、その利点がわかりづらいと感じる人も多いかもしれません。

この記事では、初心者にもわかりやすくAWS WAFについて解説し、さらにAWS WAFのメリットやデメリットについても紹介していきます。

【目次】

  1. AWS WAFとは?初心者にもわかりやすく解説
    1. そもそもAWSとは?
    2. WAFとは?
    3. AWS WAFとは?
  2. AWS WAFのメリットとは
    1. Webアプリケーションへの攻撃対策が可能
    2. 導入が簡単
    3. 適切なコストによる運用
  3. 便利なAWS WAFにもデメリットがある
  4. AWS WAFの運用を楽にする:WAF自動運用サービス「WafCharm」
  5. まとめ
  1. AWS WAFとは?初心者にもわかりやすく解説

    AWS WAFは、AWSが提供しているセキュリティサービスの1つです。詳しく説明する前に、まずAWSとWAFについて解説します。

  2.  

    1. そもそもAWSとは?

      AWSとは「アマゾンウェブサービス(Amazon>AWSとは「アマゾンウェブサービス(Amazon Web Services)」の略称で、通販事業大手のAmazonが提供するクラウドコンピューティングサービスです。

      ストレージやデータベースから、分析、開発、ワークフロー管理などのための各種ツール、セキュリティ対策まで、AWSがさまざまなサービスを提供しているため、アプリケーション開発やゲーム開発、データ処理、ストレージ管理など幅広く利用されています。

      では、どうしてAWSが選ばれるのでしょうか。具体的には下記の5つのメリットを挙げられます。

      • 世界で通用する高いセキュリティ機能
      • 頻繁にバージョンアップを行い高機能と高い稼働率を維持
      • クラウドサーバのためすぐに構築可能
      • 初期費用無料で月額従量課金制により低コスト実現
      • 豊富なユーザーコミュニティやイベントでさまざまな情報が入手可能
    2.  

    3. WAFとは?

      WAFとは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略称で、Webサイトを含めたWebアプリケーションをサイバー攻撃から守るツールです。

      ファイアウォールやIPSなどほかのセキュリティツールでは防御できない、Webアプリケーション層への攻撃を検知・遮断できるのがWAFの特徴です。

      近年、WAFへの注目が高まっています。SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーションの脆弱性を突くサイバー攻撃が増えてきたというのが原因の1つです。

    4.  

    5. AWS WAFとは?

      AWS WAFとは、AWSが提供しているWAFです。ほかのWAFと同じく、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を突く攻撃からWebアプリケーションを守ることができます

      また、検知ルールのカスタマイズもできます。AWSが提供している基本的なルールセット(Core rule set)のうえ、Linux OSやWordPressなどのルールセットやAWS Marketplaceセラーが販売しているルールセットを導入することによって、より自社のシステムに合う検知ルールを選ぶことができます。

    6.  

  3. AWS WAFのメリットとは

    AWS WAFを活用することによって、さまざまなメリットがあります。ここではAWS WAFの主なメリットを3つ紹介します。

    1. Webアプリケーションへの攻撃対策が可能

      AWSから提供されている標準ルールやAPIを使ってあらゆる脅威に対抗できるので、Web
      アプリケーションを高いレベルで保護できます。

      先述の通り、AWSには基本的なルールセットのほか、用途に応じてルールセットを追加することもできます

      例えば、SQLインジェクションを含めたSQLデータベースに対する攻撃を防御するSQLデータベース用のルールセット(SQL database managed rule group)やWordPress固有の脆弱性を突く攻撃を防御するWordpressアプリケーションのルールセット(WordPress application managed rule group)です。

      自社のシステムに合ったルールセットを導入することによって、Webアプリケーションへの攻撃をAWS WAFで防御することができます。

    2.  

    3. 導入が簡単

      従来のアプライアンス型WAFと異なりAWS WAFの導入が簡単です。

      Amazon CloudFront、Application Load Balancer(ALB)やAmazon API GatewayでWAFを有効に設定するだけで、基本的に必要とされる導入準備が完了します。ソフトのインストールや別途ハードの準備は不要なため、スムーズに環境を整えることができます

      それにより、新たに設定やルールを追加した場合にも、わずかな時間で変更を適用させることができます。

      また、突然のメンテナンスに追われても、すぐに対応策をアップデートできることから、セキュリティ対策が強固な状態を維持できます。

    4.  

    5. 適切なコストによる運用

      従来のWAFは高価というイメージはありますが、AWS WAFの場合は自社のニーズに応じてコストコントロールができます。

      AWS WAFは従量課金制を採用していて、デプロイするルールの数やWebアプリケーションが実施するリクエスト数によって変わるため、ユーザーが実際に利用した分だけ料金が発生します。

      さらに、初期費用や月額の最低料金は設定されていないので、余計な費用がかかるといった心配はありません。

    6.  

  4. 便利なAWS WAFにもデメリットがある

    魅力的なセキュリティサービスAWS WAFですが、運用が大変で高い専門性が求められるという大きなデメリットがあります。運用における難しさは大きく3つあります。

    1つ目、ユーザーが脆弱性に対して詳しく把握する必要があります。AWS WAFは悪意ある攻撃を特定したり、個別に対処したりする能力に長けていますが、それを有効活用するには、脆弱性についてはもちろん、新しい脆弱性情報を積極的に収集しシグネチャの更新を頻繫に行わなければなりません。

    2つ目、ルールの運用設計や監視基盤とSIEM基盤の設計・構築を行う必要もありますが、どれも高度な専門性が求められます。

    3つ目、誤検知があった際の対応も一苦労です。検知ログ調査やルールの検証はもちろんですが、ルールセットの内容は基本的に非公開であり、シグネチャのカスタマイズができないため、Webアプリケーションの改修を行う必要な場合もあります。

    運用の大変さをカバーするにはAWS WAF自動運用サービス「WafCharm」を併せて利用することをおすすめします。

  5.  

  6. AWS WAFの運用を楽にする:WAF自動運用サービス「WafCharm」

    WAF自動運用サービス「WafCharm」は、煩雑なAWS WAFのルール運用を最適化させるWAF自動運用サービスです。

    WafCharmを利用することで、専任のセキュリティエンジニアを必要とすることなくAWS WAFの運用を円滑に行うことができます。初期設定はもちろん、WAFのシグネチャ更新もWafCharmが自動的に行うため、楽なAWS WAF運用を実現できます。

    さらに、24時間365日の日本語サポートがついているため、誤検知があってもWafCharmのサポートに相談すれば適切なルール更新してもらえるため、AWS WAFの運用における工数を大幅削減できます!

    マネージドルールとWafCharmの比較

    画像をクリックすると拡大できます。

  7.  

  8. まとめ

    AWSで構築したWebサイトやWebサービスを守るには、AWS WAFの利用がおすすめです。AWS WAFとは、AWSが提供しているWAFサービスで、Webアプリケーションの脆弱性を突く攻撃を防御できます。初期費用なしで使った分のみ課金される従量課金制のため、導入のハードルが低いと言えます。

    一方、AWS WAFの運用は大変だと感じる企業も少なくありません。特にリソースが少なかったり、専任のセキュリティエンジニアがいないベンチャーや中小企業では、シグネチャの更新や最新の脆弱性情報の収集、誤検知の対応などでAWS WAFの運用に手が回らないと感じる企業が多いです。

    その場合、WAF自動運用サービス「WafCharm」をAWS WAFと併用することを検討してみてはいかがでしょうか。

    WafCharmへの誘導

     
     

    ※もっと詳しく知りたい方は、下記のブログもご覧ください。
    1. AWS WAF 解説 【第1回 基本構造編】

    2. AWS WAF 解説 【第2回 Condition と Filter の関係性】

    3. AWS WAF 解説 【第3回 String and regex matching の仕組みと活用例】

    4. 【マネージドルールとは?】初心者でもわかる簡単用語解説