全般

AWS Firewall Manager とは何ですか?

AWS Firewall Manager は、AWS Organization 内にあるアカウントとアプリケーション全体で一元的にファイアウォールルールを設定、管理できるようにするセキュリティ管理サービスです。新規アプリケーションが作成されると、Firewall Manager はセキュリティルールの共通セットを適用することで、新規アプリケーションとリソースを簡単にこれらに準拠させることができます。ファイアウォールルールを構築し、セキュリティポリシーを作成して、インフラストラクチャ全体にわたって一貫した階層的な方法でそれらを適用する単一のサービスが利用可能になりました。

AWS Firewall Manager の主な利点は何ですか?

AWS Firewall Manager は AWS Organizations と統合されており、1 か所から複数の AWS アカウントとリソースにわたって、AWS WAF ルール、AWS Shield Advanced 保護、VPC のセキュリティグループ、および AWS Network Firewall を有効にできます。Firewall Manager は、作成した新しいリソースまたはアカウントをモニタリングして、それらが最初から必須のセキュリティポリシーのセットに準拠していることを確認します。ルールのグループ化や、ポリシーの構築、さらにそれらのポリシーをインフラストラクチャ全体に一元的に適用できます。例えば、アカウント全体にグローバルセキュリティポリシーを適用しつつ、1 つのアカウント内でアプリケーション固有のルールの作成を委任できます。セキュリティチームは組織への脅威に関する通知を受けることができるため、迅速に攻撃に対処し、これを緩和することができます。

Firewall Manager は AWS WAF 向けのマネージドルールとも統合しており、このため、設定済み WAF ルールをアプリケーションに容易にデプロイすることができます。

セキュリティ管理者は Firewall Manager を活用して、Amazon VPC の EC2 インスタンス、 Application Load Balancer、Elastic Network Interface (ENI) にセキュリティグループルールのベースラインセットを適用できます。同時に、VPC の既存のセキュリティグループを監査することも可能で、制限を超えたルールを確認し、それらを 1 か所から修正できます。

さらに、Firewall Manager を活用することで、組織内の VPC 全体に AWS Network Firewall のルールを一元的にデプロイし、ネットワークを出入りするトラフィックを制御することもできます。

AWS Firewall Manager が設定するものは何ですか?

AWS Firewall Manager を使用して、AWS WAF ルール、AWS Shield Advanced 保護、Amazon Virtual Private Cloud (VPC) セキュリティグループ、AWS Network Firewall を組織内のアカウントとリソース全体で一元的に設定できます。

AWS Firewall Manager は VPC セキュリティグループまたはネットワーク ACL を設定しますか?

はい、AWS Firewall Manager は VPC セキュリティグループの設定をサポートしています。ただし、現在はネットワーク ACL をサポートしていません。

AWS Firewall Manager ではどの AWS リソースに対してルールを設定できますか?

AWS Firewall Manager を使用して、Application Load Balancer、API Gateway、Amazon CloudFront ディストリビューションに AWS WAF ルールを一元的にロールアウトできます。Application Load Balancer や ELB Classic Load Balancer、Elastic IP アドレス、CloudFront ディストリビューションに AWS Shield Advanced 保護を作成することもできます。新しい Amazon Virtual Private Cloud (VPC) セキュリティグループを設定し、Amazon EC2、Application Load Balancer (ALB)、ENI リソースタイプの既存のセキュリティグループを監査することもできます。さらには、AWS Firewall Manager を使って、組織内のアカウントと VPC 全体に AWS Network Firewall を一元的にデプロイすることもできます。

AWS Firewall Manager の料金はいくらですか?

AWS Firewall Manager の料金はこちらをご覧ください。

AWS Firewall Manager はどのリージョンで利用できますか?

AWS Firewall Manager を現在利用できるリージョンについては、AWS リージョン表をご覧ください。

AWS Firewall Manager の有効化

AWS Firewall Manager を使用するための前提条件は何ですか?

AWS Firewall Manager を使用するには、3 つの必須の前提条件と 1 つの任意の前提条件があります。

  • AWS Organizations – アカウントは AWS Organizations に属しており、全機能を有効にしておく必要があります。詳細は AWS Organizations ドキュメントをご覧ください。
  • AWS Firewall Manager 管理者アカウントの設定 – Firewall Manager は AWS organization のマスターアカウントに関連付けられているか、適切な権限のあるメンバーアカウントに関連付けられている必要があります。Firewall Manager に関連付けるアカウントは Firewall Manager 管理者アカウントと呼ばれます。詳細についてはドキュメントガイドをご覧ください。
  • アカウントで AWS Config を有効化する – 貴社の各メンバーアカウントに対して AWS Config を有効化してください。AWS Config ドキュメントをご覧ください。
  • AWS Resource Access Manager を有効にする(オプション) – Firewall Manager がアカウント間で AWS Network Firewall を一元的に設定できるようにするには、最初に AWS Resource Access Manager を使ってリソースの共有を有効にする必要があります。

AWS Firewall Manager はどのように使うのですか?

  • まず、上記の前提条件を完了してください。
  • 次に、AWS WAF、AWS Shield Advanced、VPC セキュリティグループ、または AWS Network Firewall のポリシータイプを作成します。
  • 3 番目に、ポリシーに応じて、一連のルールまたは保護を指定します。例えば、AWS WAF のポリシーの場合、アカウント間でデプロイするルールグループ(カスタムまたはマネージド)を指定します。同様に、VPC セキュリティグループポリシーの場合、アカウント内の各リソースにレプリケートするセキュリティグループを参照します。AWS Network Firewall の場合、アカウントの VPC 全体にデプロイするルールグループ(ステートフルおよびステートレス)を指定します。
  • 4 番目に、ポリシーをデプロイするアカウント、リソースタイプ、およびオプションでリソースタグを選択して、ポリシーのスコープを指定します。
  • 最後に、ポリシーを確認し、作成します。Firewall Manager は、アカウント全体のすべてのリソースにルールと保護を自動的に適用します。完了すると、Firewall Manager は、非準拠のアカウント/リソースと準拠しているアカウント/リソースを示すコンプライアンスダッシュボードも表示します。

Firewall Manager ポリシーを作成しても、自動的には修正しないでおくことはできますか?

はい。Firewall Manager ポリシーは次の 2 つのモードで設定できます。

  • 自動修正では、ポリシーのドリフトを自動的にモニタリングして非準拠のリソースにルールを適用するようにできます。
  • マニュアル修正では、各アカウントに新しいポリシーと関連するルール/保護を作成しますが、アカウントのリソースにはルールを適用しません。マニュアル修正でポリシーを作成後は、各ローカルアカウントのマニュアルでのアクションを行うように選択するか、いつでもポリシーを変更して自動的に修正するようにできます。

AWS Firewall Manager は複数のアカウントを管理できますか?

各 Firewall Manager ポリシーは、最大 2,500 件(この数は、AWS Organizations のアカウント数のデフォルトの制限)のアカウントを持つようにスコープできます。

AWS Firewall Manager はいくつのリソースを管理できますか?

現時点では、Firewall Manager の管理するリソースの数には制限はありません。

複数リージョンにわたって保護ポリシーを作成できますか?

いいえ。AWS Firewall Manager 保護ポリシーはリージョンに固有のものです。各 Firewall Manager ポリシーはその特定の AWS リージョンで利用できるリソースのみを含むことができます。運営されている各リージョンに対して新規ポリシーを作成してください。

ポリシーのスコープからアカウントまたはリソースを除外できますか?

はい。アカウントを除外できます。ポリシーのスコープから除外すべきリソースを指定するようタグを使うこともできます。

ダッシュボードと可視性

特定のポリシーに対するコンプライアンス状況はどのようにして見ることができますか?

Firewall Manager では、ポリシーのスコープにいくつのアカウントが含まれているか、これらの内いくつが準拠しているかを見ることで各ポリシーへの準拠状況を素早く知ることができます。さらに、Firewall Manager で設定された各ポリシーに対して、コンプライアンスダッシュボードがあります。中央のコンプライアンスダッシュボードでは、あるポリシーに対してどのアカウントが非準拠か、具体的にどのリソースが非準拠かを確認でき、また具体的なリソースがなぜ準拠していないかについての理由に関する情報も得られます。 AWS Security Hub の各アカウントの非準拠イベントを表示することもできます。

AWS Firewall Manager は、リソースが非準拠の場合には通知を出しますか?

はい。新しい SNS 通知チャネルを作成して、非準拠リソースが発見されたときにリアルタイムで通知を受け取るようにできます。 同様に、Firewall Manager ポリシーの一部としてスコープされた各アカウントは、AWS Security Hub での非準拠イベントが通知されます。

自分の組織全体の全脅威をどのようにして確認できますか?

作成した各 Firewall Manager ポリシーに対して、ルールグループ内の各ルールに対する CloudWatch メトリクスを集計し、組織全体にわたっていくつのリクエストが許可されたか、ブロックされたかを示すことができます。こうすると、お客様の組織全体への脅威に対するアラートを中央でセットアップする場所を得ることができます。

AWS Firewall Manager 料金の詳細

料金ページを見る
構築を始めましょう。
AWS Firewall Manager のご利用開始にあたって
ご不明な点がおありですか?
お問い合わせ