全般

Q: AWS Firewall Manager とは何ですか?

AWS Firewall Manager は、AWS Organization 内にあるアカウントとアプリケーション全体で一元的にファイアウォールルールを設定、管理できるようにするセキュリティ管理サービスです。新規アプリケーションが作成されると、Firewall Manager はセキュリティルールの共通セットを適用することで、新規アプリケーションとリソースを簡単にこれらに準拠させることができます。ファイアウォールルールを構築し、セキュリティポリシーを作成して、インフラストラクチャ全体にわたって一貫した階層的な方法でそれらを適用する単一のサービスが利用可能になりました。

Q: AWS Firewall Manager の主な利点は何ですか?

AWS Firewall Manager は AWS Organizations と統合されており、1 か所から複数の AWS アカウントとリソースにわたって、AWS WAF ルール、AWS Shield Advanced 保護、VPC のセキュリティグループ、AWS Network Firewall、および Amazon Route 53 Resolver DNS Firewall ルールを有効にできます。Firewall Manager は、作成した新しいリソースまたはアカウントをモニタリングして、それらが最初から必須のセキュリティポリシーのセットに準拠していることを確認します。ルールのグループ化や、ポリシーの構築、さらにそれらのポリシーをインフラストラクチャ全体に一元的に適用できます。例えば、アカウント全体にグローバルセキュリティポリシーを適用しつつ、1 つのアカウント内でアプリケーション固有のルールの作成を委任できます。セキュリティチームは組織への脅威に関する通知を受けることができるため、迅速に攻撃に対処し、これを緩和することができます。

Firewall Manager は AWS WAF 向けのマネージドルールとも統合しており、このため、設定済み WAF ルールをアプリケーションに容易にデプロイすることができます。

セキュリティ管理者は Firewall Manager を活用して、Amazon VPC の EC2 インスタンス、 Application Load Balancer、Elastic Network Interface (ENI) にセキュリティグループルールのベースラインセットを適用できます。同時に、VPC の既存のセキュリティグループを監査することも可能で、制限を超えたルールを確認し、それらを 1 か所から修正できます。

Firewall Manager を活用することで、組織内の VPC 全体に AWS Network Firewall のエンドポイントと関連するルールを一元的にデプロイし、ネットワークを出入りするトラフィックを制御することもできます。 同時に Firewall Manager を使用して、アカウントにある VPC を Route 53 Resolver DNS Firewall のルールに関連付けることができ、既知の悪意のあるドメインに対して行われた DNS クエリをブロックして、信頼できるドメインに対するクエリを許可できるようにします。

Q: AWS Firewall Manager が設定するものは何ですか?

AWS Firewall Manager を使用して、AWS WAF ルール、AWS Shield Advanced 保護、Amazon Virtual Private Cloud (VPC) セキュリティグループ、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall ルールを組織内のアカウントとリソース全体で一元的に設定できます。

Q: AWS Firewall Manager は VPC セキュリティグループまたはネットワーク ACL を設定しますか?

はい、AWS Firewall Manager は VPC セキュリティグループの設定をサポートしています。ただし、現在はネットワーク ACL をサポートしていません。

Q: AWS Firewall Manager ではどの AWS リソースに対してルールを設定できますか?

AWS Firewall Manager を使用すると、次のことが可能になります。 

  • Application Load Balancer、API Gateway、Amazon CloudFront ディストリビューションに AWS WAF ルールを一元的にロールアウトします。 
  • Application Load Balancer や ELB Classic Load Balancer、Elastic IP アドレス、CloudFront ディストリビューションに AWS Shield Advanced 保護を作成することもできます。 
  • 新しい Amazon Virtual Private Cloud (VPC) セキュリティグループを設定し、Amazon EC2、Application Load Balancer (ALB)、ENI リソースタイプの既存のセキュリティグループを監査できます。 
  • 組織内のアカウントと VPC 全体に AWS Network Firewall をデプロイすることもできます。
  • 最後に、AWS Firewall Manager により、組織全体にわたって VPC と Amazon Route 53 Resolver DNS Firewall ルールを関連付けることもできます。

Q: AWS Firewall Manager の料金はいくらですか?

AWS Firewall Manager の料金はこちらをご覧ください。

Q: AWS Firewall Manager はどのリージョンで利用できますか?

AWS Firewall Manager を現在利用できるリージョンについては、AWS リージョン表をご覧ください。

AWS Firewall Manager の有効化

Q: AWS Firewall Manager を使用するための前提条件は何ですか?

AWS Firewall Manager を使用するには、3 つの必須の前提条件と 1 つの任意の前提条件があります。

  • AWS Organizations – アカウントは AWS Organizations に属しており、全機能を有効にしておく必要があります。詳細は AWS Organizations ドキュメントをご覧ください。
  • AWS Firewall Manager 管理者アカウントの設定 – Firewall Manager は AWS organization の管理アカウントに関連付けられているか、適切な権限のあるメンバーアカウントに関連付けられている必要があります。Firewall Manager に関連付けるアカウントは Firewall Manager 管理者アカウントと呼ばれます。詳細についてはドキュメントガイドをご覧ください。
  • アカウントで AWS Config を有効化する – 貴社の各メンバーアカウントに対して AWS Config を有効化してください。AWS Config ドキュメントをご覧ください。
  • AWS Resource Access Manager を有効にする (オプション) – Firewall Manager がアカウント間および VPC で AWS Network Firewall を一元的に設定したり、Amazon Route 53 Resolver DNS Firewall ルールを関連付けたりできるようにするには、最初に AWS Resource Access Manager を使ってリソースの共有を有効にする必要があります。

Q: AWS Firewall Manager はどのように使うのですか?

  • まず、前述した前提条件を完了してください。
  • 次に、AWS WAF、AWS Shield Advanced、VPC セキュリティグループ、AWS Network Firewall、または Amazon Route 53 Resolver DNS Firewall のポリシータイプを作成します。
  • 3 番目に、ポリシーに応じて、一連のルールまたは保護を指定します。例えば、AWS WAF のポリシーの場合、アカウント間でデプロイするルールグループ(カスタムまたはマネージド)を指定します。同様に、VPC セキュリティグループポリシーの場合、アカウント内の各リソースにレプリケートするセキュリティグループを参照します。AWS Network Firewall の場合、アカウントの VPC 全体にデプロイするルールグループ(ステートフルおよびステートレス)を指定します。Amazon Route 53 Resolver DNS Firewall の場合、アカウントの VPC に関連付けたいルールセット (ルールグループ) を指定します。
  • 4 番目に、ポリシーをデプロイするアカウント、リソースタイプ、およびオプションでリソースタグを選択して、ポリシーのスコープを指定します。
  • 最後に、ポリシーを確認し、作成します。Firewall Manager は、アカウント全体のすべてのリソースにルールと保護を自動的に適用します。完了すると、Firewall Manager は、非準拠のアカウント/リソースと準拠しているアカウント/リソースを示すコンプライアンスダッシュボードも表示します。

Q: Firewall Manager ポリシーを作成しても、自動修正はしないようにすることはできますか?

はい。Firewall Manager ポリシーは次の 2 つのモードで設定できます。

  • 自動修正では、ポリシーのドリフトを自動的にモニタリングして非準拠のリソースにルールを適用するようにできます。
  • マニュアル修正では、各アカウントに新しいポリシーと関連するルール/保護を作成しますが、アカウントのリソースにはルールを適用しません。マニュアル修正でポリシーを作成した後は、各ローカルアカウントのマニュアルでのアクションを行うように選択するか、いつでもポリシーを変更して自動的に修正するようにできます。

Q: AWS Firewall Manager はいくつのアカウントを管理できますか?

各 Firewall Manager ポリシーは、最大 2,500 件(AWS Organizations のアカウント数のデフォルトの上限数)のアカウントを持つようにスコープできます。

Q: AWS Firewall Manager はいくつのリソースを管理できますか?

現時点では、Firewall Manager の管理するリソースの数に制限はありません。

Q: 複数リージョンにわたって保護ポリシーを作成できますか?

いいえ。AWS Firewall Manager 保護ポリシーはリージョンに固有のものです。各 Firewall Manager ポリシーはその特定の AWS リージョンで利用できるリソースのみを含むことができます。運営している各リージョンに対して新規ポリシーを作成してください。

Q: ポリシーのスコープからアカウントまたはリソースを除外できますか?

はい。アカウントを除外できます。ポリシーのスコープから除外すべきリソースを指定するようタグを使うこともできます。

ダッシュボードと可視性

Q: 特定のポリシーに対するコンプライアンス状況は、どのようにして確認することができますか?

Firewall Manager では、ポリシーのスコープにいくつのアカウントが含まれているか、これらの内いくつが準拠しているかを見ることで各ポリシーへの準拠状況を素早く知ることができます。さらに、Firewall Manager で設定された各ポリシーに対して、コンプライアンスダッシュボードがあります。中央のコンプライアンスダッシュボードでは、あるポリシーに対してどのアカウントが非準拠か、具体的にどのリソースが非準拠かを確認でき、また具体的なリソースがなぜ準拠していないかについての理由に関する情報も得られます。 AWS Security Hub の各アカウントの非準拠イベントを表示することもできます。

Q: AWS Firewall Manager は、リソースが非準拠の場合には通知を出しますか?

はい。新しい SNS 通知チャネルを作成して、非準拠リソースが発見されたときにリアルタイムで通知を受け取るようにできます。 同様に、Firewall Manager ポリシーの一部としてスコープされた各アカウントには、AWS Security Hub での非準拠イベントが通知されます。

Q: 自分の組織全体へのすべての脅威は、どのようにして確認できますか?

作成した各 Firewall Manager ポリシーに対して、ルールグループ内の各ルールに対する CloudWatch メトリクスを集計し、組織全体にわたっていくつのリクエストが許可されたか、ブロックされたかを示すことができます。こうすると、お客様の組織全体への脅威に対するアラートを中央でセットアップする場所を得ることができます。

AWS Firewall Manager 料金の詳細

料金ページを見る
構築を始めましょう。
AWS Firewall Manager のご利用開始にあたって
ご不明な点がおありですか?
お問い合わせ