よくある質問

1.AWS WAF とは何ですか?
AWS WAF はお客様が定義する条件に基づきウェブリクエストを許可、ブロック、または監視 (カウント) するルールを設定し、ウェブアプリケーションを攻撃から保護するのを助ける Web アプリケーションファイアウォールです。それらの条件には IP アドレス、HTTP ヘッダー、HTTP 本文、URI 文字列、SQL インジェクション、およびクロスサイトスクリプトが含まれます。

2.AWS WAF はどのようにトラフィックをブロックまたは許可しますか?
基礎となるサービスがウェブサイトへのリクエストを受け取ると、ルールに対して検査するためにそれらのリクエストを AWS WAF へ転送します。リクエストがルールで定義された条件を満たすと、AWS WAF は基礎となるサービスに対し、定義したアクションに基づいてリクエストのブロックまたは許可のいずれかを指示します。

3.AWS WAF はウェブサイトやアプリケーションをどのように保護しますか?
AWS WAF は Amazon CloudFront および Application Load Balancer (ALB) と緊密に統合されています。これらは AWS のお客様がウェブサイトおよびアプリケーション用のコンテンツを配信するために一般的に使用するサービスです。AWS WAF を Amazon CloudFront で使用する場合、ルールは世界中のエンドユーザーに近い場所にあるすべての AWS エッジロケーションで実行されます。これはパフォーマンスを犠牲にしてセキュリティを確保しているという意味ではありません。ブロックされたリクエストはお客様のウェブサーバーに到達する前に停止させられます。AWS WAF を Application Load Balancer で使用する場合、ルールはリージョン内で実行され、インターネットに公開されているロードバランサーおよび内部ロードバランサーを保護するために使用できます。

4.AWS WAF を AWS にホストされていないウェブサイトを保護するために使えますか?
はい、AWS WAF は AWS 外のカスタムオリジンをサポートする Amazon CloudFront と統合されています。

5.AWS WAF はどんな種類の攻撃を停止するのに役立ちますか？
AWS WAF は SQL インジェクションやクロスサイトスクリプト (XSS) といった一般的な攻撃手法からウェブサイトを保護するのに役立ちます。それに加え、特定のユーザーエージェント、悪意のあるボット、コンテンツスクレイパーなどからの攻撃をブロックするルールを作成することもできます。例については、AWS WAF 開発者ガイドをご覧ください。

6.セキュリティ、運用、コンプライアンスを監査するために、自分のアカウントで実行したすべての AWS WAF API 呼び出しの履歴を取得することはできますか?
はい。アカウントで行った AWS WAF API の呼び出しの履歴を取得するには、CloudTrail の AWS マネジメントコンソールで AWS CloudTrail を有効にします。詳細は、AWS CloudTrail のホームページまたは AWS WAF 開発者ガイドを参照してください。

7.AWS WAF では IPv6 はサポートされますか?
はい。IPv6 のサポートにより、AWS WAF は IPv6 と IPv4 の両方のアドレスから受け取る HTTP/S リクエストを調査できます。

8.AWS WAF ルールの IPSet の一致状態で IPv6 はサポートされますか?
はい。ドキュメントに従って、新規および既存の WebACL に対して新しい IPv6 一致状態を設定できます。

9.  該当する場合には、AWS WAF の抽出されたリクエストで IPv6 アドレスが表示されますか?
はい。該当する場合には、抽出されたリクエストで IPv6 アドレスが表示されます。

10.AWS WAF のすべての機能で IPv6 を使用できますか?
はい。IPv6 と IPv4 の両方のトラフィックに対して既存のすべての機能を使用できます。サービスのパフォーマンス、スケーラビリティ、可用性には識別可能な変化は生じません。

11. AWS WAF ではどのようなサービスをサポートしますか?
AWS WAF は Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway にデプロイできます。Amazon CloudFront の一部として、エッジロケーションでリソースやコンテンツを保護するコンテンツ配信ネットワーク (CDN) の一部を構成できます。Application Load Balancer の一部として、ALB の背後にあるオリジンウェブサーバーを保護することができます。Amazon API Gateway の一部として、REST API の保護に役立ちます。

12. ALB 上の AWS WAF が利用可能なリージョンはどこですか?
AWS WAF on ALB は次の AWS リージョンでご利用いただけます。

13. AWS WAF は HIPAA に適合していますか?

はい、AWS では HIPAA 準拠プログラムを拡張し、AWS WAF を HIPAA 対応サービスとして追加しました。AWS と事業提携契約 (BAA) を締結している場合は、AWS WAF を使用して、一般的なウェブの脆弱性からウェブアプリケーションを保護できます。詳細については、HIPAA への準拠を参照してください。

14.AWS WAF の料金のしくみはどのようになっていますか? 初期費用は発生しますか?

AWS WAF では、お客様が作成するウェブアクセスコントロールリスト (ウェブ ACL) の数、ウェブ ACL ごとに追加するルールの数、および受信するウェブリクエストの数に基づいて課金されます。前払いの義務はありません。AWS WAF の料金は、Amazon CloudFront の料金、Application Load Balancer (ALB) の料金、Amazon API Gateway の料金に加えて課金されます。

15.AWS WAF のレートベースのルールとは何ですか?

レートベースのルールは、AWS WAF で設定できる新しいタイプのルールです。この機能を使用すると、継続的に更新される最後の 5 分間にクライアント IP が許可するウェブリクエストの数を指定できます。IP アドレスが設定された制限を超えた場合、新しいリクエストはリクエストレートが設定されたしきい値を下回るまでブロックされます。

16.レートベースのルールと通常の AWS WAF ルールにはどのような違いがありますか?

レートベースのルールは通常のルールと似ていますが、レートベースのしきい値を設定する機能が追加されています。たとえば、レートベースのルールのしきい値が 2,000 に設定されている場合、このルールは直前の 5 分間に 2,000 件を超えるリクエストのあったすべての IP をブロックします。レートベースのルールには、通常のルールで使用できる他の AWS WAF 条件も含めることができます。

17.レートベースのルールの料金はどれくらいですか?

レートベースのルールの料金は通常の AWS WAF ルールと同じで、1 か月あたり WebACL ごとに 1 ルールあたり 1 USD です

18.レートベースのルールのユースケースを教えてください。

お客様がレートベースのルールを使用して対処できる一般的なユースケースを次に示します。

• IP アドレスが設定されたしきい値のレートを超過したときに、その IP アドレスを拒否リストに登録したりカウントしたりしたい (最後の 5 分あたりのウェブリクエストで設定可能)
• 設定されたしきい値のレートを超過したために現在拒否リストに登録されている IP アドレスを知りたい
• 拒否リストに追加された IP アドレスが、設定されたしきい値のレートに違反しなくなったときに自動的に削除されるようにしたい
• 特定の高トラフィックのソース IP 範囲を、レートベースのルールによって拒否リストへの登録を免除したい

19.既存の一致条件はレートベースのルールと互換性がありますか?

はい。レートベースのルールは、既存の AWS WAF 一致条件と互換性があります。これにより、一致条件をさらに絞り込んで、レートベースの軽減を特定の参照元 (またはユーザーエージェント) からのトラフィックやウェブサイトの特定の URL に限定したり、その他のカスタムの一致条件を追加できます。

20.レートベースのルールを使用してウェブレイヤーの DDoS 攻撃を軽減できますか?

はい。この新しいタイプのルールは、ウェブレイヤーの DDoS 攻撃、ブルートフォースのログイン試行、不正なボットなどのユースケースから保護するように設計されています。

21.レートベースのルールはどのような表示機能を備えていますか?

レートベースのルールは、通常の AWS WAF ルールで現在利用可能なすべての表示機能をサポートしています。さらに、レートベースのルールの結果としてブロックされた IP アドレスも表示できます。

22.レートベースのルールを使用してウェブページの特定の部分へのアクセスを制限できますか?

はい。例を示します。ウェブサイトのログインページへのリクエストを制限するとします。これを行うには、レートベースのルールに次の文字列一致条件を追加します。

• リクエストのフィルターする部分は「URI」です。
• 一致の種類は「で始まる」です。
• 一致する値は「/login」です (これはウェブリクエストの URI 部分のログインページを識別するものである必要があります)

さらに、レート制限を 5 分あたり 15,000 リクエストと指定します。このレートベースのルールをウェブ ACL に追加すると、残りのサイトに影響を与えることなく、IP アドレスごとのログインページへのリクエストが制限されます。

23.特定の高トラフィックのソース IP 範囲を、レートベースのルールによって拒否リストへの登録を免除することはできますか?

はい。これは、レートベースのルールに IP 許可リスト条件を設定することで行うことができます。

24.GeoIP データベースはどの程度正確ですか?

IP アドレスと国ルックアップデータベースの対応精度はリージョンによって異なります。最近のテストによると、IP アドレスと国の対応の全体的精度は 99.8% です。

1.AWS WAF マネージドルールとは何ですか?

AWS WAF マネージドルールは、OWASP、ボット、Common Vulnerabilities and Exposures (CVE) など、アプリケーションの脆弱性に類する一般的な脅威からアプリケーションを保護するための事前設定ルールを簡単にデプロイする方法です。すべてのマネージドルールは、AWS Marketplace セキュリティ販売者によって自動的に更新されます。

2.マネージドルールに登録するにはどうすればよいですか?

AWS WAF コンソールから、または AWS Marketplace から、Marketplace セキュリティ販売者が提供するマネージドルールに登録できます。登録済みのすべてのマネージドルールを AWS WAF ウェブ ACL に追加できます。

3.既存の AWS WAF ルールとともにマネージドルールを使用できますか?

はい。カスタム AWS WAF ルールとともにマネージドルールを使用できます。独自のルールをすでに追加している既存の AWS WAF ウェブ ACL にマネージドルールを追加できます。

4.マネージドルールには複数の AWS WAF ルールが含まれますか?

はい。各マネージドルールに複数の AWS WAF ルールを含めることができます。ルールの数は、各セキュリティ販売者とその Marketplace 製品によって異なります。

5.マネージドルールは、ルールの数に関する既存の AWS WAF の制限に追加されますか?

マネージドルール内のルールの数は、AWS WAF の制限には影響しません。ただし、ウェブ ACL に追加された各マネージドルールは 1 つのルールとしてカウントされます。

6.マネージドルールを無効にするにはどうすればよいですか?

ウェブ ACL へのマネージドルールの追加やウェブ ACL からの削除は、いつでも可能です。マネージドルールをウェブ ACL から切り離すと、マネージドルールは無効になります。

7. マネージドルールをテストするにはどうすればよいですか?

AWS WAF ではマネージドルールの「カウント」アクションを設定できます。このアクションでは、マネージドルール内のルールと一致するウェブリクエストの数をカウントします。マネージドルールを有効にすると、カウントされたウェブリクエストの数からブロックされるウェブリクエストの数を推定できます。