AWS WAF のよくある質問

AWS WAF とは何ですか?

AWS WAF はお客様が定義する条件に基づきウェブリクエストを許可、ブロック、または監視 (カウント) するルールを設定し、ウェブアプリケーションを攻撃から保護するのを支援する Web アプリケーションファイアウォールです。それらの条件には IP アドレス、HTTP ヘッダー、HTTP 本文、URI 文字列、SQL インジェクション、およびクロスサイトスクリプティングが含まれます。

AWS WAF はどのようにトラフィックをブロックまたは許可しますか?

基礎となるサービスがウェブサイトへのリクエストを受け取ると、ルールに対して検査するためにそれらのリクエストを AWS WAF へ転送します。リクエストがルールで定義された条件を満たすと、AWS WAF は基礎となるサービスに対し、定義したアクションに基づいてリクエストのブロックまたは許可のいずれかを指示します。

AWS WAF はウェブサイトやアプリケーションをどのように保護しますか?

AWS WAF は Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway、および AWS AppSync と緊密に統合されています。これらは AWS のお客様がウェブサイトおよびアプリケーション用のコンテンツを配信するために一般的に使用するサービスです。AWS WAF を Amazon CloudFront で使用する場合、ルールは世界中のエンドユーザーに近い場所にあるすべての AWS エッジロケーションで実行されます。これはパフォーマンスを犠牲にしてセキュリティを確保しているという意味ではありません。ブロックされたリクエストはお客様のウェブサーバーに到達する前に停止させられます。Application Load Balancer、Amazon API Gateway、AWS AppSync などのリージョンサービスで AWS WAF を使用する場合、ルールはリージョンで実行され、インターネット向けリソースと内部リソースを保護するために使用できます。

AWS WAF を AWS にホストされていないウェブサイトを保護するために使えますか?

はい、AWS WAF は AWS 外のカスタムオリジンをサポートする Amazon CloudFront と統合されています。

AWS WAF はどんな種類の攻撃を停止するのに役立ちますか?

AWS WAF は SQL インジェクションやクロスサイトスクリプティング (XSS) といった一般的な攻撃手法からウェブサイトを保護するのに役立ちます。さらに、特定のユーザーエージェント、特定の IP アドレス、また特定のリクエストヘッダーを含むトラフィックを、ブロックまたはレート制限するルールを作成することもできます。 例については、AWS WAF デベロッパーガイドをご覧ください。

AWS WAF ではどのボット軽減機能を利用できますか?

AWS WAF Bot Control によって、アプリケーションへの一般的で普及しているボットトラフィックの可視性とコントロールが得られます。ボットコントロールを使用すると、スクレーパー、スキャナー、クローラーなどの普及しているボットを簡単に監視、ブロック、レート制限したり、ステータスモニターや検索エンジンなどの一般的なボットを許可したりできます。ボットコントロールマネージドルールグループを、WAF の他のマネージドルールまたは独自のカスタム WAF ルールと一緒に使用して、アプリケーションを保護することができます。デベロッパーガイドの AWS WAF Bot Control のセクションを参照してください。 

セキュリティ、運用、コンプライアンスを監査するために、自分のアカウントで実行したすべての AWS WAF API 呼び出しの履歴を取得することはできますか?

はい。アカウントで行った AWS WAF API の呼び出しの履歴を取得するには、CloudTrail の AWS マネジメントコンソールで AWS CloudTrail を有効にします。詳細は、AWS CloudTrail のホームページまたは AWS WAF デベロッパーガイドを参照してください。

AWS WAF では IPv6 はサポートされますか?

はい。IPv6 のサポートにより、AWS WAF は IPv6 と IPv4 の両方のアドレスから受け取る HTTP/S リクエストを調査できます。

AWS WAF ルールの IPSet 一致条件で IPv6はサポートされますか?

はい。ドキュメントに従って、新規および既存の WebACL に対して新しい IPv6 一致条件を設定することができます。

該当する場合には、AWS WAF の抽出されたリクエストに IPv6 アドレスが表示されますか?

はい。該当する場合には、抽出されたリクエストに IPv6 アドレスが表示されます。

AWS WAF のすべての機能で IPv6 を使用できますか?

はい。IPv6 と IPv4 の両方のトラフィックに対して既存のすべての機能を使用できます。サービスのパフォーマンス、スケーラビリティ、可用性には識別可能な変化は生じません。

AWS WAF はどのようなサービスをサポートしますか?

AWS WAF は Amazon CloudFront、Application Load Balancer (ALB)、Amazon API Gateway、および AWS AppSync にデプロイできます。Amazon CloudFront の一部として、エッジロケーションでリソースやコンテンツを保護するコンテンツ配信ネットワーク (CDN) の一部を構成できます。Application Load Balancer の一部として、ALB の背後にあるオリジンウェブサーバーを保護することができます。Amazon API Gateway の一部として、REST API の保護に役立ちます。AWS AppSync の一部として、GraphQL API の安全と保護に役立ちます。

AWS WAF は、どの AWS リージョンで利用できますか?

AWS リージョンサービス表を参照してください。

AWS WAF は HIPAA に適合していますか?

はい、AWS では HIPAA 準拠プログラムを拡張し、AWS WAF を HIPAA 対応サービスとして追加しました。AWS と事業提携契約 (BAA) を締結している場合は、AWS WAF を使用して、一般的なウェブの脆弱性からウェブアプリケーションを保護できます。詳細については、HIPAA への準拠を参照してください。

AWS WAF の料金のしくみはどのようになっていますか? 初期費用は発生しますか?

AWS WAF では、お客様が作成するウェブアクセスコントロールリスト (ウェブ ACL) の数、ウェブ ACL ごとに追加するルールの数、および受信するウェブリクエストの数に基づいて課金されます。前払いの義務はありません。AWS WAF の料金は、Amazon CloudFront の料金、Application Load Balancer (ALB) の料金、Amazon API Gateway の料金、または AWS AppSync の料金に加えて課金されます。

AWS WAF のレートベースのルールとは何ですか?

レートベースのルールは、AWS WAF で設定できるルールの一種であり、5 分間隔で継続的に更新される後続のクライアント IP によって許可されるウェブリクエストの数を指定できます。IP アドレスが設定された制限を超えた場合、新しいリクエストはリクエストレートが設定されたしきい値を下回るまでブロックされます。

レートベースのルールと通常の AWS WAF ルールにはどのような違いがありますか?

レートベースのルールは通常のルールと似ていますが、レートベースのしきい値を設定する機能が追加されています。たとえば、レートベースのルールのしきい値が 2,000 に設定されている場合、このルールは直前の 5 分間に 2,000 件を超えるリクエストのあったすべての IP をブロックします。レートベースのルールには、通常のルールで使用できる他の AWS WAF 条件も含めることができます。

レートベースのルールの料金はどれくらいですか?

レートベースのルールの料金は通常の AWS WAF ルールと同じで、1 か月あたり WebACL ごとに 1 ルールあたり 1 USD です

レートベースのルールのユースケースを教えてください。

お客様がレートベースのルールを使用して対処できる一般的なユースケースを次に示します。

• IP アドレスが設定されたしきい値のレートを超過したときに、その IP アドレスをブロックしたりカウントしたりしたい (最後の 5 分あたりのウェブリクエストで設定可能)
• 設定されたしきい値のレートを超過したために現在ブロックされている IP アドレスを知りたい
• ブロックリストに追加された IP アドレスが、設定されたしきい値のレートに違反しなくなったときに自動的に削除されるようにしたい
• 特定の高トラフィックのソース IP 範囲を、レートベースのルールによるブロックを免除したい
  

既存の一致条件はレートベースのルールと互換性がありますか?

はい。レートベースのルールは、既存の AWS WAF 一致条件と互換性があります。これにより、一致条件をさらに絞り込んで、レートベースの軽減を特定の参照元 (またはユーザーエージェント) からのトラフィックやウェブサイトの特定の URL に限定したり、その他のカスタムの一致条件を追加できます。

レートベースのルールを使用してウェブレイヤーの DDoS 攻撃を軽減できますか?

はい。この新しいタイプのルールは、ウェブレイヤーの DDoS 攻撃、ブルートフォースのログイン試行、悪質なボットなどのユースケースから保護するように設計されています。

レートベースのルールはどのような可視化機能を備えていますか?

レートベースのルールは、通常の AWS WAF ルールで現在利用可能なすべての可視化機能をサポートしています。さらに、レートベースのルールの結果としてブロックされた IP アドレスも可視化できます。

レートベースのルールを使用してウェブページの特定の部分へのアクセスを制限できますか?

はい。例を示します。ウェブサイトのログインページへのリクエストを制限するとします。これを行うには、レートベースのルールに次の文字列一致条件を追加します。

• リクエストのフィルターする部分は「URI」です。
  
• 一致の種類は「で始まる」です。
  
• 一致する値は「/login」です (これはウェブリクエストの URI 部分のログインページを識別するものである必要があります)
  

さらに、レート制限を 5 分あたり 15,000 リクエストと指定します。このレートベースのルールをウェブ ACL に追加すると、サイトの残りの部分に影響を与えることなく、IP アドレスごとのログインページへのリクエストが制限されます。

特定の高トラフィックのソース IP 範囲に対して、レートベースのルールによるブロックを免除することはできますか?

はい。これを行うには、レートベースルール内でリクエストを許可する個別の IP 一致条件を設定してください。

GeoIP データベースはどの程度正確ですか?

IP アドレスと国ルックアップデータベースの対応精度はリージョンによって異なります。最近のテストによると、IP アドレスと国の対応の全体的精度は 99.8% です。 

AWS WAF 用マネージドルールとは?

マネージドルールは、OWASP、ボット、Common Vulnerabilities and Exposures (CVE) など、アプリケーションの脆弱性に類する一般的な脅威からアプリケーションを保護するための事前設定ルールを簡単にデプロイする方法です。AWS WAF の AWS マネージドルールは AWS によって管理されますが、AWS Marketplace のマネージドルールはサードパーティーのセキュリティセラーによって管理されます。

AWS Marketplace からマネージドルールをサブスクライブするにはどうすればよいですか?

AWS WAF コンソールから、または AWS Marketplace から、Marketplace セキュリティセラーが提供するマネージドルールをサブスクライブできます。サブスクライブ済みのすべてのマネージドルールを AWS WAF ウェブ ACL に追加できます。

既存の AWS WAF ルールとともにマネージドルールを使用できますか?

はい。カスタム AWS WAF ルールとともにマネージドルールを使用できます。独自のルールをすでに追加している既存の AWS WAF ウェブ ACL にマネージドルールを追加できます。

マネージドルールは、ルールの数に関する既存の AWS WAF の制限に追加されますか?

マネージドルール内のルールの数は、制限数にカウントされません。ただし、ウェブ ACL に追加された各マネージドルールは 1 つのルールとしてカウントされます。

マネージドルールを無効にするにはどうすればよいですか?

ウェブ ACL へのマネージドルールの追加やウェブ ACL からの削除は、いつでも可能です。マネージドルールをウェブ ACL から切り離すと、マネージドルールは無効になります。

マネージドルールをテストするにはどうすればよいですか?

AWS WAF ではマネージドルールの「カウント」アクションを設定できます。このアクションでは、マネージドルール内のルールと一致するウェブリクエストの数をカウントします。マネージドルールを有効にすると、カウントされたウェブリクエストの数からブロックされるウェブリクエストの数を推定することができます。

カスタムエラーページを設定することはできますか?

はい、リクエストがブロックされた時にカスタムエラーページが表示されるように CloudFront を設定できます。詳細は、CloudFront デベロッパーガイドをご覧ください。

ルールが AWS WAF に伝達されるまでどれ位かかりますか?

初期設定後、ルールの追加や変更が世界中に伝達されるまで通常 1 分程度かかります。

ルールが動作していることをどうすれば確認できますか?

AWS WAF にはお客様のウェブサイトが保護されていることを確認する 2 つの方法があります。CloudWatch では 1 分間のメトリクス、AWS WAF API またはマネジメントコンソールでは Sampled Web Requests がご利用いただけます。これらの方法により、どのリクエストがブロック、許可またはカウントされたか、またどのルールが特定のリクエストにマッチしたかを参照できます (例、このウェブリクエストは IP アドレスの条件によりブロックされた等)。詳細については、「AWS WAF デベロッパーガイド」を参照してください。

どのようにルールをテストできますか?

AWS WAF ではルールの「カウント」アクションを設定できます。これは、ルールの条件に合ったウェブリクエストの数をカウントします。ルールを有効にすると、どれだけのウェブリクエストがブロックまたは許可されるかをカウントされたウェブリクエストの数から推定できます。

リアルタイムメトリクスと Sampled Web Requests はどれほどの期間保存されますか?

リアルタイムメトリクスは Amazon CloudWatch に保存されます。Amazon CloudWatch ではイベントを失効させる期間をお客様が設定できます。Sampled Web Requests は最大 3 時間保存されます。

AWS WAF は HTTPS トラフィックを検査できますか?

はい。AWS WAF はアプリケーションを保護するのに役立ち、HTTP または HTTPS で転送されるウェブリクエストを検査できます。

Account Takeover Prevention とは?

Account Takeover Prevention (ATP) は、アプリケーションのログインページへのトラフィックを監視し、不正な認証情報を使用してユーザーアカウントへ不正にアクセスするのをを検出するマネージドルールグループです。ATP を使用することで、クレデンシャルスタッフィング攻撃、大量のログインを試みるブルートフォース攻撃、その他の異常なログイン行動を防止することができます。アプリケーションへのログインが試みられると、ATP は送信されたユーザー名とパスワードがウェブ上のどこかで漏洩していないかどうかをリアルタイムでチェックします。ATP は、不正行為者による異常なログイン試行をチェックし、経時的に行われるリクエストを関連付けることで、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃の検出と軽減を支援します。また、ATP はオプションで JavaScript と iOS/Android SDK を提供しており、アプリケーションに統合することで、アプリケーションにログインしようとするユーザーデバイスに関する追加のテレメトリを受け取り、ボットによる自動化ログイン試行に対するアプリケーションの保護を改善できます。

Account Takeover Prevention は、検査中の認証情報をどのように保護するのですか?

ユーザーデバイスとアプリケーション間のトラフィックは、Amazon CloudFront、Application Load Balancer、Amazon API Gateway、AWS AppSync など、アプリケーションに先駆けて使用する AWS のサービス用に設定した SSL/TLS プロトコルによって保護されます。ユーザーの認証情報が AWS WAF に到達すると、AWS WAF は認証情報を検査した後、直ちにハッシュ化して破棄し、認証情報が AWS のネットワークから出ないようにします。アプリケーションで使用する AWS のサービスと AWS WAF 間の通信は、送信時および静止時に暗号化されます。

Account Takeover Prevention は Bot Control と比べてどうですか?

Bot Control は、リソースを消費したり、メトリクスを歪めたり、ダウンタイムを引き起こしたり、その他の望ましくないアクティビティを実行したりする一般的で普及しているボットのトラフィックを可視化して制御できるようにします。Bot Control は、様々なヘッダーフィールドやリクエストのプロパティを既知のボットシグネチャーと照合し、スクレイパー、スキャナー、クローラーなどの自動化されたボットを検出および分類します。

Account Takeover Prevention (ATP) は、不正な認証情報を使用した不正行為者による異常なログイン試行を可視化および制御し、不正行為につながる可能性のある不正アクセスから保護できるようにします。ATP は、アプリケーションのログインページを保護するために使用されます。

Bot Control と ATP は、それぞれ単独で使用することも、一緒に使用することもできます。Bot Control の管理ルールグループと同様に、ATP のデフォルトのルールアクションを使用して一致するリクエストをブロックするか、AWS WAF の緩和機能を使用して ATP の動作をカスタマイズすることができます。

Account Takeover Prevention と AWS WAF を開始する方法を教えてください。

AWS WAF コンソールで、新しいウェブ ACL を作成するか、すでに AWS WAF を使用している場合は、既存のウェブ ACL を修正します。ウィザードを使って、どのリソースを保護するか、どのルールを追加するかなどの基本的な設定を行うことができます。ルールの追加を求められたら、[Add Managed Rules] (マネージドルールの追加) を選択し、マネージドルールの一覧から [Account Creation Fraud Prevention] (アカウント不正作成防止) をクリックします。ATP を設定するには、アプリケーションのログインページの URL を入力し、ユーザー名とパスワードのフォームフィールドが、リクエストの本文のどこにあるのかを指定します。

JavaScript SDK や Mobile SDK にはどのような利点があるのでしょうか?

JavaScript と Mobile SDK を利用すれば、アプリケーションにログインしようとしているユーザーのデバイスに関する追加テレメトリを受け取り、ボットによる自動化ログイン試行に対するアプリケーションの保護を改善できます。SDK のいずれかを使用する必要はありませんが、保護を強化するために使用することをお勧めします。

Account Takeover Prevention のデフォルトの動作をカスタマイズするにはどうすればよいですか?

ATP はユーザーの認証情報が漏洩したと判断した場合、一致を示すラベルを生成します。デフォルトでは、AWS WAF は悪意がある、または異常と判断されたログイン試行を自動的にブロックします (例えば、異常なレベルのログイン試行の失敗、不正行為の繰り返し、ボットからのログイン試行など)。ラベルに作用する AWS WAF ルールを書くことで、AWS WAF が一致に対してどのように応答するかを変更することができます。