![](https://d1.awsstatic.com/partner-network/partner-logos/Competency%20Program/competency_header-icon_Security.c277f9b3ea08819dc95da5bbb75d0bee0bd328b6.png)
WAF(Web アプリケーションファイアウォール) の特徴やメリットをはじめ、AWS WAF の活用例についてご紹介します。
WAF(Web アプリケーションファイアウォール)とは、Web アプリケーションの通信をフィルター、監視、ブロックするためのソフトウェアまたは、ハードウェアのセキュリティ対策です。一般のファイアウォールや IDS/IPS との違いは、アプリケーションレベルで通信の中身を解析し、特定の条件にマッチする通信を検知・遮断する点です。WAF の代表的な用途には、SQL インジェクション、クロスサイトスクリプティングなど、アプリケーションの脆弱性を悪用した攻撃の遮断やアプリケーション層の DDoS 対策、不正なボットによるアクセスの遮断などがあります。
AWS WAF は、Amazon CloudFront、Application Load Balancer (ALB) 上で動作する AWS の提供するクラウド型 WAF のサービスで、SQL インジェクションなどの一般的な攻撃を検知するルール、様々なマッチ条件によるフィルター、IP リスト、レートコントロールなどの機能で不正な通信の検知・遮断ができます。AWS WAF を使用することで、セキュリティ、可用性、パフォーマンスの脅威となる様々な脆弱性や危険から Web サイトやアプリケーションを守ることができます。
![](https://d1.awsstatic.com/Digital%20Marketing/House/Editorial/products/waf/ha_ed_waf.c8e002b3f4c14799f7851011e37d8e1041b5addd.png)
AWS WAF は、クラウドのサービスとして提供することで、従来のソフトウェア型や、ハードウェア アプライアンス型の WAF にはない、様々なメリット、特徴があります。
![固定費が変動費へ 固定費が変動費へ](https://d1.awsstatic.com/icons/benefit-icons/100x100_benefit_secure.8cdef61f59664f369cece7648315335182483893.png)
標準提供のルール、カスタムルールのマッチ条件、レートコントロール、API などを使って幅広い脅威から Web アプリケーションを守ることができます。設定ガイド、ホワイトペーパー、AWS CloudFormation の設定テンプレートなどの数多くのリソースも活用いただけます。
![スケールによる大きなコストメリット スケールによる大きなコストメリット](https://d1.awsstatic.com/video-thumbs/cortex/Cortex_Benefit_Content-Delivery.8bf647e0a6b15c699e41b130a7a9b7e0b5872bf7.png)
AWS WAF を Amazon CloudFront 上で展開することで、CDN(コンテンツ配信ネットワーク)の高い可用性と拡張性を兼ね備えた WAF のソリューションが実現可能になります。Amazon CloudFront は、Web のトラフィック量に合わせて自動的にスケールアウトするため、大規模なサイトの防御や DDoS 対策にも適しています。物理的なアプライアンスやソリューションにあるような、ハードウェア性能やネットワーク回線のキャパシティを気にする必要はありません。
![キャパシティ予測が不要に キャパシティ予測が不要に](https://d1.awsstatic.com/icons/benefit-icons/100x100_benefit_lowcost-affordable.12543377bb9da9cd5b7fdbfcf35680fcfb5e34c3.png)
AWS WAF はクラウドサービスのため、ハードウェア、ソフトウェア、インフラなどの初期投資は一切不要です。また利用料は、ルールの数とリクエスト数に基づく従量課金のため、WAF の導入と運用のコストを大幅に削減することができます。
![速度と俊敏性の向上 速度と俊敏性の向上](https://d1.awsstatic.com/icons/benefit-icons/100x100_benefit_genomics.19b9d68448ebd0fee3f0eab1e39435081260e085.png)
Amazon CloudFront または、Application Load Balancer 上で WAF を有効にするだけで利用可能なため、ソフトウェアのインストールやハードウェアの導入が不要になります。また、WAF の設定とルールの変更は、数分で世界中のエッジロケーションと AWS リージョンに素早く展開されるため、突然の攻撃にも素早く対応ができます。
![データセンターの運用と保守への投資が不要に データセンターの運用と保守への投資が不要に](https://d1.awsstatic.com/icons/benefit-icons/100x100_benefit_api2.7fa8cfb7eaf8c43c281d4995f7db8272941bccd0.png)
AWS WAF は、API を使った設定やルールの変更/管理が可能で、新しいリソースへ WAF を素早く展開することができます。また、ログの解析や背後にある IDS/IPS などと連携し、IP アドレスやヘッダーなどの不正なエンドポイントの検知条件を WAF のルールに API 経由でアップデートさせることで、運用のオートメーションを図ることができます。
![固定費が変動費へ 固定費が変動費へ](https://d1.awsstatic.com/security-center/KMS_Benefit_100x100_Encryption-for-All-Applications.4516786f59184c48a37efc334bd40ad6a0e949fb.png)
標準提供される SQL インジェクション、クロスサイトスクリプティングのルールやカスタムルールの作成を通して、脆弱性を悪用した通信から Web アプリケーションを守ることができます。また OWASP Top10 などの脅威から Web サイトを守るためのテンプレート、設定ガイド、ホワイトペーパーなどのリソースもご利用いただけます。
![スケールによる大きなコストメリット スケールによる大きなコストメリット](https://d1.awsstatic.com/security-center/KMS_Benefit_100x100_Secure.9cd9c19d89351d067ac4f46d7169ed063a0e1e01.png)
一定期間のリクエスト数の閾値に基づいたレートベースルールやマッチ条件などを利用して、アプリケーション層の DDoS 攻撃を検知・遮断できます。また AWS Shield Advanced と併用して利用することで AWS の DDoS 対策の専任チームからの緩和策設置の支援を受けることもできます。
![速度と俊敏性の向上 速度と俊敏性の向上](https://d1.awsstatic.com/icons/benefit-icons/100x100_benefit_monitoring-logging.b5ca5a892077d378c346a672ad42d77d98d5c880.png)
Amazon CloudFront のログ解析、API を使ったハニーポットなどの設置で不正なボットのアクセスを自動検知し、AWS WAF でアクセスを遮断することができます。また、カスタムルールのマッチ条件でリファラーなどのチェックを行い、ディープリンクなどで画像などのコンテンツの URL が無断掲載されたサイトからのアクセスも遮断できます。
![データセンターの運用と保守への投資が不要に データセンターの運用と保守への投資が不要に](https://d1.awsstatic.com/icons/benefit-icons/100x100_benefit_check-list.026c6c36859072b9f154e6fb0732e2e1731b76db.png)
Tor exit node list、Spamhaus、Proofpoint Emerging Threat IP list など、外部のIPレピューテーションリストを API 経由で AWS WAF の IP ブラックリストにインポートし、定期的な更新を自動化できます。