AWS WAFとは?ほかの対策との違いやメリットなどを解説

AWS WAFとは?ほかの対策との違いやメリットなどを解説

公開日
2023年5月23日

AWS WAFは、アマゾンウェブサービス(以下、AWS)が提供する、Webアプリケーションの脆弱性を突く攻撃を防御するためのソリューションです。Webアプリケーションは、コストが抑えられ、多機能でインタラクティブなコミュニケーションが可能であることから、導入している企業が増えています。それに伴って、Webアプリケーションの脆弱性を標的とした攻撃も増えています。
脆弱性対策を怠り、攻撃を受けてしまうと、情報漏えいなどの被害が発生し、企業に対する信頼の喪失、利益の減少といった損失につながります。そのような事態にならないように、企業はセキュリティ対策に取り組まなくてはなりません。
この記事では、AWS WAFとファイアウォールやIPSとの違いやメリット、デメリットなどを解説します。

AWS WAFはWebアプリケーション用のファイアウォール

AWS WAFは、AWSが提供するWebアプリケーションに対するファイアウォールです。AWS WAFについての理解を深めるために、まずはWAF(Web Application Firewall)について解説します。

AWSはAmazonが提供するクラウドサービスの総称

AWSはAmazonが提供するクラウドサービスの総称です。具体的には、仮想サーバーのAmazon EC2やオンラインストレージのAmazon S3などのサービスがあります。拡張性の高いサービスを希望に応じて利用できる利便性や、コストの安さ、セキュリティレベルの高さから多くの企業に選ばれており、クラウドサービス市場では世界1位のシェアを維持しています。

WAFはWebアプリケーションをサイバー攻撃から守るシステム

WAFはWebアプリケーションやWebサイトをサイバー攻撃から守るためのセキュリティ対策のひとつです。Webアプリケーションの前段やネットワーク上に配置することで、通信を解析し、攻撃だと考えられる通信を遮断して、WebアプリケーションやWebサイトを守ります。SQLインジェクションやクロスサイトスクリプティングといった、Webアプリケーションの脆弱性を突いた攻撃に対応できます。

AWS WAFはAWSが提供するクラウド型のWAFサービス

AWS WAFは、AWSが提供しているAWS環境向けのWAFサービスです。Webアプリケーションに対する攻撃を検知し、セキュリティの侵害による情報漏えいやリソースの過剰消費によるサービス停止といった被害からWebアプリケーションを守ります。AWS WAFはクラウド型のWAFサービスで、ハードウェアやソフトウェアが不要なため、導入が容易な点も特徴のひとつです。
具体的には、Application Load Balancer、Amazon API Gateway、Amazon CloudFrontでWAFを有効化するだけで導入準備が完了します。有効化後は事前に定義されたルールに沿って、ウェブリクエストの検査とアクションを実行します。

AWS WAFとファイアウォールやIPSとの違い

AWS WAFとファイアウォール、IPSはいずれも、システムの外から中に入ってくる通信を監視し、危険な通信を検知・防御する機能を提供します。異なる点は監視・検知・防御の対象にできるプロトコルです。AWS WAFの場合、WebアプリケーションへのHTTP・HTTPS通信をターゲットにしますが、ファイアウォールやIPSの場合は、Webアプリケーション以外の多様なアプリケーションへの通信もターゲットにします。

AWS WAFのメリット

AWS環境でWebアプリケーションを稼働させる場合、AWS WAFを活用するとどのようなメリットが得られるのでしょうか。3つのメリットを紹介します。

マネージドルールを活用できる

AWS WAFはマネージドルールと呼ばれるルールセットを提供しています。マネージドルールとは、あらかじめ定義されていて、管理が自動化されたAWS WAFのルールセットです。
一般的に、WAFのルールを設定する際はセキュリティに精通したエンジニアが保護対象の状況に応じて必要なルールを取捨選択して適用する必要があります。
一方、マネージドルールは事前に必要なルール一式がまとまった状態で提供される形式です。そのため、マネージドルールを利用することで、セキュリティに精通したエンジニアがいない企業であっても簡単にWAFを運用することができます。AWS以外にも、複数のセキュリティベンダーがルールセットを提供しています。
もちろん、マネージドルールでは制御が難しい場合には、利用者が独自にルールを設定することも可能です。こうしたルール設定の柔軟性も、AWS WAFならではのメリットです。

手軽に利用できる

AWS WAFの利用にあたって、ソフトウェアをインストールしたり、別途ハードウェアの用意をしたりする必要はありません。Application Load BalancerやAmazon API Gateway、Amazon CloudFrontでWAFの設定を有効にすれば、基本的な導入準備は完了です。
ルールも、マネージドルールを活用すれば簡単に運用することができます。

コストを抑えられる

コストを抑えられる点もAWS WAFのメリットのひとつです。従来のソフトウェア型やアプライアンス型のWAFは初期費用が高額になる場合もありました。一方で、AWS WAFはルールの数やWebアプリケーションで実施されるリクエスト数によって料金が決まる従量課金制です。利用した分だけ料金が発生するため、コストを抑えて利用することができます。

AWS WAFのデメリット

サイバー攻撃の画像

AWS WAFはWebアプリケーションの脆弱性を狙う攻撃に対応しますが、Webアプリケーションが稼働するOSなどの脆弱性を狙う攻撃には対応できません。また、ネットワークを介さない脆弱性を狙う攻撃、具体的には不正プログラムを含んだファイルを実行させて、ソフトウェアの脆弱性を突く攻撃などにも対応できません。

AWS WAFと組み合わせることでセキュリティを強化するTrend Micro Cloud One – Workload Security

このような攻撃を防ぎ、AWS WAFのデメリットを補完するためには、保護対象にエージェントを導入して、さまざまな保護機能を提供できるセキュリティ製品の活用が有効です。AWS WAFと併用することでAWS環境のセキュリティを強化するために、トレンドマイクロではTrend Micro Cloud One – Workload Securityを提供しています。

Trend Micro Cloud One – Workload Securityは保護対象のAmazon EC2インスタンスにエージェントを導入することで、IPS機能による脆弱性対策はもちろん、不正プログラム対策やファイアウォール機能などさまざまなセキュリティ機能を、ひとつの製品で実現するサーバセキュリティ製品です。
AWS WAFでは対象とならないHTTP・HTTPS通信以外にも対応しており、さまざまなOSやミドルウェアを狙う攻撃への対応を支援します。Trend Micro Cloud One – Workload SecurityのIPS機能では、保護対象ごとに必要なルールを自動的に取捨選択する「推奨設定の検索」と呼ばれる、マネージドルールに相当する機能も提供しています。このため、AWS WAF同様、脆弱性対策の導入に対するハードルを低くし、運用負荷の軽減が可能です。

適切なソリューションで、Webアプリケーションを攻撃から保護しよう

Webアプリケーションの活用が広がるにつれ、その脆弱性を狙ったサイバー攻撃も増加しています。AWS WAFはもちろん、AWS WAFを補完する「Trend Micro Cloud One – Workload Security」を活用して、大切なWebアプリケーションを脅威から守っていきましょう。

ウェビナーによる解説

監修

福田 俊介

福田 俊介

トレンドマイクロ株式会社 ビジネスマーケティング本部
ストラテジックマーケティンググループ
グループ長 シニアマネージャー

IPA 情報処理安全確保支援士(第000893号)、AWS Certified Solutions Architect – Professional保有。
約10年間クラウドセキュリティ領域およびエンドポイントセキュリティ領域に従事、クラウドの最新アーキテクチャに対応するセキュリティ戦略を立案、市場啓蒙を実施。これまでのセミナー登壇は100回を超える。専門領域は「クラウド」「サーバ」「仮想化」「コンテナ」「脆弱性」「EDR」「XDR」。

関連記事

新着記事