AWS WAFとは？特長やメリット、注意点などを解説

AWS WAFは、AWSが提供するクラウド型のWAF（Web Application Firewall）です。Webアプリケーションの脆弱性を狙ったサイバー攻撃から、Webサイトを保護するためのセキュリティ対策の1つとして提供されています。WAFは、アプリケーションレベルで通信内容を解析し、特定の条件に一致する通信を検知・遮断します。これにより、WebアプリケーションやWebサイトを保護する仕組みです。

AWS WAFは、「Amazon CloudFront」や「Application Load Balancer（ALB）」「API Gateway」と連携して動作し、SQLインジェクション^*1・XSS^*2などのサイバー攻撃からWebアプリケーション、APIを保護できます。

*1 SQLインジェクションとは、Webアプリケーションの脆弱性を悪用し、ユーザの入力データを利用してSQLを生成して意図しない処理を実行させるサイバー攻撃をさします。
*2 XSSとは、脆弱性のあるWebサイトに悪意のあるスクリプトを埋め込み、ユーザの個人情報などを盗むサイバー攻撃を指します。

AWS WAFの特長として、主に下記の4つが挙げられます。それぞれの特長について詳しく見ていきます。

Webアプリケーションに対するサイバー攻撃を防ぐ

AWS WAFの特長の1つが、Webアプリケーションに対するサイバー攻撃を防ぐことです。
AWS WAFは、Webアプリケーションの脆弱性を悪用したサイバー攻撃を効率的に検出・防御し、Webアプリケーションを保護します。IPアドレスやHTTPヘッダー、通信リクエストの本文、カスタムURIなどにもとづくカスタムルールの作成もできるため、脆弱性を悪用した通信を適切に監視し、必要に応じてブロックできる点が特長です。

DDoS攻撃への対策もできる

AWS WAFは、DDoS（Distributed Denial of Service Attack）攻撃への対策にも役立ちます。
DDoS攻撃とは、複数のIPアドレスから大量の通信を送りつけることにより、サーバの遅延やサーバダウンを引き起こすサイバー攻撃のことです。一般ユーザのデバイスが攻撃者に乗っ取られてDDoS攻撃に悪用されているケースも多く、攻撃者の身元や発信源を特定しにくいため、対策が困難なケースが少なくありません。

発信元IPアドレスのリクエスト数をカウントするAWS WAFのレートベースルールを活用することで、一定時間内のアクセス回数が所定の値を超えた場合に、特定のIPアドレスからのアクセスを一時的に制限します。さらに、AWS WAFを「AWS Shield」と組み合わせることで、ネットワーク層（L3）とトランスポート層（L4）へのDDoS攻撃を検出緩和するため、幅広い対策を講じることができます。また、「AWS Shield Advanced」を利用することでAWSのDDoS対応チーム（DRT）のサポートを受けることも可能です。

ボットアクセスやコンテンツの不正利用に対応できる

ボットアクセスやコンテンツの不正利用に対応できることも、AWS WAFの特長です。
ボットアクセスは、自動化されたスクリプトやプログラムを用いるサイバー攻撃を指します。AWS WAF Bot Controlを利用することで、ボットトラフィックを管理し、悪意のあるボットからのアクセスをブロック、またはレート制限することができます。Amazon CloudFrontと連携し、ログ解析を通じて不正なボットアクセスを自動的に検出します。同時に、APIを使用して設置されたハニーポットを統合することにより、複合的な対策を講じることも可能です。

AWS WAFにはさまざまなメリットがあります。中でも注目すべきAWS WAFの主なメリットは、下記の4つです。それぞれ詳しく見ていきます。

手軽に利用できる

AWS WAFのメリットとして、導入が容易で手軽に利用できることが挙げられます。
AWS WAFは、特別なソフトウェアなどのインストールや複雑な設定は不要です。AWS内のAmazon CloudFrontやAmazon API Gatewayなどの設定で、AWS WAFを有効化するだけで利用可能なため、セキュリティ対策を強化するのに要する工数と時間を最小限に抑えることができます。

マネージドルールを活用できる

マネージドルールを活用できる点もAWS WAFのメリットといえます。
マネージドルールとは、あらかじめ定義されていて、管理が自動化されたAWS WAFのルールセットのことです。一般的に、WAFのルールを設定する際はセキュリティに精通したエンジニアが保護対象の状況に応じて、必要なルールを取捨選択して適用する必要があります。マネージドルールを活用することで、事前に必要なルールがまとまった状態で提供されるため、簡単にWAFを運用可能です。

「AWS Marketplace」では、ルールセットをテンプレートとして利用可能なマネージドルールが提供されています。これらのルールセットの中から自社が必要なものを選ぶだけで、安全な環境を構築可能です。また、既存のマネージドルールでは制御が難しい場合は、利用者による独自のルール設定もできます。こうしたルール設定の柔軟性も、AWS WAFならではのメリットといえます。

Webトラフィックを可視化できる

Webトラフィックを可視化できることもAWS WAFのメリットの1つです。
AWS WAFは、事前に設定したフィルタ条件に一致するリクエストを監視し、Webトラフィックをほぼリアルタイムで可視化でき、トラフィックを即座に解析し、潜在的なサイバー攻撃を含む問題を特定します。なお、Webトラフィックの可視化は、システムの安全な運用に寄与するだけでなく、改善に向けた手掛かりを得る意味においても有効です。ビジネスの効率化を図るには、現状ボトルネックとなっている要因を特定しなくてはなりません。AWS WAFの導入は、セキュリティの強化と併せてビジネスの効率的な推進にも役立ちます。

コストを抑制できる

コストの抑制に役立つこともAWS WAFのメリットといえます。
AWS WAFは、設定するルール数などに応じて利用料金が変動する従量課金制のため、実際に利用した分だけのコストしか発生しません。また、最低使用料金や初期費用も設けられていないことから、コストを抑える効果が期待できます。

従来のソフトウェア型や専用のハードウェアにWAFを組み込んだアプライアンス型のWAFでは、初期費用が高額にのぼるケースも少なくありませんでした。AWS WAFは、導入時の初期費用が不要であり、運用コストも利用範囲に応じて調整が可能です。よって、固定費をできるだけ抑えたい場合や、事業のフェーズに応じて柔軟に運用したい場合に適した料金体系となっています。

AWS WAFを導入することで多くのメリットを得られる一方で、注意点もいくつかあります。それぞれの注意点について見ていきます。

専門性が求められる

AWS WAFにおける注意点の1つは、専門性が求められることです。
例えば、AWS WAFのすべての機能を最大限に活用するには、運用ルールや監視基盤の構築、誤検知への対処方法などをチューニングしなくてはなりません。そのため、AWS WAFのメリットを最大限に引き出すには、上記のような運用全般に関する専門的な知識が求められます。社内にこうした知識を備えた人材がいない場合は、外部サービスの活用も視野に入れて検討する必要があるでしょう。

対応できないサイバー攻撃がある

AWS WAFには、対応できないサイバー攻撃があることも注意点です。
AWS WAFはWebアプリケーションの脆弱性を狙うサイバー攻撃には対応しますが、Webアプリケーションが稼働するOSなどの脆弱性を狙うサイバー攻撃には対応できません。具体的には、不正プログラムを含んだファイルを実行させて、ソフトウェアの脆弱性を突くサイバー攻撃などにも対応できない点に注意が必要です。

AWS WAFの利用料金は、作成するWeb ACLとルールの数、Web ACLによって処理されたWebリクエストの数によって決まります。アジアパシフィック（東京）リージョンにおける2024年11月時点の料金体系は下記のとおりです。

■AWS WAFの料金体系

前述したように、AWSの料金体系は従量課金制です。したがって、通信量が多い場合には高コストになる可能性があります。そのため、最新の料金体系を事前にAWS WAFの公式サイトで確認し、コストを試算することが重要です。