AWS WAFでIPアドレスを制限・許可する方法をわかりやすく解説

AWS WAFには特定のIPアドレスからのアクセスを制御する機能が備わっています。ただし、実際の設定手順や運用方法について詳しくわからない方も多いのではないでしょうか。

この記事では、AWS WAFにおけるIPアドレスの制限・許可の具体的な設定方法と、運用における課題、さらにその解決策についてわかりやすく解説します。

目次

• AWS WAFにおけるIPアドレス制限・許可の設定方法
  • 1．IPセットを作成
  • 2．IP一致ルールを作成
  • 3．ルールの優先順位を調整
• AWS WAFのIPリストの運用が必要
• WafCharmの導入でIPリストの運用が楽に！
  • WAFログを解析しIPリストを自動更新
  • WafCharmのIPレピュテーションで悪意のあるIPアドレスをブロックリスト（ブラックリスト）に自動追加
  • 手動によるIPアドレスの追加・削除も管理画面で設定可能！

AWS WAFにおけるIPアドレス制限・許可の設定方法

AWS WAFでIPアドレスの制限や許可を行うにはルールの設定が必要です。設定方法は基本ほかのルールと同じですが、IPアドレス制限・許可の場合「IPセット一致」というルールステートメントを設定する必要があります。

ここでは特定IPアドレスによるアクセスを制限するルールを例としてルールの設定方法を説明します。

1．IPセットを作成

IPアドレス制限・許可のルールを設定するために、まず下記の手順に沿ってIPセットを作成しなければなりません。

1. AWS WAFコンソールから“IP sets”を選択し“Create IP set”で新しいIPセットを作成します。
2. “IP set name”と“Description – optional”にIPセットの名前と説明をそれぞれ入力します。IPセットの名前は変更できないためご注意ください。
3. “Region”でIPセットが保存されるAWSリージョンを選択します。Amazon CloudFrontを保護する場合、“Region”を“Global (CloudFront)”に設定してください。
4. “IP version”には使用するIPバージョンを選択します。AWS WAFではIPv4とIPv6の2バージョンをサポートします。
5. “IP addresses”に制御したいIPアドレスをCIDR表記で入力します。1行に1つのIPアドレスを入力してください。
6. “Create IP set”を押しIPセットを作成します。

2．IP一致ルールを作成

次は設定したIPセットを利用してIP一致ルールを作成します。ここでは設定したIPセットからアクセスをブロックするルールの作成手順を説明します。

1. AWS WAFコンソールから“AWS WAF”、“Web ACL”の順で選択します。
2. “Region”でWeb ACLが作成されたリージョンを選択します。Amazon CloudFront用の場合は“Global”を選択してください。
3. “Rules”を選択し“Add rules and rule groups”のページで、“Add rules”、“Add my own rules and rule groups”の順でクリックしてください。
4. “Type”では“IP Set”を選択し、“Name”に該当ルールの名前を入力します。
5. “IP Set”で先ほどのステップ1で設定したIPセットを選択し、“IP address to use as the originating address”では“Source IP address”を選択します。
6. 該当IPセットのアクセスを制限したいため、“Action”では“Block”にします。一方、アクセスを許可したい場合“Allow”にしてください。また、誤検知を回避するためにまずは“Count”にすることもあります。
7. “Add rule”を押して設定したルールを追加します。

3．ルールの優先順位を調整

IPアドレス制限・許可ルールを設定したあとにルールの優先順位を調整しなければなりません。優先順位によって、ルールが処理される順番が変わります。

特にIPアドレスの許可ルール（いわゆるホワイトリスト）の場合、該当ルールをほかのルールより上位に設定しないと、意図した通りに許可ルールが機能しない可能性があります。

優先順位の設定は簡単です。IPアドレス制限・許可ルールを設定したあとに出てくる「Set rule priority」画面で該当ルールを選択し“Move up”か“Move down”で優先順位を調整することができます。

AWS WAFのIPリストの運用が必要

悪意のあるIPアドレスからアプリケーションやシステムを守るためには、IPリストとルールを設定するだけでは十分ではありません。IPリストを適切に運用し続ける必要があります。

具体的にはAWS WAFの検知ログを定期的に確認し、不正アクセスや怪しいアクセスのIPアドレスを特定しIPリストに順次追加していきます。

一見簡単そうな作業ですが、検知ログの量は膨大なうえ、不正アクセスかどうかの判断には高度なセキュリティの専門知識が求められます。多くの企業では人的リソースの制約があり、IPリストの運用作業が十分に実施できていないのが現状です。

WafCharmの導入でIPリストの運用が楽に！

AWS WAFの効果を最大限に発揮するためには多くの運用作業が必要です。IPリストをはじめ、AWS WAFのさまざまな機能を活用・運用したいならWAF自動運用サービス「WafCharm（ワフチャーム）」がおすすめです！

ここでは、WafCharmの導入によってIPアドレス制限リスト（ブロックリスト／ブラックリスト）の更新作業を自動化する機能について詳しく紹介します。

また、WafCharmについて詳しくまとめた資料はこちらからダウンロードできます。

WAFログを解析しIPリストを自動更新

WafCharmは検知したAWS WAFのログを解析し、数百種類のシグネチャと照合して再マッチングを行い、不正アクセスや怪しいアクセスの可能性が高いIPアドレスを自動的にブロックリスト（ブラックリスト）に追加します。

WafCharmを導入することで、AWS WAFの運用担当者がログを一つひとつ確認して手動でIP制限・許可リストに追加する作業が不要になります。

WafCharmのIPレピュテーションで悪意のあるIPアドレスをブロックリスト（ブラックリスト）に自動追加

WafCharmブロックリスト（ブラックリスト）の精度を向上するために、WafCharm独自で保有している検知データに加え、国内シェアNo.1※のクラウド型WAF「攻撃遮断くん」が保有する20,000サイト以上の検知データを活用しています。

多くのサイトで検知された不正アクセスのIPアドレスを自動的にブロックリスト（ブラックリスト）に追加することで、悪意のあるIPアドレスからアクセスをブロックすることができ、自社のアプリケーションを不正アクセスやサイバー攻撃から守ることができます。

※ デロイト トーマツ ミック経済研究所「外部脅威対策ソリューション市場の現状と将来展望　2023年度」

手動によるIPアドレスの追加・削除も管理画面で設定可能！

自動運用機能のほか、WafCharmの管理画面からIPアドレスの手動追加や削除ももちろん可能です。

WafCharmの管理画面から数クリックでIPアドレスの追加・削除ができるので、わざわざAWS WAFにログインし複雑な設定作業を実施する必要がありません。

また、IPアドレスのほかに、特定の国や地域からのアクセスの制限・許可に使われるGEOルールもWafCharmの管理画面から簡単に設定できます。

WafCharmにはブロックリスト（ブラックリスト）の自動運用機能のほかにさまざまな機能が搭載されています。詳しくは、こちらの資料をダウンロードしご確認ください。