【概要】

AWS WAF(Amazon Web Services Web Application Firewall)は 2015年 re:Invent にてリリースされました。その後、2017年 re:Invent での Managed Rule のリリースによりその利便性が高まったことから現在多くの企業で採用されています。本内容では AWS WAFとはどんなものかご紹介します。

【WAFとは】

WAF(Web Application Firewall)はWebアプリケーションの脆弱性を狙って、不正アクセスやWebサイトの改ざん、パスワードのリセット等を目的としたサイバー攻撃からWebアプリケーションを守る役割を担っています。

【AWSとは】

AWS(Amazon Web Application)はデータベースや仮想サーバーなどのIT・Web関連のリソースやサービスをまとめたAmazonのクラウドサービスです。90以上のサービスから必要なものだけを必要な分使用することができ、料金も使用した分だけ支払う従量課金制を主に採用しています。多くのセキュリティ標準の要件を満たしているため、セキュリティ性が高いことはもちろん、可用性や耐障害性などでも高い品質を提供し、現在では世界中の企業、政府などがAWSを取り入れています。

【AWS WAF利用のメリット・デメリット】

AWS WAF利用のメリット・デメリットを説明します。

    メリット

  • リソースと紐づけるだけで適用できる
    Cloud Front , ALB(Application Load Balancer)に紐づけて設定を有効にするだけで適用されます。
  • 充実したAPI
    AWS WAFには充実したAPIがあります。それらを用いることで様々な処理を簡単に行うことができます。
  • 初期費用不要、料金自体も安い
    ハードウェアの準備などの初期費用は必要なく、料金も非常に安く設定されいています。(以下、簡単に記載しています。)

    100万リクエスト = 0.6ドル(約66円)

    1 Rule = 1ドル(約110円)

    1 Web ACL = 5ドル(約550円)

  • デメリット

  • 運用の難しさ
    自由度が高くルールからユーザーが作成していくため、知識が不足していると運用が難しい面があります。

【Web ACLとは】

Web ACL(Access Controll List)とはWebサイトなどへのリクエストを制限するために許可する通信、拒否する通信をCondition(条件)を定義したRuleを用いて設定するリストです。この設定をしないでいるとWebアプリケーションの脆弱性を突いた攻撃を止めることができず、悪質なユーザーにWebサイトを乗っ取られてしまいます。
AWS WAFのWeb ACLやRuleの数にはデフォルトの制限があります。

AWSアカウント1つあたり

Web ACL 50個
Rule 100個
条件 100個

詳しい使い方などは別のタイミングでご紹介します。

サイバー攻撃は年々増加傾向にあります。政府や企業はもちろんのこと、個人のWebアプリケーションにおいても適切なWAFを設置・運用する必要があると考えます。AWS WAFは初期費用がかからず、必要に応じてリソースを増やしたりすることも簡単にできます。また、多少の制限はありますが、AWSサービスは1年間無料のトライアル期間がありますので是非お試しで始めることオススメします。