AWS WAFってなに？ざっくり理解する入門ガイド

Webアプリケーションを運用していると、避けて通れないのがセキュリティの話。SQLインジェクション、クロスサイトスクリプティング（XSS）、DDoS攻撃…聞くだけで胃が痛くなりますよね。そんなときに頼りになるのが AWS WAF（Web Application Firewall）です。

そもそもWAFとは？

WAFは、Webアプリケーションの前に立って「怪しいリクエスト」をブロックしてくれるファイアウォールです。通常のファイアウォールがネットワーク層で動くのに対して、WAFはHTTP/HTTPSレベルで通信の中身をチェックできるのが大きな違いです。

AWS WAFの特徴

AWS WAFはその名の通りAWSが提供するマネージドWAFサービスで、いくつかの嬉しいポイントがあります。

まず、AWSサービスとの統合がシームレスなこと。CloudFront、ALB（Application Load Balancer）、API Gatewayなどと簡単に連携できます。既にAWSでインフラを組んでいるなら、導入のハードルはかなり低いです。

次に、ルールの柔軟性。IPアドレスベースのフィルタリングはもちろん、リクエストのヘッダーやボディの中身を正規表現でマッチングしたり、リクエストレートで制限をかけたりと、かなり細かくカスタマイズできます。

そしてマネージドルールグループの存在。AWSやサードパーティが用意してくれている「よくある攻撃パターンをまとめてブロックするルールセット」を、ポチッと有効にするだけで使えます。自分でゼロからルールを書かなくていいのは助かります。

料金体系

AWS WAFの料金は従量課金制で、大きく3つの要素で決まります。Web ACL（ルールのまとまり）の数、ルールの数、そしてリクエスト数です。小規模なサイトなら月額数ドル程度から始められるので、コスト面でも導入しやすいサービスと言えます。

導入時のポイント

実際に導入するときに意識したいのは、最初はカウントモードで始めること。いきなりブロックモードにすると、正常なリクエストまで誤ってブロックしてしまうリスクがあります。まずはログを見ながらルールをチューニングして、問題なさそうだと確認できてからブロックに切り替えるのが定石です。

また、AWS WAFだけで全てのセキュリティ対策が完結するわけではありません。アプリケーション側のバリデーションやAWS Shieldとの併用など、多層防御の一つとして位置づけるのが大切です。

まとめ

AWS WAFは、AWSユーザーにとって導入しやすく、柔軟性も高い優秀なセキュリティサービスです。「セキュリティ対策、何から手をつけよう…」と悩んでいるなら、まずはマネージドルールを有効にするところから始めてみてはいかがでしょうか。