AWS WAF完全ガイド:セキュリティ設定から料金までわかりやすく解説
AWS WAF(Web Application Firewall)は、ウェブアプリケーションを悪意のある攻撃から守るためのセキュリティサービスです。
インターネットからのアクセスとウェブアプリケーション間に立って、トラフィックを監視・制御する「門番」のような役割を果たします。
WAFでセキュリティ対策を実施する際の、二つの主要な方法
- マネージドルールグループの活用
- AWSが提供する包括的なセキュリティルールのパッケージ
- 主な特徴
- 専門知識不要で簡単導入
- 自動的なセキュリティアップデート
- 以下の保護機能を標準搭載:
- SQLインジェクション対策
- クロスサイトスクリプティング対策
- 不正ボット対策
- 独自ルールの作成
- 組織固有の要件に対応する柔軟な設定
- カスタマイズ可能な項目
- 特定URLパターンのアクセス制限
- HTTPヘッダーの詳細検査
- リクエスト内容のフィルタリング
- レートリミット設定
導入するには
WAF対応の主要AWSサービス:
| サービス名 | 保護レベル | 主な用途 |
|---|---|---|
| CloudFront | エッジロケーション | コンテンツ配信の保護 |
| Application Load Balancer | アプリケーション | 負荷分散システムの保護 |
| API Gateway | API | Web APIの保護 |
| AWS AppSync | GraphQL | APIの保護 |
| Amazon Cognito | 認証 | ユーザー認証の保護 |
Capacity上限
- WCU制限の変更点
- 従来の上限:1,500 WCU
- 新しい上限:5,000 WCU(2023年4月~)
- 自動適用:申請手続き不要
AWS WAFのセキュリティ設定における重要な制限が緩和されました。
ウェブACL(アクセスコントロールリスト)とは、Webトラフィックを制御するためのルールの集まりで、悪意のあるアクセスからウェブアプリケーションを保護する重要な機能です。
この制限緩和により、1つのウェブACLで設定できる保護機能の量(WCU:ウェブACLキャパシティユニット)が、従来の1,500から5,000まで自動的に拡張されました。
これにより、特別な申請手続きなしで、より多くのセキュリティ対策を実装できるようになりました。
ただし、1,500 WCUを超えて利用する場合は、500 WCU追加するごとに追加料金が発生しますのでご注意ください。
この機能強化は、CloudFrontやApplication Load Balancerなど、AWS WAFに対応している全てのAWSサービスでご利用いただけます。
WAFの料金
- 基本料金体系
- ウェブACL基本料金
- 月額:$5.00(時間単位で按分)
- ルール料金
- 各ルール:月額$1.00(時間単位で按分)
- ルールグループ:月額$1.00(時間単位で按分)
- リクエスト処理料金(バージニア北部リージョンの場合)
- 標準料金(1,500 WCUまで):$0.60/100万リクエスト
- 追加料金:$0.20/100万リクエスト/500 WCU
- 追加機能の料金
- CAPTCHA(バージニア北部リージョンの場合)
- 分析:$4.00/10,000試行
- チャレンジレスポンス:$0.40/100万回
- Bot Control(月額サブスクリプション:$10/WebACL)
- Common:$1.00/100万リクエスト
- Targeted:$10.00/100万リクエスト
まとめ
AWS WAFは、Webアプリケーションを様々な脅威から保護する強力なセキュリティサービスです。マネージドルールグループによる簡単な導入から、独自ルールによる高度なカスタマイズまで、柔軟な対策が可能です。
2023年4月のWCU制限拡張により、より多様な保護機能を実装できるようになりました。料金は基本料金、ルール料金、リクエスト処理料金の3要素で構成され、利用規模に応じた柔軟な課金体系となっています。
CloudFrontやALBなど、主要なAWSサービスとの連携により、多層的なセキュリティ対策を実現できます。必要に応じて機能を選択し、コストを最適化しながら効果的なセキュリティ体制を構築することが可能です。
参照元:AWS WAF 料金
