AWS WAF 完全ガイド|Web 攻撃から守る L7 ファイアウォール
AWS WAF は HTTP/HTTPS レベル(L7)の Web アプリケーションファイアウォール。SQL インジェクション・XSS・Bot 攻撃・地理的ブロック等を CloudFront / ALB / API Gateway / AppSync の前段で防御する。マネ...
Web アプリケーション層のファイアウォール。SQL インジェクション・XSS・DDoS 等の Web 攻撃から守る。
1. 概要(端的に)
AWS WAF は HTTP/HTTPS レベル(L7)の Web アプリケーションファイアウォール。SQL インジェクション・XSS・Bot 攻撃・地理的ブロック等を CloudFront / ALB / API Gateway / AppSync の前段で防御する。マネージドルールで AWS や AWS Marketplace 提供の脅威ルールが利用可能。
2. 何ができるか
- L7 攻撃防御:SQL インジェクション・XSS・コマンドインジェクション
- レート制限:1 IP からのリクエスト数制限
- 地理的ブロック:特定国からのアクセス遮断
- Bot 制御:自動化された攻撃の検知・遮断
- マネージドルール:AWS / Marketplace 提供
- カスタムルール:独自条件の構築
- ログ出力:Kinesis Firehose 経由で S3 / CloudWatch
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | Web ACL $5/月 + ルール $1/月 + リクエスト $0.60/100 万 |
| 対象 | CloudFront / ALB / API Gateway(REST)/ AppSync / Cognito |
| ルール数 | Web ACL あたり 1,500 まで |
| ルール種別 | Rate-based / Geo Match / IP Match / Regex / SQL Injection / XSS / Size 制限 等 |
| マネージドルール | AWS Managed Rules / Marketplace |
主要マネージドルール
- AWS-AWSManagedRulesCommonRuleSet:OWASP Top 10 系
- AWS-AWSManagedRulesKnownBadInputsRuleSet:既知の悪意あるパターン
- AWS-AWSManagedRulesSQLiRuleSet:SQL インジェクション
- AWS-AWSManagedRulesAmazonIpReputationList:脅威 IP リスト
- AWS-AWSManagedRulesBotControlRuleSet:Bot 検知
4. 仕組み
WAF は Web ACL という単位でルール集を構築し、CloudFront / ALB 等にアタッチする。リクエスト到達時にルール評価が行われる。
構成要素
- Web ACL:ルール集
- Rule:許可・拒否・カウントの判定
- Rule Group:複数ルールのまとまり
- Action:Allow / Block / Count / Captcha / Challenge
動作の流れ
- クライアントが ALB / CloudFront にアクセス
- Web ACL のルールが順に評価
- Allow / Block / Count いずれかのアクション実行
- 通過なら通常処理 / Block なら 403 返却
Rate-based Rule
1 IP から 5 分間に 1,000 リクエスト超過 → ブロック→ 簡易 DDoS 対策・Brute Force 攻撃対策
5. ユースケース
ユースケース 1:Web サイトのセキュリティ強化
SQL インジェクション・XSS を WAF で防御。
ユースケース 2:地理的ブロック
特定国からのアクセスを遮断(規制・営業対象外)。
ユースケース 3:Bot 対策
WAF Bot Control でクローラー・スクレイパーを区別。
ユースケース 4:レート制限
ログイン API への Brute Force 対策。
ユースケース 5:API 保護
API Gateway 前段で WAF 防御。
6. 関連用語
- Shield — DDoS 防御(補完関係)
- CloudFront / ALB / API-Gateway — WAF アタッチ対象
- Firewall-Manager — マルチアカウント統合管理
- Network-Firewall — VPC 内 L3-L7 FW
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 高 | Web 攻撃防御の概念 |
| SAA | 高 | セキュリティ設計、CloudFront / ALB との統合 |
| DVA | 中 | API Gateway 統合 |
| SOA | 中 | WAF 運用・チューニング |