TL

Cloud Service

AWS Firewall Manager

組織全体の WAF・Shield・Network Firewall・セキュリティグループのルールをポリシーで一元管理し、新規アカウントにも自動適用するマネージドサービス

中級SCS-C02セキュリティ
最終更新: 2026-06-14公式ドキュメント ↗
TL;DR要点だけ先に
  • 1.AWS Organizations 配下の複数アカウント・リージョンに横断してファイアウォール系のルールを一元管理する
  • 2.WAF、Shield Advanced、Network Firewall、Route 53 Resolver DNS Firewall、セキュリティグループをポリシーで統制できる
  • 3.新規アカウントや新規リソースにも自動でポリシーを適用し、設定逸脱を継続的に検出・是正する

AWS Firewall Manager は、AWS Organizations と連携し、組織内の複数アカウント・複数リージョンにまたがるファイアウォール系の保護を一元管理するためのマネージドサービスです。WAF や Shield Advanced、AWS Network Firewall、Route 53 Resolver DNS Firewall、セキュリティグループといった保護を、ポリシーとして定義し組織全体へ一貫して適用します。

解決する課題

組織の規模が大きくなり、アカウントやリージョンが増えるほど、ファイアウォール系の設定を個別に管理することは難しくなります。アカウントごとに WAF のルールがばらつき、あるアカウントだけ保護が抜け落ちる、新しく作られたアカウントに必要なルールが適用されていない、といった状況が起こりがちです。こうした設定逸脱は、攻撃面の拡大や監査での指摘につながります。

AWS Firewall Manager は、管理者が一度ポリシーを定義すれば、それを組織内の対象アカウント・リソースへ自動的に展開し、継続的に準拠状態を監視します。これにより、セキュリティチームが各アカウント所有者に設定を依頼して回る運用から脱却し、組織全体で一貫した防御を維持できます。新規に作成されたアカウントやリソースにも自動で適用されるため、保護の抜け漏れを構造的に防げます。

主要概念と用語

  • セキュリティポリシー: 保護の種類(WAF、Shield Advanced、Network Firewall、DNS Firewall、セキュリティグループなど)と、適用対象、適用範囲を定義した設定の単位。Firewall Manager の操作はこのポリシーを軸に行う。
  • 管理者アカウント(Firewall Manager 管理者): Firewall Manager のポリシーを作成・管理する権限を持つアカウント。Organizations の管理アカウントから委任して指定する。
  • 委任管理者: Organizations の管理アカウントとは別に、セキュリティ運用を任せるために指定する Firewall Manager の管理アカウント。管理アカウントへの権限集中を避ける目的で用いる。
  • 適用範囲(スコープ): ポリシーを適用するアカウントやリソースの対象を指定する設定。組織単位(OU)やアカウント、リソースタグなどで含める・除外するを定義できる。
  • 修復(リメディエーション): ポリシーに準拠していないリソースを検出した際に、自動でルールを適用したり是正したりする動作。自動修復の有効・無効をポリシーで選べる。
  • 準拠状態(コンプライアンス): 対象リソースがポリシーで定義した保護を満たしているかどうかの状態。Firewall Manager は逸脱を継続的に検出して可視化する。
  • 共有ルールグループ: WAF や Network Firewall のルールをポリシー全体で共有・再利用する仕組み。組織標準のルールを一括で配布できる。
  • 前提サービス: Firewall Manager を使うには AWS Organizations が有効であること、そして設定状態の評価のために AWS Config が有効であることが前提となる。

仕様・制限・クォータ

Firewall Manager は AWS Organizations の上に成り立つサービスで、利用には組織が「すべての機能(all features)」モードで有効化されている必要があります。さらに、対象アカウント・リージョンで AWS Config が有効になっていることが、リソースの準拠状態を評価するための前提です。

管理は Firewall Manager 管理者アカウントから行います。組織の管理アカウントから Firewall Manager の管理者を委任し、そのアカウントでポリシーを作成します。ポリシーは保護の種類ごとに作成し、適用範囲は OU、アカウント、リソースタグで柔軟に絞り込めます。

作成できるポリシー数や 1 アカウントあたりの上限、対応するリージョンの範囲といった具体的な数値は変更され得ます。導入前に公式ドキュメントとサービスのクォータページで最新の値を確認してください。なお、ポリシーで管理できるのはファイアウォール系の保護であり、サービスごとに対応するリソース種別やリージョンの可否が異なる点に注意します。

内部の仕組み

Firewall Manager は、組織の構成情報を Organizations から取得し、AWS Config が報告するリソースの設定状態を評価して動作します。管理者がポリシーを作成すると、Firewall Manager は適用範囲に該当するアカウント・リソースを特定し、定義された保護が適用されているかを継続的にチェックします。

ポリシーに該当するが保護が適用されていないリソースが見つかった場合、ポリシーの設定に応じて自動修復を行います。たとえば WAF ポリシーであれば、対象の CloudFront ディストリビューションや Application Load Balancer に対して指定の Web ACL を関連付けます。セキュリティグループポリシーであれば、共通ルールの配布や、許可されていないルールの検出を行います。

新しいアカウントが組織に追加されたり、新しいリソースが作成されたりすると、それが適用範囲に含まれる限り、Firewall Manager は自動的にポリシーを適用します。これにより、時間の経過とともに発生する設定逸脱を継続的に抑え込む仕組みになっています。実際のルールの評価や緩和そのものは、WAF や Network Firewall など各保護サービス側で実行され、Firewall Manager はそれらを束ねて統制する上位のレイヤーとして機能します。

設計パターン / ベストプラクティス

Firewall Manager は単独で防御を行うのではなく、各保護サービスを組織横断で統制する役割を担います。導入時はガバナンス設計と組み合わせて考えます。

  • Organizations の OU 構成を踏まえて適用範囲を設計する。本番環境とサンドボックスで異なるポリシーを当てるなど、OU やタグを使って意図した範囲だけに適用する。
  • まずは監査モード(検出のみ、自動修復なし)で展開し、影響範囲と逸脱状況を把握してから自動修復を有効にする。いきなり全アカへ強制適用すると既存ワークロードに影響が出る恐れがある。
  • WAF はマネージドルールグループを組織標準として共有ルールグループ化し、各アカウントで再利用させることでルールのばらつきを防ぐ。
  • 管理アカウントへ権限を集中させないため、Firewall Manager の管理は委任管理者アカウントで行う。
  • セキュリティグループポリシーで「監査ルール」を定義し、危険な公開設定(広範な送信元からの管理ポート開放など)を組織全体で検出・是正する。
まず監査、次に強制

新しいポリシーは最初から自動修復を有効にせず、検出のみで影響を確認してから強制適用に切り替えるのが安全です。既存リソースへの予期せぬルール変更による障害を避けられます。

運用・監視

Firewall Manager の中心的な運用は、準拠状態の継続的な監視です。各ポリシーについて、適用範囲内のどのアカウント・リソースが準拠し、どれが逸脱しているかをダッシュボードで確認できます。逸脱が見つかったアカウントは、自動修復を有効にしていれば是正され、無効であれば是正対象として可視化されます。

通知の整備も重要です。Firewall Manager は準拠状態の変化や検出結果を通知に連携でき、これを担当チームへ届くよう構成します。新しいアカウントの追加時や、ポリシー違反の発生時に気づける運用フローを整えておきます。

また、Firewall Manager は AWS Security Hub と連携して検出結果を集約でき、組織全体のセキュリティ状況を一元的に把握する運用にも組み込めます。各保護サービス側のログ(WAF のログや Network Firewall のログなど)と併せて分析することで、ポリシーの妥当性を継続的に見直せます。

前提サービスの有効化を維持する

AWS Config が無効になっているアカウント・リージョンでは準拠状態を正しく評価できません。Organizations と Config が組織全体で有効に保たれていることを、運用の前提として継続的に確認してください。

コスト

Firewall Manager 自体は、管理するセキュリティポリシーの数に応じた月額の課金が発生する形が一般的です。これに加えて、ポリシーを通じて作成・適用される各保護サービス(WAF の Web ACL やルール、Network Firewall、Shield Advanced、DNS Firewall など)の利用料や、評価の前提となる AWS Config の利用料が別途かかります。

つまり Firewall Manager の費用は「統制レイヤー自体の費用」と「実際に展開される保護サービスの費用」の合算で考える必要があります。具体的な料金体系は変更され得るため、最新の料金ページで確認してください。費用対効果は、組織規模が大きく手作業での統制コストが高いほど高まります。

セキュリティ

Firewall Manager の操作は IAM で権限管理されます。ポリシーの作成・変更は組織のセキュリティに大きく影響するため、最小権限の原則に従い、管理者権限を限られた担当者に絞ります。管理アカウントへの権限集中を避けるために、委任管理者アカウントを用いる構成が推奨されます。

Firewall Manager はあくまで各保護サービスを統制する上位レイヤーであり、実際の防御能力は配下の WAF や Network Firewall などのルール品質に依存します。組織標準のルールが適切に設計・維持されていることが、全体のセキュリティ品質を左右します。

ポリシー変更の影響は組織全体に及ぶ

Firewall Manager のポリシーは多数のアカウント・リソースへ一括で作用します。誤った設定や過度に厳しいルールを自動修復付きで展開すると、組織全体の正規トラフィックを遮断する恐れがあります。変更は監査モードで影響を検証してから適用してください。

Well-Architected の観点

セキュリティの柱では、Firewall Manager はガバナンスと一貫性の確保に寄与します。組織全体で防御を標準化し、新規アカウントへの自動適用と逸脱の継続検出によって、設定のばらつきや保護漏れという構造的なリスクを抑えます。これは「セキュリティを組織全体に行き渡らせる」「設定の逸脱を自動的に検出・是正する」という観点に直結します。

運用上の優秀性の観点では、各アカウント所有者に依頼して回る手作業を排し、ポリシーによる宣言的な統制へ移行することで、運用の再現性と監査性を高めます。複数アカウント・複数リージョンを抱える組織ほど、この自動化の価値が大きくなります。

試験で問われるポイント

頻出
  • Firewall Manager は AWS Organizations を前提に、複数アカウント・複数リージョンを横断してファイアウォール系の保護を一元管理するサービスであること。
  • 管理対象が WAF、Shield Advanced、Network Firewall、Route 53 Resolver DNS Firewall、セキュリティグループであること。
  • 利用には Organizations が「すべての機能」モードで有効であること、AWS Config が有効であることが前提となること。
  • 新規アカウントや新規リソースにもポリシーが自動適用され、逸脱を継続検出・自動修復できること。
  • 管理アカウントへの権限集中を避けるため、委任管理者アカウントでポリシーを管理する設計が望ましいこと。
  • 単独アカウントの WAF 設定とは異なり、組織横断の統制レイヤーである点(WAF や Shield 自体が防御を実行し、Firewall Manager はそれを束ねる)。

関連サービス・比較

AWS WAF は単一の Web ACL とルールでリクエストを検査・遮断するサービスです。Firewall Manager はその WAF を含む保護を組織全体に展開・統制する上位のレイヤーであり、両者は競合ではなく階層が異なります。

観点AWS Firewall ManagerAWS WAF
主な役割組織横断でファイアウォール系の保護を一元管理Web リクエストを検査して許可・ブロック
管理単位セキュリティポリシー(組織・OU・タグ単位)Web ACL とルール(リソース単位)
前提Organizations と AWS Config が必要単独アカウントで利用可能
対象範囲複数アカウント・複数リージョンを横断関連付けたリソース個別
関係WAF を含む保護を配布・統制する上位レイヤーFirewall Manager が配布する保護の一つ

ハンズオン / CLI例

以下は、Firewall Manager の管理者を委任し、ポリシーの一覧と準拠状態を確認する例です。事前に Organizations が有効で、Config が有効化されている必要があります。

# Firewall Manager の管理者アカウントを委任する(組織の管理アカウントで実行)
aws fms associate-admin-account \
  --admin-account 123456789012

# 委任済みの管理者アカウントを確認する
aws fms get-admin-account

# 作成済みのセキュリティポリシーを一覧表示する
aws fms list-policies

# 特定ポリシーの準拠状態をアカウントごとに確認する
aws fms list-compliance-status \
  --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

AWS Service

AWS Firewall Managerを実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

セキュリティ・ID

比較で見る軸

クラウド: AWS / カテゴリ: セキュリティ・ID / 難易度: intermediate

導入後に効く点

WAF、Shield Advanced、Network Firewall、Route 53 Resolver DNS Firewall、セキュリティグループをポリシーで統制できる

先に潰すリスク

サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。

数字・仕様の読み方
クラウド
AWS
カテゴリ
セキュリティ・ID
難易度
intermediate
関連資格
SCS-C02
設計柱
security

判断チェックリスト

  • 自社の用途が「セキュリティ・ID / security」に近いか確認する。
  • 強みである「AWS Organizations 配下の複数アカウント・リージョンに横断してファイアウォール系のルールを一元管理する」が本当に評価軸になるか確認する。
  • 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

セキュリティ・IDsecuritySCS-C02
参考: 公式ドキュメント