どんな製品か
AWS WAF は、Amazon Web Services(AWS)が提供するマネージド型の Web Application Firewall です。Web アプリケーションへの HTTP リクエストを検査し、SQL インジェクションやクロスサイトスクリプティング(XSS)といったアプリ層を狙う攻撃を入口で遮断します。
専用の機器やサーバを自前で運用する必要がなく、AWS のサービスとして設定・管理できる点が特徴です。
主な特徴
- AWS サービスとの統合: CloudFront(CDN)、Application Load Balancer(ALB)、API Gateway などの前段に紐づけて利用する。
- ルールベースの制御: IP アドレス、地理情報、リクエストの中身などを条件に、許可・遮断・カウントといった動作を定義できる。
- マネージドルール: AWS やパートナーが用意した既製のルール群を取り込み、代表的な攻撃への対策を素早く始められる。
- 可観測性: リクエストのログやメトリクスを AWS の仕組みと連携して確認できる。
位置づけ / 他との違い
「AWS 上で動く Web アプリを、AWS の枠組みのまま守りたい」場面で選ばれます。独立した CDN ベンダーの WAF と異なり、AWS の対象リソースに直接結びつけて使う設計が前提です。インフラを AWS で構築している組織にとっては、構成や権限管理を AWS に揃えやすいのが他との違いになります。
チューニングは運用前提
マネージドルールを入れただけでは、正規の通信を止めてしまう(誤検知)こともあります。最初はカウントモードで挙動を観察し、実トラフィックを見ながら遮断へ切り替える運用が現実的です。
Security Vendor
AWS WAFを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
公開 Web / API の保護
比較で見る軸
対応カテゴリ: 1領域 / 主な領域: Web アプリ防御
導入後に効く点
Web アプリ層の攻撃を遮断
先に潰すリスク
ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。
数字・仕様の読み方
- 対応カテゴリ
- 1領域
- 主な領域
- Web アプリ防御
判断チェックリスト
- 自社の用途が「公開 Web / API の保護 / OWASP Top 10 対策」に近いか確認する。
- 強みである「Web アプリ層の攻撃を遮断」が本当に評価軸になるか確認する。
- 注意点の「ベンダー名だけで選ばず、守る対象、運用体制、既存環境との連携、検知後の対応手順まで確認する。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。
次に確認する観点
公開 Web / API の保護OWASP Top 10 対策DDoS・ボット対策(製品次第)WAF(Web アプリケーションファイアウォール)