こんにちは、hidesanです。
最近のセキュリティ対策の流行りといえば、WAF(Web Application Firewall)ですが、そもそもWAFってどういうものかご存知ですか?
本記事では、一般的なWAFの基礎知識から、AWS WAFについての基礎的な部分を解説したいと思います。
本記事をお読みいただくことで
✅ WAFというのが何か?
✅ AWS WAFとは何か?
✅ AWS WAFを利用する上でどのような注意点があるのか?
と、このような知識が身につきます。
ぜひ最後までお読みいただきたいと思います。
WAFとは?
まずはじめに、一般的なWAFについて解説していきたいと思います。
WAFとは、上記でもお話したように、Web Application Firewallの略となっておりまして、Webアプリケーションの脆弱性を悪用した攻撃から守ってくれるものです。
例えば、SQLインジェクションやXSS(クロスサイトスクリプト)といった攻撃についてはWAFを利用することによって防御することが可能です。
WAFは通常、Webサーバの前段に設置して通信を解析・検査し、問題がなければWebサーバへ送る、問題があれば通信を遮断してWebサーバーへは送らないという流れになります。
AWS WAFとは?
AWS WAFとは、AWSが提供するWAFサービスです。
基本的な機能としては上記でお話した一般的なWAFと変わりありませんが、大きく違うのは、以下の3点です。
- 様々なベンダーから出されているマネージドルールから、利用したいルールを選べる
- AWSのサービス(ALB、APIGateway、CloudFront)との連携が容易にできる
- 一般的なWAFに比べてかなり安い
次のセクションで1つずつ詳しくご説明します。
一般的なWAFとAWS WAFの違い
(1) 様々なベンダーから出されているマネージドルールから選べる
上記にてWAFはWebサーバの前段に設置し、通信の内容を解析・検査し、問題の有無を判断するとお話ししました。
そしてその「判断」に使われるのが「ルール」です。
AWS WAFのルールには以下の2種類に別れます。
- 自分で作成・管理するルール
- 他者が作成し、別途使用料を払って利用させてもらうルール
マネージドルールとは、上記の(2)にあたるものです。
マネージドルールを提供しているベンダーは、「Cyber Security Cloud Inc.」や「Imperva」、「Fortinet」など世界で有名どころのセキュリティ系のベンダーです。
マネージドルールを利用する際の注意点としては、ルールの中身がブラックボックスになっていて、利用者側からはどのようなロジックになっているのかわからないということです。
そしてルールの更新も行われますが、いつ更新がされるのか?といったことも伏せられているようです。
そのため、ルール更新によって今までブロックされなかったリクエストも急にブロックされるようになった、ということが発生します。
詳しくは後述しますが、悪意のあるリクエストがブロックされる分にはウェルカムだと思いますが、正常なリクエストがブロックされる誤検知にも注意が必要です。
(2) AWSのサービスとの連携が容易にできる
これは言わずもがな、と思います。
AWSが提供しているWAFですので、一般的なWAFと比べると他のAWSサービスとの連携は容易です。
実際にどのように連携するのかについては、また別の機会にご紹介したいと思います。
(3) 一般的なWAFに比べてかなり安い
詳細についてはAWSの公式ページをご確認いただきたいのですが、マネージドルールへ支払う料金を含めてもAWS WAFは月々数千円〜1万円前後で導入が可能です。
それに比べると一般的なWAFの導入は、製品によってピンキリではありますが、安くても月々数万円〜10万円前後、ものによっては数十万円となります。
いかにAWS WAFのコストが安いかがおわかりいただけるかと思います。
気を付けておきたいAWS WAFのリスクについて
ここまでお話しして、

セキュリティ対策にもなるし、コストも安い!
すぐに導入しよう!
と考える方も多いと思います。
しかし、ちょっと待ってください!
AWS WAFに限らず、WAF全般について言えることですが、とあるリスクを理解しておきましょう。
そのリスクとは誤検知です。
WAFは、ルールによって通信の内容を自動的に判別し遮断します。
そのため、限りなく確率は低いらしいのですが、正常なリクエストでも誤ってブロックしてしまうリスクはゼロではないということです。
間違っても誤検知はあってはならないシステムであるならば、WAFの導入は見送る方がよいでしょう。
さいごに
いかがでしたでしょうか?
今回は、一般的なWAFとAWS WAFについて基本的な部分を解説させていただきました。
セキュリティ対策として注目されているWAF。
AWS WAFを利用することで、安く簡単に導入することができます。
一方で、確率は低いですが誤検知というリスクがゼロではないということも注意が必要です。
導入するシステムの特性に合わせて検討してみてはいかがでしょうか。
以上、hidesanでした!