AWS WAFとは？ほかの対策との違いやメリットなどを解説

AWS WAFは、AWSが提供するWebアプリケーションに対するファイアウォールです。AWS WAFについての理解を深めるために、まずはWAF（Web Application Firewall）について解説します。

AWS WAFとファイアウォール、IPSはいずれも、システムの外から中に入ってくる通信を監視し、危険な通信を検知・防御する機能を提供します。異なる点は監視・検知・防御の対象にできるプロトコルです。AWS WAFの場合、WebアプリケーションへのHTTP・HTTPS通信をターゲットにしますが、ファイアウォールやIPSの場合は、Webアプリケーション以外の多様なアプリケーションへの通信もターゲットにします。

AWS環境でWebアプリケーションを稼働させる場合、AWS WAFを活用するとどのようなメリットが得られるのでしょうか。3つのメリットを紹介します。

マネージドルールを活用できる

AWS WAFはマネージドルールと呼ばれるルールセットを提供しています。マネージドルールとは、あらかじめ定義されていて、管理が自動化されたAWS WAFのルールセットです。
一般的に、WAFのルールを設定する際はセキュリティに精通したエンジニアが保護対象の状況に応じて必要なルールを取捨選択して適用する必要があります。
一方、マネージドルールは事前に必要なルール一式がまとまった状態で提供される形式です。そのため、マネージドルールを利用することで、セキュリティに精通したエンジニアがいない企業であっても簡単にWAFを運用することができます。AWS以外にも、複数のセキュリティベンダーがルールセットを提供しています。
もちろん、マネージドルールでは制御が難しい場合には、利用者が独自にルールを設定することも可能です。こうしたルール設定の柔軟性も、AWS WAFならではのメリットです。

手軽に利用できる

AWS WAFの利用にあたって、ソフトウェアをインストールしたり、別途ハードウェアの用意をしたりする必要はありません。Application Load BalancerやAmazon API Gateway、Amazon CloudFrontでWAFの設定を有効にすれば、基本的な導入準備は完了です。
ルールも、マネージドルールを活用すれば簡単に運用することができます。

コストを抑えられる

コストを抑えられる点もAWS WAFのメリットのひとつです。従来のソフトウェア型やアプライアンス型のWAFは初期費用が高額になる場合もありました。一方で、AWS WAFはルールの数やWebアプリケーションで実施されるリクエスト数によって料金が決まる従量課金制です。利用した分だけ料金が発生するため、コストを抑えて利用することができます。

AWS WAFはWebアプリケーションの脆弱性を狙う攻撃に対応しますが、Webアプリケーションが稼働するOSなどの脆弱性を狙う攻撃には対応できません。また、ネットワークを介さない脆弱性を狙う攻撃、具体的には不正プログラムを含んだファイルを実行させて、ソフトウェアの脆弱性を突く攻撃などにも対応できません。

このような攻撃を防ぎ、AWS WAFのデメリットを補完するためには、保護対象にエージェントを導入して、さまざまな保護機能を提供できるセキュリティ製品の活用が有効です。AWS WAFと併用することでAWS環境のセキュリティを強化するために、トレンドマイクロではTrend Micro Cloud One – Workload Securityを提供しています。

Trend Micro Cloud One – Workload Securityは保護対象のAmazon EC2インスタンスにエージェントを導入することで、IPS機能による脆弱性対策はもちろん、不正プログラム対策やファイアウォール機能などさまざまなセキュリティ機能を、ひとつの製品で実現するサーバセキュリティ製品です。
AWS WAFでは対象とならないHTTP・HTTPS通信以外にも対応しており、さまざまなOSやミドルウェアを狙う攻撃への対応を支援します。Trend Micro Cloud One – Workload SecurityのIPS機能では、保護対象ごとに必要なルールを自動的に取捨選択する「推奨設定の検索」と呼ばれる、マネージドルールに相当する機能も提供しています。このため、AWS WAF同様、脆弱性対策の導入に対するハードルを低くし、運用負荷の軽減が可能です。