現在の日常生活では、情報収集やショッピングなど、あらゆるWebサイトの利用は欠かせません。また、ビジネスを推進する上でも、Webサイトの運営は重要なポイントです。しかし、Webサイトは国内外を問わず、誰でも利用が可能なことから、常に情報漏えいやサイバー攻撃、プライバシー侵害など、情報面におけるセキュリティの危機にさらされています。本記事では、AWS WAFの概要やマネージドルールに加え、おすすめのAWS WAF用マネージドルール5選を紹介します。
AWS WAFマネージドルールとは?
Webセキュリティ対策として、AWS WAFを導入する企業が増加していますが、WAFの機能を有効に機能させるには、マネージドルールが欠かせません。まずは導入前に、概要と目的を理解しておきましょう。
・AWS WAFとは?
AWSとは「Amazon Web Service」の略語で、ECサイトで有名なAmazon社が2006年に開始した、クラウドコンピューティングサービスの総称です。
クラウドコンピューティングサービスは、サーバーやソフトウェア、ストレージなどのITリソースを、企業がそろえて設置するオンプレミスと異なり、インターネットに接続さえすれば、リソースを自由に利用できるサービスです。ビジネスの規模に応じて、柔軟にリソースの変更が可能なため、スピーディーに扱えるほか、コスト抑制も期待できます。
ただしその反面、常にインターネットに接続されているリソースを利用するので、インターネットから切り離されたリソースを利用する場合と比べると、セキュリティに関する懸念が拭えません。
セキュリティ対策としては、一般的に「ファイアウォール」や「IPS(不正侵入防止システム)」などの導入があります。ファイアウォールは、通信回線を限定してアクセスを制御するため、広範囲の攻撃を防御し、一部の通信のみ許可する仕組みです。しかし、許可された通信の中身までは分析しない特徴があり、「SQLインジェクション」や「コマンドインジェクション」、「クロスサイトスクリプティング」など、Webサイトの不具合を引き起こす攻撃を検出できません。
IPSは、一定期間に行う大量の通信要求によって、Webサイト脆弱性を狙う「DDoS攻撃」などの特定の攻撃を検出し、Webサイトを防御します。ただし、攻撃は多種多様でなおかつ日々高度化しており、検出が追いつかない場合があります。
このように多方面からの攻撃を防御するための対策として、「WAF(Web Application Firewall)」が挙げられます。WAFは、通信回線とサービスを提供するWebサイトのサーバーとの間に存在し、通信の内容を分析するため、ファイアウォールやIPSでは防御できない攻撃からWebサイトを保護します。このWAFをAWSのひとつのサービスとして、提供しているものが「AWS WAF」です。
・マネージドルールとは?
WAFは、Webサイトのセキュリティレベルを向上させる方法として有効ですが、そのWAFを機能させるには、公開しているWebサイトに応じて、「ルールセット」を適切に設定しなければなりません。
ルールセットとは、そのWebサイトを防御するために、今後想定される攻撃パターンや通信手段、コンピューターウイルスの特徴などをまとめた「定義ファイル」です。しかし、ルールセットの作成には、セキュリティに関する専門知識が求められるほか、日々高度化する攻撃の動向を注視し、常に最新状態に保つ必要があります。したがって、高度な技術と運用知識が欠かせないことから、すべてのユーザーが適切に設定することは困難です。
ユーザーが容易にWAFを利用できるよう、セキュリティベンダーが環境に応じたルールセットを準備し、マネージドルールとして提供しています。マネージドルールには、AWSが公式に提供しているルールセットと、セキュリティベンダーが提供するルールセットの2種類があります。
・マネージドルールの料金
WAFに限らず、AWSから提供されているマネージドルールの利用料金は、その利用回数やオプションによって異なります。初期費用は一切かかりません。
AWS以外のセキュリティベンダーから提供されているマネージドルールは、セキュリティベンダー各社が設定している利用料金に基づいており、多くは「AWS Marketplace」より購入可能です。
おすすめのAWS WAF用マネージドルール5選
セキュリティベンダーから提供しているマネージドルールは各社ごとに特徴があるため、それらを踏まえて適切に利用しましょう。以下より、代表的なマネージドルールを紹介します。
・1. AWS WAF公式「AWS Managed Rules for AWS WAF」
AWSが提供している純正マネージドルールです。「ベースラインルールグループ」と呼ばれる基本のマネージドルールに加えて、Webサイトで利用しているデータベースやOSに応じた個別のルールを選択できます。基本料金は、WAFボット対策などの機能を除き、月額1ドル/1リージョン、0.6ドル/100万リクエストの従量制で課金されます。
・2. Fortinet Managed Rules for AWS WAF
古くからファイアウォールやアンチスパムなどを、「FortiGate」として提供しているFortinet社のマネージドルールです。同社の「FortiGuardLabs」と同等の構成になりますが、クラウド型であるため、最新の攻撃に対処できる上、利用中はルールグループが自動的に更新されます。AWS Marketplaceにて、月額30ドル/1リージョン、1.8ドル/100万リクエストで購入可能です。
・3. F5 Rules for AWS WAF
「ロードバランサー(負荷分散装置)」や「SSL−VPN(暗号通信)装置」など、各種ネットワーク製品を開発したF5 Networks社のマネージドルールです。現在、ボット対策やAPIセキュリティなどのルールセットを提供しており、同社のスペシャリストにより定期的に更新も行われます。AWS Marketplaceより購入可能で、基本料金は月額20ドル/1リージョン、1.2ドル/100万リクエストです。
・4. Cyber Security Cloud Managed Rules for AWS WAF
日本のセキュリティベンダーである、サイバーセキュリティクラウド社が提供しているマネージドルールです。Webサイトでよく用いられている「Apache struts2」や「Apache Tomcat」、「Oracle Weblogic」などのオープンソースソフトウェアも対象とした、複数のルールを提供しています。AWS Marketplaceで購入可能で、基本料金は月額25ドル/1リージョン、1.2ドル/100万リクエストです。
・5. 高い検知率を実現する「Cloudbric Rule Set」
韓国に本社を置くペンタセキュリティが提供しているマネージドルールです。同社はAWSによる技術的な検証を通過した「AWS WAFレディプログラム」のローンチパートナーに認定されており、高度な技術を駆使したルールセット「OWASP Top 10 Rule Set」、「Malicious IP Reputation Rule Set」、「Tor IP Detection Rule Set」、「Bot Protection Rule Set」の4種類を取り揃えています。基本料金は月額25ドル/1リージョン、1ドル/100万リクエストです。そのほか、自社での運用に不安がある場合は、24時間365日のモニタリングやサポートが充実したAWS WAF専用の運用サービス「Cludbric WMS」も別途販売しています。
(参考記事:「Cloudbric Rule Set」)
まとめ
昨今では、クラウドサービスで提供されているさまざまなサービスを組み合わせることで、Webサイトを簡単に構築できるほか、より早くビジネスを推進できるようになりました。しかし、それに伴い、Webサイトの重要性と求められるセキュリティレベルも高まっています。AWS WAFでは、Marketplaceより提供されている他社のマネージドルールを利用することで、柔軟にセキュリティレベルを向上することが可能です。Webセキュリティの強化策として、AWS WAFのマネージドルールの活用を検討してみてください。
▼Cloudbirc Rule Setについてはこちら
▼製品・サービスに関するお問い合わせはこちら
▼パートナー制度のお問い合わせはこちら