【Security Hub修復手順】[WAF.6] WAF グローバルルールには、1 つ以上の条件が必要です

こんにちは！AWS事業本部のアダルシュです。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

• https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-waf-6
• https://docs.aws.amazon.com/securityhub/latest/userguide/waf-controls.html#waf-6

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

修復手順

対象のルールまたはルールグループを特定

容量が0に設定されている場合、または容量がルールに対して不足している場合、容量は変更できないため、新しいルールグループを作成する必要があります。 ルールグループを新規に作成する場合は、以下のリンクを参照してください。 https://dev.classmethod.jp/etc/securityhub-fsbp-remediation-waf-4/

WCUの台数に余裕がある場合は、次のように進めてください:

• [Add Rule］を選択します。
• 以下の値を入力してください:
  • 名前
  • クラウドウォッチメトリック名
    • AWS WAF Classicが作成し、ルールに関連付けるCloudWatchメトリックの名称を入力します。名前には英数字（A-Z、a-z、0-9）だけを含めることができ、最大長は128、最小長は1です。空白文字や、AWS WAF Classicで予約されているメトリック名（「All」や「Default_Action」を含む）を含めることはできません。
  • ルールタイプ
    • 通常ルール］または［レートベースルール］のいずれかを選択します。レートベースのルールは、通常のルールと同じですが、5分間にIPアドレスから到着したリクエストの数も考慮されます。これらのルールタイプの詳細については、「AWS WAF Classicの仕組み」を参照してください。
  • レート制限
    • レートベースのルールの場合、ルールの条件に一致するIPアドレスから5分間に許可するリクエストの最大数を入力します。レートリミットは、少なくとも100である必要があります。
    • レート制限のみ、またはレート制限と条件を指定することができます。レートリミットのみを指定した場合、AWS WAFはすべてのIPアドレスにその制限をかけます。レートリミットと条件を指定した場合、AWS WAFは条件に一致するIPアドレスに制限をかけます。
    • IPアドレスがレートリミットの閾値に達すると、AWS WAFは割り当てられたアクション（ブロックまたはカウント）をできるだけ早く、通常は30秒以内に適用します。アクションが適用された後、そのIPアドレスからのリクエストがないまま5分経過すると、AWS WAFはカウンターをゼロにリセットします。
  • お客様のご要望に応じて、条件を追加します。 条件の作成方法については、以下のページをご確認ください。 https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/classic-web-acl-rules-creating.html
  • 条件を追加し終えたら、「作成」を選択します。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。

以上、アダルシュでした！