
【東京開催】AWS re:Inforce 2025 振り返り勉強会にて「最大80%工数削減!?AWS WAFの新コンソールを徹底検証してみた!」というタイトルで登壇しました
こんにちは!クラウド事業本部コンサルティング部のみなみです。
先日開催された【東京開催】AWS re:Inforce 2025 振り返り勉強会にて、「最大80%工数削減!?AWS WAFの新コンソールを徹底検証してみた!」というタイトルで登壇しました。
本記事では、発表内容と関連情報をまとめて紹介します。
登壇概要
AWS re:Inforce 2025にてAWS WAFのコンソールのアップデートが発表されました。
作成画面・管理画面・モニタリングの部分で大幅な変更が行われました。
AWSの公式ブログでも紹介されています。
弊社の臼田による速報ブログはこちらから
今回のアップデートによる主な変更点は2つです。
1. 作成画面の刷新:WebACLから「保護パック」へ
新しいコンソールでは、WebACLが保護パックという名称に変更されました。
基本的な概念や機能は同一ですが、アプリのカテゴリーとトラフィックソースを選択すると、最適なルールを自動選択してくれます。
レコメンドされるルール群は2つあります
- 重要な保護:最低限有効化すべきルール群
- 推奨保護:重要な保護のルールに加えて、追加ルールを含む
レコメンドされるルール群には、AWSマネージドルールだけでなく、レートベースルールや地理的ブロック、IPの許可・ブロックリストなどのカスタムルールも自動で作成されます。
もちろん、後からルールを編集することも、手動で1から作成することも可能です。
具体的にどのカテゴリー・トラフィックソースによってどのルールが選択されるかについては、弊社のいわさによるブログを参照ください。
ざっくり説明すると、カテゴリーに限らず重要な保護、推奨保護では以下のルールがレコメンドされます。
重要な保護
- DDoS対策
- IPv4許可リスト
- IPv6許可リスト
- IPv4ブロックリスト
- IPv6ブロックリスト
- 地理的ブロック
- 全体レート制限
- ボディサイズ制限
- 共通ルールセット
推奨保護
- HTTPメソッド別レート制限(GET)
- HTTPメソッド別レート制限(POST)
- IPレピュテーションリスト
- DDoS IP向けレート制限
- 匿名IPリスト
- ボット制御
そして、カテゴリーによって以下のルールが重要な保護に追加されます。
カテゴリー | 追加されるルール |
---|---|
APIおよび統合サービス | 追加なし |
コンテンツおよび公開システム | ・SQLインジェクション対策 ・管理者保護 |
eコマースおよび取引プラットフォーム | ・既知悪意入力対策 ・PHP脆弱性対策 ・SQLインジェクション対策 ・管理者保護 |
エンタープライズおよびビジネスアプリケーション | ・既知悪意入力対策 ・SQLインジェクション対策 ・Linux脆弱性対策 |
メディアおよびファイル処理 | ・既知悪意入力対策 ・SQLインジェクション対策 ・Linux脆弱性対策 |
その他 | ・既知悪意入力対策 ・SQLインジェクション対策 ・Linux脆弱性対策 |
トラフィックソースの違いは、一部ルールのアクション(Count / Block など)が変わるのみで、ルール自体は同じです。
2. 監視・モニタリング画面の改善
既存のコンソールにも監視・モニタリング画面は存在していましたが、全体的に見やすく、直感的でドリルダウン分析しやすくなりました。
例えば、保護アクティビティという項目が新たに追加されました。
AWS WAFではルールに設定されている優先順位によって評価順序が決められますが、保護アクティビティではトラフィックがどのようなルールで評価されているのかを直感的に把握することが可能です。
最後に
今回のアップデートによって、AWS WAFの開発体験が大幅に向上しました!
従来のAWS WAFコンソールでは「設定が複雑」「どのルールを選べばいいかわからない」「運用時の監視が大変」といった課題がありましたが、新コンソールではこれらの課題が一気に解決されています。
AWS WAFをまだ導入していない方も、既に利用している方も、ぜひ新コンソールを試してみてください!