WEBサイトのセキュリティを守る「AWS WAF」

「AWS WAF」は、WEBのアクセス(HTTPSまたはHTTP通信)に特化したセキュリティ対策が可能です。

外部に公開されているWEBサービス環境では、セキュリティグループで外部からのHTTPS通信のアクセスを許可しています。そのため、正常なアクセス以外にも、悪意を持った攻撃性の高いアクセスもEC2インスタンスで受けることになります。それらの攻撃は、アプリケーション側で攻撃を無効化する対策を実施したり、WEBサーバーのセキュリティパッチ適用などで対策することが可能です。

「AWS WAF」を利用することで、HTTPS通信の悪意あるアクセスを特定し、EC2インスタンスの手前で遮断することが可能になります。

AWS WAFの設定箇所

AWS WAFの設定箇所
AWS WAFの設定箇所

「AWS WAF」は、主にCloudFrontとALBの2か所で設定することができます。

■CloudFront
CDNサービスである、CloudFrontへ設定します。ユーザーからアクセスされるすべてのリクエストが防御対象となります。

■Application Load Balancer(ALB)
CloudFrontを利用しない場合は、ALBにも適用が可能です。

CloudFront併用する場合は、ALBにAWS WAFを適用することで、WAFを経由するリクエスト数を減らすことができます。ただし、接続元のIPアドレスをもとに攻撃をブロックするため、利用時には注意が必要です。

ルールの設定

WebACLの管理
WebACLの管理

「AWS WAF」では悪意のあるアクセスとそうでないアクセスをどのように見分けているのでしょうか?WebACLというルールをもとに判断しています。WebACLの作成にはいくつか方法があります。

■マネージドルール
ルールは一から作成するのではなく、あらかじめ用意されたルールの利用が可能です。マネージドルールには、AWSが標準で用意しているものと、AWS以外のベンダーが用意しているものがあります。利用用途に適したルールを選択して利用します。

■WafCharm
マネージドルールでは、用途に応じたルールを選ぶことで簡単に利用ができました。サイバーセキュリティクラウド社の提供する「WafCharm」というサービスを使うと、自分でルールを選ぶ必要もなく、自動設定してくれます。

同社は日本語サポートを提供しており、シグネチャ作成も支援してもらえます。運用開始後のサポート体制に不安がある場合は、有力な選択肢として考えることができます。

対応可能な攻撃内容

対策可能な攻撃
対策可能な攻撃

「AWS WAF」で防ぐことができる主要な攻撃をいくつか紹介します。

■SQLインジェクション
データベースを操作するSQL文をWEBリクエストに含めることで、意図しないSQL実行を行います。通常アプリケーションで対策が可能ですが、対策できていないとデータの削除や非公開データの閲覧、改ざんなどの被害を引き起こします。

■ブルートフォースアタック
ログイン機能があるサイトで、ユーザーとパスワードの組み合わせを総当たりで試し、不正ログインを試みる攻撃をブルートフォースアタックといいます。不正ログインが成立してしまうと、個人情報の漏洩や金銭的な被害、Webサイト改ざん、攻撃の踏み台などに悪用される可能性があります。

まとめ

「AWS WAF」を利用することで、WEBアクセスの脆弱性対策が可能です。

アプリケーションの実装で防げる攻撃も多くありますが、対策の抜け漏れや新たに発生する脆弱性などのリスクを軽減することが可能です。導入して終わりではなく、導入後の運用フェーズでの対応も重要になるので、そこまで考慮した利用ができるとよいでしょう。

おすすめのサービス

WAF Charm