AWS WAFの導入・運用事例
参考になった
1
RYDE株式会社 / 篠原史樹
メンバー / フルスタックエンジニア
導入の背景・解決したかった問題
導入背景
ツール導入前の課題
アプリケーションの規模拡大やトラフィック増加に伴い、より包括的なセキュリティ対策の重要性が高まる中、以下のような課題を抱えていました:
- 悪意のあるリクエストがアプリケーションレイヤーに到達する前段でのブロックが必要
- 監視ログに攻撃によるノイズが混入し、運用負荷が増加
- Bot や自動化された攻撃への対応が不十分
- より多層的な防御による包括的なセキュリティ対策の実現が必要
比較検討したサービス
- WafCharm
導入時の苦労・悩み
AWS WAFを導入する際、特に注意したのは誤検知(フォールスポジティブ)です。 最初からすべてのルールをブロックモードで有効にすると、正当なリクエストまでブロックしてしまう可能性があります。 そのため、まずはカウントモードで導入し、一定期間ログを監視・分析しました。具体的には、CloudWatch Logs Insightsなどを使ってWAFのログを分析し、意図しないリクエストがブロックされていないかを確認する作業を行いました。 この分析期間中に、アプリケーションの正常な動作を妨げるルールがないかを見極める必要がありました。
導入に向けた社内への説明
上長・チームへの説明
AWS WAFをそのまま使用する方法以外に、AWS WAFを自動運用してくれるサービスも当初検討しましたが、 かかるコストを鑑みるとサービスの規模として時期尚早であるという判断をチームとして下しました。 AWS WAFをそのまま利用するのであればかなり安価なためその方向で進めました。
また導入時に誤検知による障害をどのように防ぐかも実行計画を立ててチームに共有しました。
活用方法
普段の運用では、まずAWSが提供するコアルールセット(CRS)を基本として適用しています。 新しいルールを導入する際は、いきなりブロックモードにするのではなく、必ずカウントモードから開始します。これにより、本番環境への影響を最小限に抑えながら、ルールの有効性をテストできます。ログを分析して問題がないことを確認した上で、ブロックモードに切り替えるという段階的なプロセスを徹底しています。
よく使う機能
- マネージドルール:AWS によって管理される最新の脅威対応ルール
- カウントモード/ブロックモード:段階的な運用のための動作モード切り替え
- CloudWatch Logs Insightsとの連携:詳細なログ分析とモニタリング
ツールの良い点
- 簡単な導入:AWS マネージドルールにより、複雑な設定なしに基本的な保護が可能
- 自動更新:最新の脅威に対応したルールが自動で更新される
- 段階的導入:カウントモードでの安全な評価が可能
- 豊富なログ機能:CloudWatch Logs と連携した詳細な分析が可能
- 多層防御:複数のマネージドルールセットを組み合わせた包括的な保護
ツールの課題点
- 誤検知のリスク:正常なトラフィックがブロックされる可能性があるため、慎重な評価が必要
- 初期設定の複雑さ:適切なルール選定とログ分析には一定の知識が必要
- 継続的な運用:定期的なログ分析とモニタリングが必要
ツールを検討されている方へ
AWS WAFをこれから導入される方には、スモールスタートをお勧めします。最初から完璧な設定を目指すのではなく、まずは基本的なコアルールセットをカウントモードで導入し、ログを見ながら自社のアプリケーションに合わせてチューニングしていくのが成功の鍵です。また、CloudWatch Logsなどと連携して、WAFのログを継続的に監視する体制を整えることが重要です。これにより、セキュリティインシデントの早期発見や、誤検知への迅速な対応が可能になります。
RYDE株式会社 / 篠原史樹
メンバー / フルスタックエンジニア
よく見られているレビュー
RYDE株式会社 / 篠原史樹
メンバー / フルスタックエンジニア
レビューしているツール
目次
- 導入の背景・解決したかった問題
- 活用方法