改めてAWS WAFを振り返る～業務で使うためのポイント～

Transcript

1. 改めてAWS WAFを振り返る ～業務で使うためのポイント～ 2025.07.06（日） モブエンジニア（@mob_engineer） JAWSミートの翌日LT大会 豊橋スペシャル 1

2. LTのねらい・対象者 •LTのねらい • WAFとは何かをざっくりと知ってもらう • AWS WAFでできることを知ってもらう • 業務で活用するときのポイントを知ってもらう •対象者

   • WAFについてキャッチアップを行っている方 • AWS WAFのアップデート情報を知りたい方 JAWSミートの翌日LT大会 豊橋スペシャル 2

3. お話しすること・お話ししないこと •お話しすること • WAFに関する説明 • AWS WAFに関する解説 • 業務で利用するためのポイント •お話ししないこと

   • 他セキュリティサービス（SaaS含む）との比較 • その他ユースケース JAWSミートの翌日LT大会 豊橋スペシャル 3

4. $WHOAMI • ペンネーム:モブエンジニア • 職業:某ソフトハウスのインフラエンジニア • 好きなサービス:VPC、CloudFront、S3 • JAWS-UG 彩の国埼玉支部

   運営 プロファイル JAWSミートの翌日LT大会 豊橋スペシャル 4

5. 宣伝させてください!!<(_ _)> JAWSミートの翌日LT大会 豊橋スペシャル 5 • 2025/07/09（水）にJAWS-UG千葉支部×彩の埼 玉支部でコラボイベントを開催します!! connpassページ 現地開催は

   7/7（月） 23:59〆切で す!!

6. 登壇モチベーション •AWS WAFのアップデートが熱い •AWS WAFについてきちんと理解 していなかったためキャッチアップし たい!! JAWSミートの翌日LT大会 豊橋スペシャル 6

7. お品書き •WAFとは何か? •AWS WAFでできること •直近のアップデート •業務で使うためのポイント •まとめ JAWSミートの翌日LT大会 豊橋スペシャル 7

8. WAFとは何か? JAWSミートの翌日LT大会 豊橋スペシャル 8

9. WAFとは? https://aws.amazon.com/jp/waf/what-is-waf/ JAWSミートの翌日LT大会 豊橋スペシャル 9

10. 利用するメリット・懸念点 • 利用するメリット • アプリケーションレベルでのセキュリティ対策が実現できる • DDoS攻撃、SQLインジェクション攻撃にも対応できる • ログを収集できるため、攻撃パターンを分析できる •

    マネージドサービスのためファームアップ対応を考えなくていい • 懸念点 • 正常なアクセスをブロックしてしまう場合もある • ルール設定を正しく行わないと、予期せぬ通信断が発生する • 適切な設定を行うためには、高度が設定が必要 JAWSミートの翌日LT大会 豊橋スペシャル 10

11. わかりやすくざっくり言えば・・ •Webアプリケーションの門番 JAWSミートの翌日LT大会 豊橋スペシャル 11

12. AWS WAFとは? JAWSミートの翌日LT大会 豊橋スペシャル 12

13. AWS WAFについて https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/waf-chapter.html JAWSミートの翌日LT大会 豊橋スペシャル 13

14. 補足）CloudFrontで設定する場合 • CloudFrontで設定する場合、AWS WAFからリソース の紐づけ処理を行えません。 JAWSミートの翌日LT大会 豊橋スペシャル 14

15. 料金について JAWSミートの翌日LT大会 豊橋スペシャル 15

16. 直近のアップデート JAWSミートの翌日LT大会 豊橋スペシャル 16

17. 直近のアップデート JAWSミートの翌日LT大会 豊橋スペシャル 17

18. 特にキニナルアップデート2選（１） https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-automatic- application-layer-ddos-protection/ 作成時にあらかじめDDoS 攻撃用ルールが設定される JAWSミートの翌日LT大会 豊橋スペシャル 18

19. 特にキニナルアップデート2選 https://aws.amazon.com/jp/about-aws/whats-new/2025/06/aws-waf-web- application-security-configuration-steps-expert-level-protection/ JAWSミートの翌日LT大会 豊橋スペシャル 19

20. 新しい設定画面 JAWSミートの翌日LT大会 豊橋スペシャル 20

21. 業務で使うためのポイント JAWSミートの翌日LT大会 豊橋スペシャル 21

22. 業務で使うためのポイント • 料金自体、月額5ドル＋αのため、「利用する/しない」を検討し た方がよい（場合によっては別サービスの利用も・・・） • （例）閉域ネットワークのみでの利用を想定: 利用するメリットは薄い • （例）社外からのアクセスが発生する場合を想定: 利用した方がよい（ほぼ必須）

    ※検証用でも社外からアクセス可能であれば設定した方がベター ※ゼロトラスト・認証認可を考えると追加サービスの利用も検討 JAWSミートの翌日LT大会 豊橋スペシャル 22

23. 利用するうえで考慮しないといけないこと • 利用ケースを指定すればあらかじめ定められたルールを自動作 成してくれるが、本当に必要なルールか確認は必要 • 「WAFを作成した状態で放置」ではなく、ダッシュボード上の情 報をもとにルールを修正していくことが大事 • CloudFrontを利用している場合、WAFからリソースの紐づけが できないため、同じWAFルールを設定するのが煩雑

    • AWSからもAWS Config用のWAF設定のベストプラクティスが 出ているためそちらを参考にするのが良い JAWSミートの翌日LT大会 豊橋スペシャル 23

24. WAF設定のベストプラクティス JAWSミートの翌日LT大会 豊橋スペシャル 24 https://github.com/awslabs/aws-config-rules/blob/master/aws-config- conformance-packs/Security-Best-Practices-for-AWS-WAF.yaml

25. まとめ JAWSミートの翌日LT大会 豊橋スペシャル 25

26. まとめ •WAFはアプリケーションレベルのセキュリティ対策を行うた めのサービス •AWS WAFはAWSサービスに紐づけることができる WAFサービス •直近のアップデートで初学者でも利用しやすくなったが、 正しく利用するためには定期的に見直しが必要 • 手動で変更するのはつらいので、CloudFormationを活

    用して自動化するのも一つの手 JAWSミートの翌日LT大会 豊橋スペシャル 26

27. 参考サイト • https://speakerdeck.com/y_sakata/aws-waf-top-insightsnituite • https://pages.awscloud.com/rs/112-TZM-766/images/reInvent2023- recap-EDGE-3-Security-services.pdf • https://speakerdeck.com/iret/di-117hui-yun-mian-onrain-shi-ji-noke-ti- karaxue-bu-c1ws-nomemoribu-zu-nojie-xiao-to-aws-waf-noji-ben- c9d3ee95-1a4a-454a-b120-67d1e4c19666

    • https://speakerdeck.com/becominn/devio2022-compare-aws-waf-with- other • https://business.ntt-east.co.jp/content/cloudsolution/column-39.html • https://tech.smarthr.jp/entry/2020/11/24/150008 • https://github.com/awslabs/aws-config-rules • https://aws.amazon.com/jp/solutions/implementations/security- automations-for-aws-waf/ JAWSミートの翌日LT大会 豊橋スペシャル 27

28. FIN 28 JAWSミートの翌日LT大会 豊橋スペシャル