BLOGベアサポートブログ

AWS WAFとは?機能や料金、メリット、設定方法をわかりやすく解説

AWS WAFは、Amazon Web Services(以下、AWS)が提供するクラウドベースのファイアウォールサービスです。WebサイトやWebアプリケーションをターゲットとしたサイバー攻撃が増加していますが、AWS WAFを活用することで自社のWebサービスの安全性を高めることができます。本記事ではAWS WAFの概要や機能、料金、設定方法まで詳しく解説します。

WAFとは

そもそもWAF(Web Application Firewall)とは、脆弱性を狙ったサイバー攻撃から、WebサイトやWebアプリケーションを保護するセキュリティツールです。アクセスするユーザーとWebアプリケーションの間に設置することで、通信内容を検査し、不正なアクセスを遮断する防御壁の役割をもちます。
具体的に、WAFは次のような攻撃から防御するために役立ちます。

  • SQLインジェクション
  • クロスサイトスクリプティング
  • DDoS攻撃(レイヤー7)

AWS WAFとは

AWS WAFとは、AWSのサービスの1つとして提供されるマネージドなWAFです。「Amazon CloudFront」や「Application Load Balancer」等の上で動作し、さまざまなルールをカスタマイズできます。AWS上のWebサイトやWebアプリケーションなどのWebサービス全般を保護することが可能です。

AWS WAFの機能

AWS WAFの主な機能としては、次のようなものがあります。

Webトラフィックのフィルタリング

IPアドレスやHTTP ヘッダー、本文、カスタムURIなどの条件に基づいて、Webトラフィックをフィルタリングするルールを作成できます。また、SQLインジェクションやクロスサイトスクリプティングなどの一般的な攻撃をブロックするルールも設定することが可能です。

DDoS攻撃からの防御

DDoS攻撃とは、複数のコンピュータからターゲットに対して同時に大量のトラフィックを送りつけることで、正常なサービス提供を妨げる攻撃です。AWS WAFでは、一定時間内のアクセス回数を制限するレートベースルールを設定することで、L7レイヤーのDDoS攻撃を防ぐことができます。

悪意あるBot攻撃からの防御

Botとは、一定のタスクや処理を自動化するためのプログラムのことです。検索エンジンのクローラーのように有益なBotもありますが、不要なトラフィックを発生させたり、不正に情報収集したりする悪意のあるBotも存在します。
AWS WAFのマネージドルールグループの1つである「AWS WAF Bot Control」を使用すると、Botをモニタリングして正当なBotからのアクセスのみを許可し、悪意のあるBotをブロックすることが可能です。

アカウントへの不正ログインの阻止

「AWS WAF Fraud Control Account Takeover Prevention」という機能は、アプリケーションのログインページで、漏洩した資格情報を使った不正ログインの試みを検知して防ぎます。ほかにも怪しい行動やパターンをルールとして設定できるため、アカウントへの不正ログインを防ぐために効果的です。

AWS WAFのメリット

AWS WAFのメリットを紹介します。

導入が容易

AWS WAFは、AWSを利用していれば管理画面から数クリックで有効化できます。クラウドベースのため物理的なハードウェアの購入・設置はもちろん不要で、ほかのWAF製品と比較して導入手順が少ないことが特徴です。社内のネットワーク構成も変更する必要がないため、すぐに利用を開始できることが大きなメリットといえます。

柔軟にルール設定ができる

ニーズに合わせてセキュリティルールを細かくカスタマイズして設定できます。また、DDoS攻撃や悪意あるBot攻撃など、一般的な攻撃をブロックするためにすでに設定されたマネージドルールを利用することも可能です。専門知識が少なくても、これらを利用することで迅速に運用を開始できます。

Webトラフィックを可視化できる

リアルタイムでトラフィックを可視化できるため、サイバー攻撃や潜在的なセキュリティリスクの早期発見に役立ちます。監視サービスである「Amazon CloudWatch」と統合することもでき、より詳細な監視設定やアラート設定も可能です。
Amazon CloudWatchについて詳しくは以下のブログをご確認ください。

ベアサポートブログ|【入門編】Amazon CloudWatchでできることとは? OSS監視ツールとも比較

コスト効率がよい

AWS WAFは従量課金制のため、使用した分だけ料金が発生します。無駄な費用が発生せず、コスト効率がよいこともメリットです。またクラウドベースのため、ハードウェアが必要な製品と比較すると、初期コストはほとんどかかりません。

AWS WAFの料金

AWS WAFの料金は、利用した分だけ料金が発生する従量課金制です。作成するWebアクセスコントロールリスト(以下、Web ACL)の数や、Web ACLごとに追加するルールの数、受信するリクエストの数に応じて課金されます。

Web ACLとは、特定のWebアプリケーションへのアクセスを管理するためのツールです。2025年現在、東京リージョンにおける1Web ACLあたりの料金はUSD 5.00/月となっています。
また、「AWS WAF Bot Control」 と「AWS WAF Fraud Control Account Takeover Prevention」の機能を利用するには、別途料金が発生します。

詳しい料金は以下のサイトから確認してみてください。

AWS「AWS WAF の料金」https://aws.amazon.com/jp/waf/pricing/(2025/3/27確認)

AWS WAFの設定方法

最後に、AWS WAFの設定方法を解説します。方法は以下の通りです。

  1. マネジメントコンソールからAWS WAF管理ページにアクセスする
  2. Web ACLを作成する
    AWS WAFの詳細情報と、適用するロードバランサーを設定し、作成します。
  3. ルールを作成・適用する
    たとえば次のような条件を「許可」もしくは「拒否」するルールを作成・適用できます。
    ・特定のIPアドレスまたはIPアドレス範囲が送信元
    ・特定の国が送信元
    ・悪意のあるSQLコードが含まれている(SQLインジェクション)
    ・悪意のあるスクリプトが含まれている(クロスサイトスクリプティング)

上記のように、マネジメントコンソールから数ステップで簡単に設定ができます。

まとめ

AWS WAFとは、AWS上で提供されるクラウドベースのWAFです。専用機器の購入や設置は不要で、管理画面から数ステップで簡単に導入できます。一般的な攻撃をブロックするマネジメントルールを適用するほか、独自のニーズに合わせてカスタマイズしたルールを適用することもできます。また、従量課金制のため無駄なコスト効率がよいこともメリットです。

しかし、自社でAWS WAFのマネジメントルールを運用するには、セキュリティやAWSについての専門知識がもとめられます。そのようなスキルを持つセキュリティエンジニアの確保が難しい場合、AWS WAFのマネージドサービスである「Cloudbric WMS for AWS WAF」がおすすめです。このサービスを使うことで、セキュリティを強化しつつ、AWS WAFの運用負担を軽減できます。ご興味があれば、お気軽にご相談ください

このエントリーをはてなブックマークに追加

RELATED関連記事